Activación del acceso a Logging Analytics y sus recursos
Configure su arrendamiento de Oracle Cloud Infrastructure para utilizar Oracle Logging Analytics realizando estas tareas de configuración necesarias.
Oracle Logging Analytics es un servicio regional. Antes de empezar, seleccione la región que desea utilizar. Puede seguir estos pasos para cada región que desee configurar, pero cada región será una instancia diferente. Seleccione su región mediante el selector de región en la esquina superior derecha de la consola.
Temas:
-
Activación del acceso de Logging Analytics a su familia de funciones
-
Identificación de los compartimentos de OCI para colocar los recursos de Logging Analytics
-
Creación de grupos de usuarios para implantar el control de acceso
Para obtener políticas para realizar tareas específicas y una referencia completa de los requisitos de políticas en Logging Analytics, consulte Catálogo de políticas de IAM para Logging Analytics.
Puede utilizar las plantillas fácilmente disponibles para crear una política para un grupo de usuarios o grupo dinámico para realizar una operación específica o una recopilación de operaciones. Consulte Plantillas de políticas definidas por Oracle para casos de uso comunes.
Si ha activado Oracle Logging Analytics mediante la interfaz de usuario de vinculación que está disponible al navegar al servicio por primera vez, ya se han creado algunas políticas. Consulte Políticas creadas durante la vinculación de Logging Analytics.
Activación del acceso de Logging Analytics a su familia de funciones
Se debe crear una política de IAM de nivel de servicio para permitir que el servicio Oracle Logging Analytics funcione. Cree políticas mediante las políticas estándar de IAM de Oracle Cloud Infrastructure y agregue la siguiente sentencia de política.
| Sentencia de política | Descripción |
|---|---|
allow service loganalytics to READ loganalytics-features-family in tenancy |
Permita al servicio Oracle Logging Analytics derechos de acceso READ de la familia loganalytics-features-family en todo el arrendamiento. |
Algunas de las sentencias de política anteriores se incluyen en las plantillas de políticas definidas por Oracle fácilmente disponibles. Puede que desee considerar el uso de la plantilla para su caso de uso. Consulte Plantillas de políticas definidas por Oracle para casos de uso comunes.
Para obtener políticas para realizar tareas específicas y una referencia completa de los requisitos de políticas en Logging Analytics, consulte Catálogo de políticas de IAM para Logging Analytics.
Si ha activado Oracle Logging Analytics mediante la interfaz de usuario de vinculación que está disponible al navegar al servicio por primera vez, ya se han creado algunas políticas. Consulte Políticas creadas durante la vinculación de Logging Analytics.
Identificación de los compartimentos de OCI para colocar los recursos de Logging Analytics
Utilice compartimentos para crear recursos de Oracle Logging Analytics como entidades y grupos de logs. Ajuste el acceso a los compartimentos para mejorar el control de acceso del usuario.
Puede utilizar compartimentos existentes o puede crear otros nuevos específicamente forOracle Logging Analytics. Puede crear varios compartimentos para proporcionar a diferentes juegos de usuarios acceso a diferentes partes del producto o a los datos de log. Para obtener más información sobre cómo funcionan los compartimentos, consulte Gestión de compartimentos en la documentación de Oracle Cloud Infrastructure.
Los recursos de Oracle Logging Analytics deben residir en los compartimentos. Al crear cualquiera de los siguientes recursos, debe seleccionar el compartimento en el que se encontrarán:
| Recurso | Control de acceso mediante políticas de Oracle IAM |
|---|---|
|
Entidades |
Puede controlar quién puede activar o desactivar la recopilación de logs para una entidad específica. |
|
Grupos de log |
Puede controlar quién puede buscar en los logs después de que se hayan recopilado, enriquecido e indexado. |
|
Políticas de depuración |
Puede controlar quién puede parar o cambiar la definición de la política de depuración. |
|
Reglas de recopilación de almacenamiento de objetos |
Puede controlar quién puede parar o cambiar la regla de recopilación. |
Para obtener políticas para realizar tareas específicas y una referencia completa de los requisitos de políticas en Logging Analytics, consulte Catálogo de políticas de IAM para Logging Analytics.
Si ha activado Oracle Logging Analytics mediante la interfaz de usuario de vinculación que está disponible al navegar al servicio por primera vez, ya se han creado algunas políticas. Consulte Políticas creadas durante la vinculación de Logging Analytics.
Creación de grupos de usuarios para implantar el control de acceso
Cree uno o más grupos de usuarios para otorgar distintos niveles de acceso a los usuarios en función de cómo desee utilizar Oracle Logging Analytics.
Un usuario que sea miembro del grupo Administradores tendrá acceso completo a todas las funciones de Oracle Logging Analytics. Consulte Grupo de administradores, política y roles de administrador.
Grupos de usuarios recomendados
Se recomienda crear grupos de usuarios similares a los siguientes ejemplos para comenzar:
- Logging-Analytics-Users: los usuarios que agregue a este grupo podrán consultar los logs y ver las distintas configuraciones. Sin embargo, no pueden activar ni desactivar la recopilación de logs, cambiar configuraciones ni suprimir logs.
- Logging-Analytics-Admins: los usuarios que agregue a este grupo tendrán privilegios de Logging-Analytics-Users y, además, podrán crear o editar orígenes, analizadores, entidades y grupos de logs. Estos usuarios también pueden activar o desactivar la recopilación de logs. Sin embargo, no pueden depurar logs.
- Logging-Analytics-SuperAdmins: los usuarios de este grupo tienen los privilegios de Logging-Analytics-Admins y, además, pueden realizar actividades de ciclo de vida, como la vinculación y la desactivación de Oracle Logging Analytics y la depuración de logs.
Tenga en cuenta que los grupos anteriores se muestran como ejemplos y se utilizarán para crear políticas de IAM en esta documentación. Sin embargo, puede crear los grupos de usuarios en función de sus necesidades.
Tipos de recursos agregados en Logging Analytics
Las dos familias siguientes le permiten otorgar acceso masivo sin tener que asignar permisos individuales a cada grupo de usuarios. En la mayoría de los casos, puede utilizarlos para simplificar la gestión de las políticas de Oracle Logging Analytics.
- loganalytics-features-family para controlar las funciones a las que tiene acceso un usuario y las acciones que puede realizar mediante la consola, la API de REST, la CLI o el SDK.
loganalytics-features-family y los recursos que contiene solo se pueden definir en el nivel de arrendamiento, no por compartimento.
- loganalytics-resources-family para controlar el acceso que tiene el usuario para crear, leer, actualizar y suprimir recursos como entidades, grupos de logs, políticas de depuración y reglas de recopilación de almacenamiento de objetos.
A esta familia y a los recursos que contiene se les puede otorgar acceso para todo el arrendamiento o para un compartimento específico.
Para obtener políticas para realizar tareas específicas y una referencia completa de los requisitos de políticas en Logging Analytics, consulte Catálogo de políticas de IAM para Logging Analytics.
Si ha activado Oracle Logging Analytics mediante la interfaz de usuario de vinculación que está disponible al navegar al servicio por primera vez, ya se han creado algunas políticas. Consulte Políticas creadas durante la vinculación de Logging Analytics.
Otorgamiento de acceso a grupos de usuarios
Cree políticas mediante las políticas estándar de IAM de Oracle Cloud Infrastructure para definir cómo sus grupos de usuarios pueden utilizar Oracle Logging Analytics.
Si desea probar rápidamente Oracle Logging Analytics sin gestionar grupos ni políticas, un usuario que sea miembro del grupo Administradores tendrá acceso completo a todas las funciones. Consulte Grupo de administradores, política y roles de administrador.
Para configurar la política de acuerdo con los grupos de ejemplo de Creación de Grupos de Usuarios para Implantar el Control de Acceso, aplique los siguientes juegos de políticas.
Para el grupo de usuarios Logging-Analytics-SuperAdmins:
| Política | Descripción |
|---|---|
|
|
Permite que el grupo Logging-Analytics-SuperAdmins tenga los derechos de acceso MANAGE de la familia loganalytics-features-family en el arrendamiento. Esta política activará los derechos para realizar todas las tareas del servicio, incluida la desvinculación, la supresión de logs, la configuración del archivado, etc. |
|
O
|
Permite que el grupo Logging-Analytics-SuperAdmins tenga los derechos de acceso MANAGE de la familia loganalytics-resources-family en el arrendamiento o en un compartimento específico. Esta política activará los derechos para realizar cualquier tarea del servicio en cualquier tipo de recurso que pertenezca a la familia loganalytics-resources-family. |
|
|
Permite que el grupo Logging-Analytics-SuperAdmins tenga todos los derechos de acceso para la familia de recursos del panel de control de gestión en el arrendamiento. Puede cambiar de arrendamiento a compartimentos específicos. |
|
|
Permita que el grupo Logging-Analytics-SuperAdmins obtenga la lista de compartimentos disponibles para los grupos de logs a los que puede tener acceso el grupo. Esto es necesario para utilizar Log Explorer. |
Para el grupo de usuarios Logging-Analytics-Admins:
| Política | Descripción |
|---|---|
|
|
Permite que el grupo Logging-Analytics-Admins tenga los derechos de acceso USE de la familia loganalytics-features-family en el arrendamiento. |
|
O
|
Permite que el grupo Logging-Analytics-Admins tenga derechos de acceso USE de la familia loganalytics-resources-family en el arrendamiento o en un compartimento específico. Permita que este grupo vea, cree, edite o suprima los recursos de la familia loganalytics-resources-family. |
|
O
|
Permite que el grupo Logging-Analytics-Admins tenga todos los derechos de acceso para la familia de recursos del panel de control de gestión en el arrendamiento. Puede cambiar de arrendamiento a compartimentos específicos. |
|
|
Permita que el grupo Logging-Analytics-Admins obtenga la lista de compartimentos disponibles para los grupos de logs a los que puede tener acceso el grupo. Esto es necesario para utilizar Log Explorer. |
Para el grupo de usuarios Logging-Analytics-Users:
| Política | Descripción |
|---|---|
|
|
Permite que el grupo Logging-Analytics-Users tenga los derechos de acceso READ de la familia loganalytics-features-family en el arrendamiento. |
|
O
|
Permite que el grupo Logging-Analytics-Users tenga derechos de acceso READ de la familia loganalytics-resources-family en el arrendamiento. Puede cambiar de arrendamiento a compartimentos específicos. Permita que este grupo vea los detalles de los recursos de la familia loganalytics-resources-family. El usuario no puede crear, editar ni suprimir ninguno de ellos. |
|
O
|
Permite que el grupo Logging-Analytics-Users tenga los derechos de acceso USE para la familia de recursos del panel de control de gestión en el arrendamiento. Puede cambiar de arrendamiento a compartimentos específicos. |
|
|
Permita que el grupo Logging-Analytics-Users obtenga la lista de compartimentos disponibles para los grupos de logs a los que puede tener acceso el grupo. Esto es necesario para utilizar Log Explorer. |
Puede agregar sentencias de política específicas de compartimento para cualquier cantidad de compartimentos que desee crear para organizar los recursos, como entidades y grupos de logs. Estos recursos también pueden estar en diferentes compartimentos. No es necesario que todas las instancias de recursos de diferentes tipos estén en el mismo compartimento. Sin embargo, puede que le resulte más fácil gestionar si puede minimizar el número de compartimentos utilizados.
En lugar de utilizar la familia de recursos, también puede especificar una política en el nivel de recursos individual. Por ejemplo:
| Política | Descripción |
|---|---|
|
|
Los usuarios del grupo DBA pueden crear, editar o suprimir entidades y activar o desactivar la recopilación de logs para entidades en el compartimento Bases de datos. |
|
|
Los usuarios del grupo DBA pueden crear, editar o suprimir grupos de logs y consultar los logs almacenados en el compartimento Bases de datos. |
Algunas de las sentencias de política anteriores se incluyen en las plantillas de políticas definidas por Oracle fácilmente disponibles. Puede que desee considerar el uso de la plantilla para su caso de uso. Consulte Plantillas de políticas definidas por Oracle para casos de uso comunes.
Para obtener políticas para realizar tareas específicas y una referencia completa de los requisitos de políticas en Logging Analytics, consulte Catálogo de políticas de IAM para Logging Analytics.
Si ha activado Oracle Logging Analytics mediante la interfaz de usuario de vinculación que está disponible al navegar al servicio por primera vez, ya se han creado algunas políticas. Consulte Políticas creadas durante la vinculación de Logging Analytics.
Activación de Logging Analytics
Después de completar las tareas previas necesarias, como crear grupos de usuarios, crear compartimentos y definir políticas de acceso para los grupos de usuarios, puede acceder a Oracle Logging Analytics y activarlo para su uso.
Para activar Oracle Logging Analytics, debe ser miembro del grupo Administradores. Consulte Grupo de administradores, política y roles de administrador.
-
Abra el menú de navegación, haga clic en Observación y gestión y, a continuación, haga clic en Logging Analytics.
-
Si es la primera vez que utiliza el servicio en esta región, pasará a una página de vinculación que le proporcionará algunos detalles generales del servicio y una opción para empezar a utilizar el servicio Oracle Logging Analytics. Haga clic en Empezar a usar Log Analytics.
Se muestra el cuadro de diálogo Activar Log Analytics. Aquí, se crean las políticas mínimas necesarias y el grupo de logs si aún no existen.
-
Haga clic en Siguiente. La recopilación de logs de auditoría de OCI está configurada.
La casilla de control Incluir _Auditoría en subcompartimentos está activada por defecto. Puede desactivarla, si es necesario. Según su preferencia, las políticas se crean y se realizan acciones adecuadas.
Haga clic en Siguiente.
-
Una vez completada la vinculación, haga clic en Llevarme al explorador de logs.
Ahora puede explorar Oracle Logging Analytics.
Para ver la lista de políticas creadas en el proceso anterior, consulte Políticas creadas durante la vinculación de Logging Analytics.