Documentação do Oracle Cloud Infrastructure

Criar uma Regra de Detecção Usando um Modelo

Use um modelo definido pela oracle e crie uma regra de detecção que possa publicar uma métrica toda vez que a coleta de logs estiver em conformidade com a regra definida.

Certifique-se de que as políticas do IAM necessárias sejam criadas para fornecer permissões. Consulte Permitir que os Usuários Executem Todas as Operações com Modelos de Regra de Detecção.

Para obter a lista de modelos definidos pela Oracle, consulte Modelos de Regras de Detecção definidos pela Oracle.

As etapas a seguir são demonstradas com o serviço Monitoring como destino para monitorar a tarefa programada. As métricas emitidas pelo Oracle Logging Analytics são armazenadas pelo serviço Monitoring.

  1. Abra o menu de navegação e clique em Observabilidade e Gerenciamento. Em Logging Analytics, clique em Administração. A página Visão Geral da Administração é aberta.

    Os recursos de administração são listados no painel de navegação à esquerda em Recursos. Clique em Regras de detecção.

    A página Regras de detecção é aberta. Selecione o compartimento em Escopo da Regra de Detecção e clique em Criar regra.

    A caixa de diálogo Criar Regra de Detecção é aberta.

  2. Clique em Regra de detecção recomendada.

  3. Especifique um Nome da regra para a regra de detecção.

  4. Em Selecionar um modelo:

    1. Para filtrar os modelos disponíveis, selecione o Tipo de regra. Atualmente, apenas o tipo de pesquisa salva dos modelos de regra de detecção definidos pela Oracle está disponível. Portanto, este campo não está disponível para seleção.

    2. Selecione um Modelo definido pela Oracle no menu. Para exibir mais detalhes sobre cada modelo e depois selecionar, clique em Pesquisa avançada. A caixa de diálogo Pesquisar e selecionar um modelo é aberta. Os modelos e seus detalhes são listados em uma tabela. Clique na linha do modelo que deseja selecionar e clique em Selecionar.

      A consulta padrão usada para implementar o modelo é exibida. Você pode copiar essa consulta e executá-la no Log Explorer para exibir o resultado dela.

      Para obter a lista de modelos definidos pela Oracle, consulte Modelos de Regras de Detecção definidos pela Oracle.

    3. Opcionalmente, expanda Mostrar opções personalizáveis. Esta seção exibe os campos na consulta que podem ser modificados.

      Por exemplo, na consulta do modelo Tamanho do Grupo de Logs, os campos que podem ser modificados são:

      • Compartimento do Grupo de Logs: O compartimento no qual os grupos de logs devem ser consultados. Você também pode ativar a caixa de seleção Subcompartimentos para consultar os subcompartimentos do compartimento selecionado.

      • Limite de Tamanho (Bytes): Esse é o tamanho do grupo de logs que excede o qual as métricas devem ser postadas. Por padrão, este é 0. Por exemplo, se o limite de tamanho especificado for 1000 bytes, somente quando o tamanho do grupo de logs for maior que 1000 bytes, a métrica será postada.

      Para obter detalhes sobre o Tamanho do Grupo de Logs do modelo definido pela Oracle, consulte Modelos de Regras de Detecção definidos pela Oracle.

  5. Em Frequência de configuração:

    Especifique Intervalo, a janela de agregação. Você pode otimizar a programação a ser executada nos Minutos, Horas, Dias ou Semanas selecionados. Além disso, ao selecionar agregações maiores, por exemplo, Dias, você pode especificar a agregação mais fina dentro do intervalo, por exemplo, o horário do dia em que a consulta deve ser executada.

    Você pode especificar a Frequência da execução da consulta, como Run indefinitely, Run once ou Custom.

    Você também pode incluir Contagem de Repetições na especificação de frequência para o número de vezes que a consulta deve ser executada.

  6. Em Selecionar um serviço de destino a ser configurado:

    1. Selecione o Serviço de Destino no qual os resultados da execução da consulta são postados, por exemplo, Monitoring.

      O serviço Monitoring armazena as métricas do resultado da execução da consulta em uma programação.

    2. Selecione Compartimento de Métricas, aquele no qual a métrica será criada. Por padrão, um compartimento é selecionado pelo Oracle Logging Analytics.

    3. Selecione Namespace de Métricas, aquele no qual você deseja colocar a nova métrica. O escopo das opções disponíveis para selecionar o namespace é definido pela seleção do Compartimento de Métricas na etapa anterior. Se as opções não estiverem disponíveis, você também poderá digitar um novo valor para o namespace.

      Observação

      Ao especificar um novo valor para o namespace, selecione um nome que não comece com oracle_ e oci_. São prefixos reservados. Consulte Publicando Métricas Personalizadas.

    4. Se preferir, selecione Grupo de Recursos, aquele ao qual a métrica pertence. Grupo de recursos é uma string personalizada fornecida com uma métrica personalizada.

    5. Digite o Nome da Métrica, aquele usado no explorador do serviço Monitoring para exibir as métricas. Apenas uma métrica poderá ser especificada.

  7. Opcionalmente, expanda a seção Mostrar Opções Avançadas e adicione tags à sua regra de detecção.

  8. Se as políticas de IAM necessárias ainda não estiverem definidas, uma notificação será exibida listando as políticas para:

    • Criar um grupo dinâmico
    • Aplicar as políticas ao grupo dinâmico para permitir que as tarefas programadas sejam executadas

    Anote as políticas listadas e crie-as.

  9. Clique em Criar Regra de Detecção.

A consulta agora está programada para ser executada em um intervalo regular e as métricas resultantes são emitidas para o serviço Monitoring.

Permitir que os Usuários Executem Todas as Operações com Modelos de Regra de Detecção

Para criar regras de detecção usando os modelos, publique as métricas no serviço de destino e exiba as métricas, primeiro configure as permissões corretas criando as seguintes políticas do IAM:

  1. Crie um grupo dinâmico para permitir que Tarefas Programadas publiquem métricas no serviço de monitoramento de um compartimento específico:

    ALL {resource.type='loganalyticsscheduledtask', resource.compartment.id='<compartment ocid>'}

    Como alternativa, para permitir que métricas sejam postadas em todos os compartimentos:

    ALL {resource.type='loganalyticsscheduledtask'}

  2. Adicione instruções de política para permitir que o grupo dinâmico execute operações de Tarefa Programada na tenancy:

    allow group <group_name> to use loganalytics-scheduled-task in tenancy
allow dynamic-group <dynamic_group_name> to use metrics in tenancy
allow dynamic-group <dynamic_group_name> to read management-saved-search in tenancy
allow dynamic-group <dynamic_group_name> to {LOG_ANALYTICS_QUERY_VIEW} in tenancy
allow dynamic-group <dynamic_group_name> to {LOG_ANALYTICS_QUERYJOB_WORK_REQUEST_READ} in tenancy
allow dynamic-group <dynamic_group_name> to READ loganalytics-log-group in tenancy
allow dynamic-group <dynamic_group_name> to {LOG_ANALYTICS_LOOKUP_READ} in tenancy
allow dynamic-group <dynamic_group_name> to read compartments in tenancy

  3. Adicione a instrução de política para permitir que o grupo dinâmico acesse o modelo em um compartimento específico: 

    allow dynamic-group <dynamic_group_name> to {LOG_ANALYTICS_TEMPLATE_READ} in tenancy

    Os modelos definidos pela Oracle estão localizados no compartimento raiz. No caso de um modelo criado pelo usuário, especifique o compartimento exato em que o modelo está localizado.