Oracle Cloud Infrastructure - Dokumentation

Bulkexport von Auditlogereignissen

Beschreibt, wie Auditlogereignisse im Bulkverfahren exportiert werden.

Wenn Sie Ihre Anforderung nach dem 30. Juni 2023 stellen, fordern Sie mit dem Logging-Service und dem Service Connector Hub einen Massenexport von Auditlogs an. Weitere Informationen finden Sie unter Szenario: Logs in Object Storage archivieren.

Auf dieser Seite wird der vorherige Prozess zum Anfordern eines Bulkexports von Auditlogs beschrieben.

Highlights

  • Administratoren haben vollständige Kontrolle über die Buckets und können anderen Benutzern über IAM-Policy-Anweisungen Zugriff ermöglichen.

  • Exportierte Logs bleiben unbegrenzt verfügbar.

    Tipp

    Sie können das Archivieren und Löschen von Logs mit Object Storage automatisch verwalten. Siehe Object Lifecycle Management verwenden.
  • Geben Sie alle Regionen an, die in Ihrer Anforderung exportiert werden sollen. Wenn Sie nur einige Regionen anfordern und später weitere Regionen hinzufügen möchten, müssen Sie eine weitere Anforderung erstellen.
  • Um den Bulkexport zu deaktivieren, wenden Sie sich an Oracle Support. Daraufhin werden dem Bucket keine neuen Logs mehr hinzugefügt, und Auditlogs sind nur noch auf Basis des von Ihnen definierten Aufbewahrungszeitraums über die Konsole verfügbar.

Erforderliche IAM-Policy

Um auf den Bucket zuzugreifen, in den Oracle die Auditlogs exportiert, müssen Sie Mitglied der Administratorengruppe sein. Siehe Administratorengruppe und Policy

Export von Auditlogs anfordern

Hinweis

Wenn Sie Ihre Anforderung nach dem 30. Juni 2023 stellen, fordern Sie mit dem Logging-Service und dem Service Connector Hub einen Massenexport von Auditlogs an. Weitere Informationen finden Sie unter Szenario: Logs in Object Storage archivieren.

Für Kunden, die diesen Workflow bereits verwendet haben, muss ein Mitglied der Administratorengruppe für Ihren Mandanten ein Ticket in My Oracle Support erstellen und folgende Informationen bereitstellen: 

  • Ticketname: Auditlogs exportieren - <your_company_name>
  • Mandanten-OCID
  • Regionen

Beispiel:

  • Ticketname: Auditlogs exportieren - ACME
  • Mandanten-OCID: ocid1.tenancy.oc1.<unique_ID>
  • Regionen: US East (Ashburn), Regions-ID= us-ashburn-1; (US West (Phoenix)), Regions-ID = us-phoenix-1
Hinweis

Es kann 5-10 Werktage dauern, bis Ihr My Oracle Support-Ticket bearbeitet ist und Ihnen die Logs zur Verfügung stehen.

Bucket- und Objektdetails

In diesem Abschnitt werden die Benennungskonventionen des Buckets und der Objekte angegeben, die Sie empfangen.

Namensformat für Buckets

Oracle Support verwendet beim Erstellen von Buckets für Auditlogexporte das folgende Benennungsformat:

oci-logs._audit.<compartment_OCID>

  • oci-logs gibt an, dass Oracle diesen Bucket erstellt hat.
  • _audit gibt an, dass der Bucket Auditereignisse enthält.
  • <compartment_OCID> gibt das Compartment an, in dem die Auditereignisse generiert wurden.

Beispiel: 

oci-logs._audit.ocid1compartment.oc1..<unique_ID>
Wichtig

Wenn die OCID des Compartments, in dem das Auditlog generiert wurde, einen Doppelpunkt enthält, stimmt der Bucket-Name nicht mit der OCID überein. Um einen Bucket zu erstellen, muss Oracle Doppelpunkte (:) aus der OCID im Bucket-Namen durch Punkte (.) ersetzen.

Namensformat für Objekte

Objekte verwenden das folgende Benennungsformat:

<region>/<ad>/<YYYY-MM-DDTHH:MMZ>[_<seqNum>].log.gz

  • <region> gibt die Region an, in dem die Auditereignisse generiert wurden.
  • <ad> gibt die Availability-Domain an, in der die Auditereignisse generiert wurden.
  • <YYYY-MM-DDTHH:MMZ> gibt die Startzeit des frühesten Auditereignisses an, das in dem Objekt aufgeführt wird.
  • [_<seqNum>] gibt eine bedingte Folgenummer an. Wenn diese Nummer vorhanden ist, bedeutet dies, dass entweder ein Ereignis zu spät eingegangen ist oder das Objekt zu groß wurde, um geschrieben zu werden. Folgenummern beginnen bei zwei. Wenden Sie mehrere Folgenummern in der aufgeführten Reihenfolge auf das Originalobjekt an.

Beispiel: 

us-phoenix-1/ad1/2019-03-21T00:00Z.log.gz
us-phoenix-1/ad1/2019-03-21T00:00Z_2.log.gz

Dateiformat

Dateien führen ein einzelnes Auditereignis pro Zeile auf. Weitere Informationen finden Sie unter Inhalt eines Auditlogereignisses.

Hinweis

In Audit wurde Version 2 des Auditlogschemas eingeführt, der Bulkexport ist jedoch derzeit nur für Logs der Version 1 verfügbar.