Oracle Cloud Infrastructureドキュメント

ログ・アナリティクスとそのリソースへのアクセスの有効化

これらの前提条件の構成タスクを実行して、Oracle Logging Analyticsを使用するようにOracle Cloud Infrastructureテナンシを設定します。

Oracle Logging Analyticsはリージョン別サービスです。開始する前に、使用するリージョンを選択します。設定するリージョンごとにこれらのステップに従うことができますが、各リージョンは異なるインスタンスになります。コンソールの右上隅にあるリージョン・セレクタを使用してリージョンを選択します。

トピック:

ログ・アナリティクスで特定のタスクを実行するポリシーおよびポリシー要件の完全な参照は、ログ・アナリティクスのIAMポリシー・カタログを参照してください。

すぐに使用可能なテンプレートを使用して、ユーザー・グループまたは動的グループのポリシーを作成し、特定の操作または操作のコレクションを実行できます。Oracle定義の共通ユースケース用ポリシー・テンプレートを参照してください。

ノート

サービスに初めてナビゲートするときに使用できるオンボーディングUIを使用してOracle Logging Analyticsを有効にした場合、一部のポリシーがすでに作成されます。ログ・アナリティクスのオンボーディング中に作成されるポリシーを参照してください。

ログ・アナリティクスからその機能ファミリへのアクセスの有効化

Oracle Logging Analyticsサービスが動作できるように、サービスレベルのIAMポリシーを作成する必要があります。標準のOracle Cloud Infrastructure IAMポリシーを使用してポリシーを作成し、それに次のポリシー・ステートメントを追加します。

ポリシー・ステートメント 説明
allow service loganalytics to READ loganalytics-features-family in tenancy

Oracle Logging Analyticsサービスに、テナンシ全体でファミリloganalytics-features-familyのREADアクセス権を許可します。

前述のポリシー・ステートメントの一部は、すぐに使用可能なOracle定義のポリシー・テンプレートに含まれています。ユース・ケースにテンプレートを使用することを検討できます。Oracle定義の共通ユースケース用ポリシー・テンプレートを参照してください。

ログ・アナリティクスで特定のタスクを実行するポリシーおよびポリシー要件の完全な参照は、ログ・アナリティクスのIAMポリシー・カタログを参照してください。

ノート

サービスに初めてナビゲートするときに使用できるオンボーディングUIを使用してOracle Logging Analyticsを有効にした場合、一部のポリシーがすでに作成されます。ログ・アナリティクスのオンボーディング中に作成されるポリシーを参照してください。

ログ・アナリティクス・リソースを配置するOCIコンパートメントの識別

コンパートメントを使用して、エンティティやログ・グループなどのOracle Logging Analyticsのリソースを作成します。コンパートメントへのアクセスを微調整して、ユーザー・アクセス制御を向上させます。

既存のコンパートメントを使用することも、forOracleログ・アナリティクス専用の新しいコンパートメントを作成することもできます。複数のコンパートメントを作成して、異なるユーザー・セットに製品またはログ・データの異なる部分へのアクセス権を付与できます。コンパートメントの動作方法の詳細なガイダンスは、Oracle Cloud Infrastructureドキュメントコンパートメントの管理を参照してください。

Oracle Logging Analyticsのリソースは、コンパートメントに存在する必要があります。次のいずれかのリソースを作成する場合、それらが存在するコンパートメントを選択する必要があります:

リソース Oracle IAMポリシーを使用したアクセス制御

エンティティ

特定のエンティティのログ収集を有効または無効にできるユーザーを制御できます

ログ・グループ

ログを収集、エンリッチおよび索引付けした後で、ログを検索できるユーザーを制御できます。

パージ・ポリシー

パージ・ポリシー定義を停止または変更できるユーザーを制御できます。

オブジェクト・ストレージ収集ルール

収集ルールを停止または変更できるユーザーを制御できます。

ログ・アナリティクスで特定のタスクを実行するポリシーおよびポリシー要件の完全な参照は、ログ・アナリティクスのIAMポリシー・カタログを参照してください。

ノート

サービスに初めてナビゲートするときに使用できるオンボーディングUIを使用してOracle Logging Analyticsを有効にした場合、一部のポリシーがすでに作成されます。ログ・アナリティクスのオンボーディング中に作成されるポリシーを参照してください。

アクセス制御を実装するためのユーザー・グループの作成

Oracle Logging Analyticsの使用方法に応じて、1つ以上のユーザー・グループを作成し、様々なレベルのアクセス権をユーザーに付与します。

トピック:

管理者グループのメンバーであるユーザーには、Oracle Logging Analyticsのすべての機能に対する完全なアクセス権があります。

推奨されるユーザー・グループ

開始するには、次の例のようなユーザー・グループを作成することをお薦めします:

  • Logging-Analytics-Users: このグループに追加されたユーザーは、ログを問い合せたり、様々な構成を表示したりできます。ただし、ログ収集の有効化または無効化、構成の変更、またはログの削除はできません。
  • Logging-Analytics-Admins: このグループに追加されたユーザーは、Logging-Analytics-Users権限を持ち、さらにソース、パーサー、エンティティおよびログ・グループを作成または編集できます。これらのユーザーは、ログ収集を有効または無効にすることもできます。ただし、ログのパージはできません。
  • Logging-Analytics-SuperAdmins: このグループのユーザーにはLogging-Analytics-Adminsの権限があり、さらにOracle Logging Analyticsからのオンボードとオフボードやログのパージなどのライフサイクル・アクティビティを実行できます。

前述のグループは、例として示されており、このドキュメントでIAMポリシーを作成するために使用されます。ただし、各自のニーズに基づいてユーザー・グループを作成できます。

ログ・アナリティクスのリソース・タイプの集計

次の2つのファミリによって、各ユーザー・グループに個別の権限を割り当てなくても、一括してアクセス権を付与できます。ほとんどの場合、これらを使用して、Oracle Logging Analyticsポリシーの管理を簡素化できます。

  • loganalytics-features-familyでは、ユーザーがアクセスできる機能と、コンソール、REST API、CLIまたはSDKを使用してユーザーが実行できるアクションを制御します。

    loganalytics-features-familyとそれに含まれるリソースは、コンパートメント単位ではなくテナンシ・レベルでのみ設定できます。

  • loganalytics-resources-familyでは、エンティティ、ログ・グループ、パージ・ポリシー、オブジェクト・ストア収集ルールなどのリソースを作成、読取り、更新および削除するためにユーザーが保持するアクセス権を制御します。

    このファミリとそれに含まれるリソースには、テナンシ全体または特定のコンパートメントに対するアクセス権を付与できます。

ログ・アナリティクスで特定のタスクを実行するポリシーおよびポリシー要件の完全な参照は、ログ・アナリティクスのIAMポリシー・カタログを参照してください。

ノート

サービスに初めてナビゲートするときに使用できるオンボーディングUIを使用してOracle Logging Analyticsを有効にした場合、一部のポリシーがすでに作成されます。ログ・アナリティクスのオンボーディング中に作成されるポリシーを参照してください。

ユーザー・グループへのアクセス権の付与

標準のOracle Cloud Infrastructure IAMポリシーを使用してポリシーを作成し、ユーザー・グループがOracle Logging Analyticsを使用できる方法を定義します。

ノート

グループおよびポリシーを管理せずにOracle Logging Analyticsをすぐに試してみる場合、管理者グループのメンバーであるユーザーは、すべての機能に対する完全なアクセスできます。

アクセス制御を実装するためのユーザー・グループの作成のグループ例に従ってポリシーを設定するには、Oracle Cloud Infrastructure IAMポリシー機能で次のポリシー・セットを適用します:

ポリシー 説明

Logging-Analytics-SuperAdminsユーザー・グループの場合:

allow group Logging-Analytics-SuperAdmins to MANAGE loganalytics-features-family in tenancy

グループLogging-Analytics-SuperAdminsがテナンシ全体でファミリloganalytics-features-familyに対してMANAGEアクセス権を持つことを許可します。

このポリシーにより、オフボード、ログの削除、アーカイブの設定など、サービスのすべてのタスクを実行する権限が有効になります。

allow group Logging-Analytics-SuperAdmins to MANAGE loganalytics-resources-familY in tenancy

OR

allow group Logging-Analytics-SuperAdmins to MANAGE loganalytics-resources-family in compartment myCompartment1

グループLogging-Analytics-SuperAdminsがテナンシ全体または特定のコンパートメント内のファミリloganalytics-resources-familyに対してMANAGEアクセス権を持つことを許可します。

このポリシーにより、ファミリloganalytics-resources-familyに属する任意のリソース・タイプに対してサービス内のタスクを実行する権限が有効になります。

allow group Logging-Analytics-SuperAdmins to MANAGE management-dashboard-family in tenancy

グループLogging-Analytics-SuperAdminsがテナンシでリソースの管理ダッシュボード・ファミリに対してすべてのアクセス権を持つことを許可します。テナンシから特定のコンパートメントに変更することもできます。

allow group Logging-Analytics-SuperAdmins to read compartments in tenancy

グループLogging-Analytics-SuperAdminsが、グループがアクセスできるログ・グループの使用可能なコンパートメントのリストを取得できるようにします。これは、ログ・エクスプローラの使用に必要です。

Logging-Analytics-Adminsユーザー・グループの場合:

allow group Logging-Analytics-Admins to use loganalytics-features-family in tenancy

グループLogging-Analytics-Adminsがテナンシ全体でファミリloganalytics-features-familyに対してUSEアクセス権を持つことを許可します。

allow group Logging-Analytics-Admins to use loganalytics-resources-family in tenancy

OR

allow group Logging-Analytics-Admins to use loganalytics-resources-family in compartment myCompartment1

グループLogging-Analytics-Adminsがテナンシ全体または特定のコンパートメント内のファミリloganalytics-resources-familyに対してUSEアクセス権を持つことを許可します。

このグループがファミリloganalytics-resources-familyのリソースを表示、作成、編集または削除できるようにします。

allow group Logging-Analytics-Admins to manage management-dashboard-family in tenancy

OR

allow group Logging-Analytics-Admins to manage management-dashboard-family in compartment myCompartment2

グループLogging-Analytics-Adminsがテナンシでリソースの管理ダッシュボード・ファミリに対してすべてのアクセス権を持つことを許可します。テナンシから特定のコンパートメントに変更することもできます。

allow group Logging-Analytics-Admins to read compartments in tenancy

グループLogging-Analytics-Adminsが、グループがアクセスできるログ・グループの使用可能なコンパートメントのリストを取得できるようにします。これは、ログ・エクスプローラの使用に必要です。

Logging-Analytics-Usersユーザー・グループの場合:

allow group Logging-Analytics-Users to read loganalytics-features-family in tenancy

グループLogging-Analytics-Usersがテナンシ全体でファミリloganalytics-features-familyに対してREADアクセス権を持つことを許可します。

allow group Logging-Analytics-Users to read loganalytics-resources-family in tenancy

OR

allow group Logging-Analytics-Users to read loganalytics-resources-family in compartment myCompartment1

グループLogging-Analytics-Usersがテナンシ全体でファミリloganalytics-resources-familyに対してREADアクセス権を持つことを許可します。テナンシから特定のコンパートメントに変更することもできます。

このグループがファミリloganalytics-resources-familyのリソースの詳細を表示することを許可します。ユーザーは、それらを作成、編集または削除できません。

allow group Logging-Analytics-Users to use management-dashboard-family in tenancy

OR

allow group Logging-Analytics-Users to use management-dashboard-family in compartment myCompartment2

グループLogging-Analytics-Usersがテナンシでリソースの管理ダッシュボード・ファミリに対してUSEアクセス権を持つことを許可します。テナンシから特定のコンパートメントに変更することもできます。

allow group Logging-Analytics-Users to read compartments in tenancy

グループLogging-Analytics-Usersが、グループがアクセスできるログ・グループの使用可能なコンパートメントのリストを取得できるようにします。これは、ログ・エクスプローラの使用に必要です。

エンティティやログ・グループなどのリソースを編成するために作成するコンパートメントの数に、コンパートメント固有のポリシー・ステートメントを追加できます。これらのリソースは、まったく異なるコンパートメントに存在することもできます。異なるタイプのすべてのリソース・インスタンスが同じコンパートメント内に存在する必要はありません。ただし、使用するコンパートメントの数を最小限に抑えることができれば、管理が簡単になります。

リソース・ファミリを使用するかわりに、個々のリソース・レベルでポリシーを指定することもできます。例:

ポリシー 説明

allow group DBA to use loganalytics-entity in compartment Databases

DBAグループのユーザーは、Databasesコンパートメントのエンティティを作成、編集または削除したり、エンティティのログ収集を有効または無効にしたりできます。

allow group DBA to use loganalytics-log-group in compartment Databases

DBAグループのユーザーは、Databasesコンパートメントに格納されているログ・グループを作成、編集または削除したり、ログを問い合せたりできます。

前述のポリシー・ステートメントの一部は、すぐに使用可能なOracle定義のポリシー・テンプレートに含まれています。ユース・ケースにテンプレートを使用することを検討できます。Oracle定義の共通ユースケース用ポリシー・テンプレートを参照してください。

ログ・アナリティクスで特定のタスクを実行するポリシーおよびポリシー要件の完全な参照は、ログ・アナリティクスのIAMポリシー・カタログを参照してください。

ノート

サービスに初めてナビゲートするときに使用できるオンボーディングUIを使用してOracle Logging Analyticsを有効にした場合、一部のポリシーがすでに作成されます。ログ・アナリティクスのオンボーディング中に作成されるポリシーを参照してください。

ログ・アナリティクスの有効化

ユーザー・グループの作成、コンパートメントの作成、ユーザー・グループのアクセス・ポリシーの定義などの前提条件タスクを完了すると、Oracle Logging Analyticsにアクセスして使用可能にできます。

Oracle Logging Analyticsを有効にするには、管理者グループのメンバーである必要があります。

  1. ナビゲーション・メニューを開き、「監視および管理」をクリックして、「ログ・アナリティクス」をクリックします。

  2. このリージョンで初めてサービスを使用する場合、サービスの概要およびOracle Logging Analyticsサービスの使用を開始するためのオプションを示すオンボード・ページに移動します。「ログ・アナリティクスの使用の開始」をクリックします。

    「ログ・アナリティクスの有効化」ダイアログ・ボックスが表示されます。ここで、最小限必要なポリシーおよびログ・グループを作成します(まだ存在しない場合)。

  3. 「次」をクリックします。OCI監査ログ・コレクションが構成されます。

    「サブコンパートメントに_Auditを含める」チェック・ボックスはデフォルトで有効になっています。必要に応じて無効化できます。プリファレンスに基づいて、ポリシーが作成され、適切なアクションが実行されます。

    「次」をクリックします。

  4. オンボーディングが完了したら、「ログ・エクスプローラに移動」をクリックします。

Oracle Logging Analyticsを確認できるようになりました。

ノート

前述のプロセスで作成されたポリシーのリストを表示するには、ログ・アナリティクスのオンボーディング中に作成されたポリシーを参照してください。