Oracle Cloud Infrastructure - Dokumentation

Auditlogereignisse anzeigen

Beschreibt, wie Auditlogereignisse angezeigt werden.

Audit stellt Datensätze von API-Vorgängen, die für unterstützte Services ausgeführt werden, als Liste von Logereignissen bereit. Der Service protokolliert Ereignisse sowohl auf Mandanten- als auch auf Compartment-Ebene.

Wenn Sie die von Audit protokollierten Ereignisse anzeigen, sind Sie möglicherweise an bestimmten Aktivitäten interessiert, die im Mandanten oder Compartment aufgetreten sind, und daran, wer für die Aktivität verantwortlich war. Sie müssen die ungefähre Uhrzeit und das Datum eines Vorgangs sowie das Compartment, in dem er aufgetreten ist, kennen, um eine Liste der Logereignisse anzuzeigen, die die betreffende Aktivität enthalten. Listen Sie Logereignisse auf, indem Sie im 24-Stunden-Format einen Zeitbereich ausgehend von GMT (Greenwich Mean Time) angeben und dabei bei Bedarf den Offset zu Ihrer lokalen Zeitzone berechnen. An die vorhandene Liste wird eine neue Aktivität angehängt, in der Regel innerhalb von 15 Minuten nach API-Aufruf. Die Verarbeitungszeit kann jedoch variieren.

Erforderliche IAM-Policy

Um Oracle Cloud Infrastructure verwenden zu können, muss ein Administrator Mitglied einer Gruppe sein, der Sicherheitszugriff in einer Policy von einem Mandantenadministrator erteilt wurde. Dieser Zugriff ist unabhängig davon erforderlich, ob Sie die Konsole oder die REST-API mit einem SDK, einer CLI oder einem anderen Tool verwenden. Wenn Sie eine Meldung erhalten, dass Sie keine Berechtigung haben oder nicht autorisiert sind, fragen sie den Mandantenadministrator, welcher Zugriffstyp Ihnen zugewiesen wurde und In welchem Compartment Ihr Zugriff funktioniert.

Für Administratoren: Mit der folgenden Policy-Anweisung kann die angegebene Gruppe (Auditoren) alle Auditereignislogs im Mandanten anzeigen:

Allow group Auditors to read audit-events in tenancy

Schreiben Sie eine Policy wie die folgende, um der Gruppe Zugriff auf die Auditereignislogs in einem bestimmten Compartment (ProjectA) zu gewähren:

Allow group Auditors to read audit-events in compartment ProjectA

Wenn Sie mit Policys nicht vertraut sind, finden Sie weitere Informationen unter Erste Schritte mit Policys und Allgemeine Policys. Weitere Einzelheiten zu Policys für das Audit finden Sie unter Details zum Auditservice.

In der Konsole suchen und filtern

Wenn Sie in der Konsole zu Audit navigieren, wird eine Liste der Ergebnisse für das aktuelle Compartment generiert. Auditlogs werden nach Compartment organisiert. Wenn Sie also nach einem bestimmten Ereignis suchen, müssen Sie wissen, in welchem Compartment das Ereignis aufgetreten ist. Sie können die Liste auf folgende Arten filtern:

  • Datum und Uhrzeit
  • Anforderungsaktionstypen (Vorgänge) 
  • Schlüsselwörter

Beispiel: Benutzer melden, dass ihr Anmeldeversuch fehlschlägt. Sie möchten Audit verwenden, um das Problem zu untersuchen. Passen Sie Datum und Uhrzeit an, um entsprechende Fehler während eines Zeitfensters zu suchen, das kurz vor den gemeldeten Ereignissen beginnt. Suchen Sie nach entsprechenden Fehlern und ähnlichen Vorgängen, die vor den Fehlern aufgetreten sind, um daraus einen Grund für die Fehler abzuleiten.

Hinweis

Der Service protokolliert Ereignisse zum Zeitpunkt der Verarbeitung. Es kann eine Verzögerung zwischen dem Zeitpunkt geben, an dem ein Vorgang stattfindet, und dem Zeitpunkt, an dem er verarbeitet wird.

Sie können Ergebnisse nach Anforderungsaktionen filtern, um nur die Ereignisse mit Vorgängen anzuzeigen, die für Sie von Interesse sind. Beispiel: Sie möchten nur Instanzen anzeigen, die während eines bestimmten Zeitrahmens gelöscht wurden. Wählen Sie einen Aktionsfilter für Löschanforderungen aus, um nur die Ereignisse mit Löschvorgängen anzuzeigen.

Sie können auch nach Schlüsselwörtern filtern. Schlüsselwortfilter sind in Kombination mit den Werten aus Auditereignisfeldern äußerst wirksam. Beispiel: Sie kennen den Benutzernamen eines Accounts und möchten eine Liste aller Aktivitäten dieses Accounts in einem bestimmten Zeitrahmen anzeigen. Führen Sie eine Suche mit dem Benutzernamen als Stichwortfilter durch.

Jedes Auditereignis enthält dieselben Felder. Suchen Sie daher nach Werten in diesen Feldern. Weitere Informationen zu den verfügbaren Werten finden Sie unter Inhalt eines Auditlogereignisses.