Oracle Cloud Infrastructure - Dokumentation

Schlüsselverwendung überwachen

Erfahren Sie, wie Sie die Schlüsselverwendung in Oracle Cloud Infrastructure mit Logdaten überwachen.

Die Überwachung der Verwendung von Schlüsseln für Verschlüsselungs- und Entschlüsselungsvorgänge kann für verschiedene Anwendungsfälle von Nutzen sein, darunter die folgenden:

  • Lebenszyklusmanagement: Das Verständnis, wann ein Schlüssel zuletzt verwendet wurde, ist entscheidend, um fundierte Aufbewahrungsentscheidungen zu treffen. Häufig verwendete Schlüssel, z. B. diejenigen, die Datenbank-Workloads unterstützen, können trotz begrenzter Aktivitäten weiterhin betrieblich wichtig sein. Durch die Erweiterung der Logaufbewahrung über OCI Connector Hub erhalten Sie einen tieferen Einblick in historische Nutzungsmuster, sodass Teams risikobewusste Entscheidungen darüber treffen können, ob Schlüssel beibehalten, rotiert oder eingestellt werden sollen.
  • Sicherheit: Durch das Monitoring der Schlüsselverwendung können Sie auf ungewöhnliche Aktivitäten aufmerksam gemacht werden.
  • Überwachen oder Untersuchen des Anwendungsverhaltens: Wenn Sie das Anwendungsverhalten mit der Schlüsselverwendung korrelieren, können Sie nützliche Informationen zur Lösung von Problemen mit Ihren Anwendungen oder zur Verbesserung ihrer Performance erhalten.

In diesem Thema wird beschrieben, wie Sie die Schlüsselverwendung mit Oracle Cloud Infrastructure-(OCI-)Logs überwachen können.

Verfügbare Loggingdaten

Der OCI-Logging-Service stellt verschiedene Arten von Logs bereit, darunter die folgenden:

Auditlogs

Auditlogs: Mit Auditlogs können Sie Managementvorgänge überwachen, wie:

  • Vorgänge zum Erstellen, Aktualisieren und Löschen von Schlüsseln und Vaults
  • Rotationsvorgänge für Schlüssel

In Auditlogs werden keine kryptografischen Vorgänge wie Decrypt oder GenerateDataEncryptionKey (Data-Plane-Aktivität) aufgezeichnet, die stattdessen optional in Servicelogs aufgezeichnet werden.

Servicelogs

Servicelogs müssen vom Kunden aktiviert werden, damit sie verwendet werden können. Wenn diese Option für die Schlüsselverwaltung aktiviert ist, erfassen Servicelogs Metadaten, darunter:

  • Aufrufprinzip (der Benutzer, die Funktion oder die Instanz, die den Schlüsselvorgang ansteuert)
  • Schlüssel-OCID
  • Schlüsselversion
  • Vorgangstyp (Beispiel: Decrypt)
  • Zeitstempel
  • Vault- und Compartment-Details
Wichtig

Servicelogs erfassen keine sensiblen Informationen, die die Datensicherheit für Ihr Unternehmen oder Ihre Kunden beeinträchtigen würden. Vollständige Details zu den Daten, die Servicelogs für Key Management erfassen, finden Sie unter Details zu Key Management.

Servicelogs für einen Vault aktivieren

Um Servicelogs zu aktivieren, benötigen Sie die erforderlichen IAM-Berechtigungen. Weitere Informationen finden Sie unter Details zum Logging in der IAM-Servicedokumentation.

Beachten Sie, dass Servicelogs auf Vault-Ebene aktiviert sind. Wiederholen Sie die Schritte in diesem Thema für jeden regionalen Vault, für den Sie das Logging aktivieren möchten.

Weitere Informationen finden Sie in der Dokumentation zum Logging-Service unter Logging für eine Ressource aktivieren.

  1. Öffnen Sie das Navigationsmenü , und wählen Sie Observability and Management aus. Wählen Sie unter Logging die Option Logs aus.
  2. Wählen Sie Servicelog aktivieren aus.
  3. Konfigurieren Sie das Log wie folgt:
    • Compartment: Wählen Sie das Compartment mit dem Vault aus, für den Sie das Logging aktivieren.
    • Service: Schlüsselverwaltung
    • Ressource: Wählen Sie den Vault aus, den Sie mit Servicelogs überwachen möchten.
    • Logkategorie: Kryptovorgänge.
    • Logname: Geben Sie einen Namen für das Log ein.
  4. Wählen Sie Logging aktivieren.

KMS-Protokolle anzeigen und abfragen

  1. Öffnen Sie das Navigationsmenü , und wählen Sie Observability and Management aus. Wählen Sie unter Logging die Option Logs aus.
  2. Navigieren Sie in der Listenansicht der Logs zu einem Servicelog, das Sie für einen Vault erstellt haben. Anweisungen finden Sie unter Details eines Logs abrufen.
  3. Verwenden Sie die Steuerelemente Sortieren und Nach Zeit filtern, um zu steuern, welche Logeinträge in der Liste Log durchsuchen angezeigt werden. In der Spalte type wird der Typ des Kryptovorgangs angezeigt, den der Eintrag darstellt. Beispiel: Ein Eintrag für einen Entschlüsselungsvorgang hat den folgenden Eintragstyp:

    keymanagementservice.vault.crypto.decrypt

    Die folgende Abbildung zeigt ein Beispiellog mit einer Liste von Logeinträgen:

    Ein Bild einer Seite mit den Servicelogdetails für KMS-Kryptovorgänge.
  4. Um die vollständigen Details für einen Logeintrag anzuzeigen, wählen Sie den Pfeil am Ende der Zeile für den Eintrag aus, um den Eintrag zu erweitern und eine JSON-formatierte Ansicht der Eintragsdetails anzuzeigen.

    Die folgende Abbildung zeigt ein Beispiel für die Details für einen Logeintrag im JSON-Format:

    Bild eines KMS-Servicelogeintrags im JSON-Format.
    {
  "datetime": 1754361617552,
  "logContent": {
    "data": {
      "clientIpAddress": "<example_ip>",
      "keyVersionId": "ocid1.keyversion.oc1.iad.<example_ocid>",
      "opcRequestId": "<example_request_id>",
      "principalId": "objectstorage-us-ashburn-1/<example_principle>",
      "requestAction": "DECRYPT",
      "statusCode": 200
    },
    "id": "51777c94-e29c-4e78-9121-946c77301f62",
    "oracle": {
      "compartmentid": "ocid1.tenancy.oc1.<example_ocid>",
      "ingestedtime": "2025-08-05T02:40:55.747Z",
      "loggroupid": "ocid1.loggroup.oc1.<example_ocid>",
      "logid": "ocid1.log.oc1.iad.<example_ocid>",
      "tenantid": "ocid1.tenancy.oc1.<example_ocid>"
    },
    "source": "ocid1.vault.oc1.iad.<example_ocid>",
    "specversion": "1.0",
    "subject": "ocid1.key.oc1.iad.<example_ocid>",
    "time": "2025-08-05T02:40:17.552Z",
    "type": "com.oraclecloud.keymanagementservice.vault.crypto.decrypt"
  },
  "regionId": "us-ashburn-1"
}
  5. Um nach Einträgen nach einer benutzerdefinierten Abfrage zu suchen, wählen Sie Aktionen und dann Mit Logsuche explorieren aus. Der Basismodus für die Logsuche wird standardmäßig angezeigt. Sie können Schlüsselwörter (wie "verschlüsseln") oder eindeutige Werte oder Zeichenfolgen (wie einen principalId-Wert) in das Feld Benutzerdefinierte Filter eingeben. Sie können auch den erweiterten Modus auswählen und die Abfragesyntax verwenden, um das Log zu durchsuchen. Weitere Informationen zum Durchsuchen von Logs finden Sie unter Details eines Logs abrufen und Loggingsuche.

Logs an Object Storage oder externe Plattformen wie SIEM senden

Servicelogs werden standardmäßig 30 Tage lang gespeichert. Verwenden Sie zur langfristigen Aufbewahrung oder externen Analyse Connector Hub, um Logs an Zielziele weiterzuleiten, wie:

  • Objektspeicher
  • Loganalyse
  • Externe Ziele wie SIEM

In den folgenden Themen finden Sie weitere Informationen: