Documentação do Oracle Cloud Infrastructure

Gerenciando e Pesquisando Logs com o Operator Access Control

Aprenda a ativar logs para exibir a lista de Controles do Operador criados e em uso em um compartimento. E também aprenda a monitorar as atividades do operador em um ponto de demarcação.

Ativando Logs e Criando Grupos de Logs com o Operator Access Control

Para rastrear atividades do operador Oracle em seu sistema, saiba como ativar logs e como criar grupos de logs para gerenciar logs.

Para auditar as ações que um operador Oracle executa no seu sistema, você pode criar um log de auditoria para um compartimento e um serviço específico no qual deseja monitorar as ações do operador Oracle.
  1. No menu de navegação esquerdo, selecione Registro em Log e Logs.
  2. Clique em Ativar Log de Serviços. A janela Ativar Log de Recursos é aberta.
  3. Na seção Selecionar Recurso, forneça informações para cada um dos campos:
    • Compartimento de Recursos: Selecione o compartimento no qual você deseja criar o log.
    • Serviço: Selecione o Serviço Operator Access Control cujo log você deseja ativar.
    • Recurso: Selecione um Controle do Operador cujo log você deseja ativar.
  4. Na seção Configurar Log, forneça informações para os seguintes campos:
    • Categoria de Log: Selecione Logs de Acesso.
    • Nome do Log: Forneça um nome para o log que você deseja criar.
  5. (Opcional) Clique em Mostrar Opções Avançadas.
  6. (Opcional) Na seção Local do Log, forneça informações para os seguintes campos:
    • Compartimento: Selecione um compartimento, se quiser que os arquivos de log sejam colocados em um compartimento distinto daquele cujo log de auditoria você está criando.
    • Grupo de Logs: Selecione um grupo de logs ao qual você deseja adicionar o log. Grupo de logs é um contêiner lógico para logs. Use grupos de logs para simplificar o gerenciamento de logs, incluindo aplicação de política ou análise de grupos de logs. Se quiser criar um novo grupo de logs, clique em Criar Novo Grupo e forneça informações para os seguintes campos:
      • Compartimento Selecione o compartimento no qual você deseja colocar o grupo de logs.
      • Nome: Forneça um nome para o grupo de logs.
      • Descrição: Forneça uma descrição para a finalidade do grupo de logs.
    • No campo Namespace de Tag, considere adicionar um namespace de tag (uma string de texto de identificação aplicada a um conjunto de compartimentos) ou marcar o controle com um namespace de tag existente.
  7. Na seção Retenção de Log, selecione um período de retenção de log.
  8. Quando você tiver concluído e revisado suas seleções, clique em Ativar Log. O log pertencente ao controle do operador está ativado.

Formato de Log do Operator Access Control

Saiba mais sobre os campos que um log de auditoria publicado no serviço de log contém.

Tabela 6-1 Campos do Log de Auditoria

Campo Descrição

data

Contém todos os dados obtidos dos logs de auditoria do Exadata.

data.accessRequestId

Contém o OCID (Oracle Cloud Identifier) da solicitação de acesso. Esse identificador é obtido na página de listagem de solicitações de acesso na Console.

data.message

Contém o log de auditoria no formato bruto. O formato do log de auditoria segue o formato de registro em log de auditoria como saída pelo comando ausearch.

Para obter mais informações, consulte as páginas manuais ausearch(8).

data.systemOcid

O OCID (Oracle Cloud Identifier) do sistema Exadata do qual o log foi coletado.

data.timestamp

O timestamp, geralmente no fuso horário UTC (Tempo Universal Coordenado) em cujo ponto a ação que o log representa foi executada.

source

O serviço que está publicando o log. A origem do log é OperatorAccessControl para esse serviço.

Observação

Há alguns campos adicionais, que se destinam principalmente a fins contábeis do serviço.

Exemplo 6-1 Log de Auditoria do Operator Access Control

{
  "logContent": {
    "data": {
      "accessRequestId": "ocid1.opctlaccessrequest.oc1.ap-chuncheon-1.aaaaaaaaqk67mpzb74nsssg4ppwk7cyg46dwoxegtvhopdp7lxbktpymk4kq",
      "message": "type=PROCTITLE msg=audit(09/08/2021 09:01:24.335:34495595) : proctitle=ps -ef \ntype=PATH msg=audit(09/08/2021 09:01:24.335:34495595) : item=1 name=/lib64/ld-linux-x86-64.so.2 inode=2546207 dev=fc:00 mode=file,755 ouid=root ogid=root rdev=00:00 nametype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 \ntype=PATH msg=audit(09/08/2021 09:01:24.335:34495595) : item=0 name=/usr/bin/ps inode=33619160 dev=fc:00 mode=file,755 ouid=root ogid=root rdev=00:00 nametype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 \ntype=CWD msg=audit(09/08/2021 09:01:24.335:34495595) : cwd=/home/b9dc42d68f6e4e26a1d843a4c5e70187 \ntype=EXECVE msg=audit(09/08/2021 09:01:24.335:34495595) : argc=2 a0=ps a1=-ef \ntype=SYSCALL msg=audit(09/08/2021 09:01:24.335:34495595) : arch=x86_64 syscall=execve success=yes exit=0 a0=0x1848d50 a1=0x184c360 a2=0x184c040 a3=0x7ffeec95b760 items=2 ppid=94699 pid=95635 auid=b9dc42d68f6e4e26a1d843a4c5e70187 uid=b9dc42d68f6e4e26a1d843a4c5e70187 gid=opctl_facc1 euid=b9dc42d68f6e4e26a1d843a4c5e70187 suid=b9dc42d68f6e4e26a1d843a4c5e70187 fsuid=b9dc42d68f6e4e26a1d843a4c5e70187 egid=opctl_facc1 sgid=opctl_facc1 fsgid=opctl_facc1 tty=pts0 ses=813000 comm=ps exe=/usr/bin/ps key=(null) \n",
      "status": "",
      "systemOcid": "ocid1.exadatainfrastructure.oc1.ap-chuncheon-1.ab4w4ljr46tyytihmindrbshch3jjhrxxpctq4eiaksakp4kqamluuwkzdga",
      "target": "",
      "timestamp": "2021-09-08T09:01:24.000Z"
    },
    "id": "b3b102aa-daee-4861-8e2c-9014faac9de2",
    "oracle": {
      "compartmentid": "ocid1.tenancy.oc1..aaaaaaaazxdmffivtoe32kvio5e2dcgz24re5rqbkis3452yi2e7tc3x2erq",
      "ingestedtime": "2021-09-08T16:02:26.182Z",
      "loggroupid": "ocid1.loggroup.oc1.ap-chuncheon-1.amaaaaaajobtc3ia3iypuri32bhvrgmosztobwi72wgdofkpfdbyfg4yxlrq",
      "logid": "ocid1.log.oc1.ap-chuncheon-1.amaaaaaajobtc3iahnkkwizgpoakdafmrttikohparjl7icmcfjzkechekfq",
      "tenantid": "ocid1.tenancy.oc1..aaaaaaaazxdmffivtoe32kvio5e2dcgz24re5rqbkis3452yi2e7tc3x2erq"
    },
    "source": "OperatorAccessControl",
    "specversion": "1.0",
    "time": "2021-09-08T16:01:52.989Z",
    "type": "com.oraclecloud.opctl.audit"
  },
  "datetime": 1631116912989
}

Pesquisando Logs

Para executar uma pesquisa em logs, use este procedimento para especificar os campos, o intervalo de tempo e as strings de texto dos logs que você deseja pesquisar.

O log é ativado com base em Controles de Operador específicos. Portanto, formam o filtro de nível superior para as pesquisas de log. Além disso, você também pode pesquisar logs para IDs de Solicitação de Acesso, sistemas Exadata nos quais a ação do operador ocorreu ou o horário em que a ação ocorreu.

Os exemplos a seguir ajudam a compreender como procurar campos específicos.

  1. No menu de navegação esquerdo, selecione Registro em Log e Logs.
  2. Escolha o compartimento no qual os logs são armazenados.

    Essa ação fornecerá uma lista de logs que foram ativados.

  3. Clique no log do seu interesse. A página de detalhes do log é exibida.

    Esses logs são sempre relacionados a um único controle de operador.

  4. Clique no link Explorar com Pesquisa de Log para procurar logs específicos.
  5. Caso 1: Procurando ações executadas usando a aprovação de uma solicitação de acesso específica, ocid.opctlaccessrequest.x durante um período, de T-start até T-end, pertencente a um Controle do Operador, ocid.opctl.x.
    1. Escolha Personalizado no campo Filtrar por Hora.
    2. Selecione Data Inicial e Data Final.
    3. Clique em Pesquisar.

      Depois de escolher, você poderá ver um conjunto de logs.

    4. Agora, por exemplo, adicione os seguintes critérios de pesquisa ao campo Filtrar por Campo ou Pesquisa de Texto.
      data.accessRequestId='ocid.opctlaccessrequest.x'

      Essa ação listará os logs que correspondem aos critérios de pesquisa.

  6. Caso 2: Procurando ações em um sistema Exadata, ocid.exadata.x durante um período de T-start a T-end pertencente a um Controle do Operador, ocid.opctl.x.
    1. Escolha Personalizado no campo Filtrar por Hora.
    2. Clique em Pesquisar.

      Depois de escolher, você poderá ver um conjunto de logs.

    3. Agora, por exemplo, adicione os seguintes critérios de pesquisa ao campo Filtrar por Campo ou Pesquisa de Texto.
      data.systemOcid ='ocid.exadata.x'

      Essa ação listará os logs que correspondem aos critérios de pesquisa.

  7. Também é possível pesquisar os logs pelo conteúdo. Use o campo log-content. Para obter mais informações, consulte Pesquisando Logs.
  8. Para procurar comandos linux específicos executados, use o Modo Avançado.
    1. Crie uma pesquisa básica usando os exemplos fornecidos acima (caso 1 ou caso 2) e alterne para o Modo Avançado.
      Por exemplo, para procurar todos os logs com a ação vi, adicione os seguintes critérios:
      and text_contains(data.message, 'proctitle=vi ', true)
  9. Ao executar uma pesquisa na página Pesquisa do Registro em Log, você pode clicar em Mostrar Modo Avançado para digitar suas próprias consultas de pesquisa de log personalizadas.
    Por exemplo:
    search "ocid1.compartment.oc1..x/ocid1.loggroup.oc1.iad.loggroup_x/ocid1.log.oc1.iad.log_x"
 | data.systemOcid='ocid1.exadata.x' and text_contains(data.message, 'proctitle=vi ', true)
 | sort by datetime desc