Oracle Cloud Infrastructureドキュメント

オペレータ・アクセス・コントロールによるログの管理および検索

コンパートメントで作成され使用中のオペレータ・コントロールのリストを表示できるように、ログを有効にする方法を説明します。また、ケージ内のオペレータ・アクティビティもモニターします。

オペレータ・アクセス・コントロールによるログの有効化とログ・グループの作成

システム上のOracleオペレータ・アクティビティを追跡するために、ログを有効にする方法とログを管理するためのログ・グループの作成方法について学習します。

Oracleオペレータがシステムで実行するアクションを監査するには、Oracleオペレータのアクションをモニターしようとするコンパートメントと特定のサービスの監査ログを作成します。
  1. Oracle Cloud Infrastructureテナンシにログインします。
  2. ナビゲーション・メニューを開きます。「Oracle AI Database」で、「オペレータ・アクセス・コントロール」をクリックします。
  3. 「オペレータ・コントロール」をクリックします。
  4. オペレータ・コントロールのリストで、ログを有効にするオペレータ・コントロールの名前をクリックします。
  5. 「ログ」タブをクリックします。

    アクセス・ログおよびハイパーバイザ・ログを有効にできます。

    たとえば、アクセス・ログを有効にするには、次を実行します:

    • 「アクション」メニュー(3つのドット)をクリックし、「ログの有効化」オプションを選択します
    • コンパートメント: ログを作成するコンパートメントを選択します。
    • ログ・グループ: ログを追加するログ・グループを選択します。ログ・グループは、ポリシーの適用や関連ログの分析など、ログ管理の合理化に役立つログの論理コンテナです。

      新しいログ・グループを作成する場合は、「新しいグループの作成」をクリックし、次のフィールドに情報を入力します:

      • コンパートメント: ログ・グループを配置するコンパートメントを選択します。
      • 名前: ログ・グループの名前を指定します。
      • 説明: ログ・グループの目的の説明を指定します。
      • タグ: オプションで、ログ・グループにタグを追加します。
    • ログ名: 作成するログの名前を指定します。
    • レガシー・アーカイブ・ログの有効化: アーカイブ・ログを保持および管理するには、このオプションを有効にします。
    • (オプション)「詳細オプションの表示」をクリックします。ログ保持期間を設定します。デフォルト: 30日。
    • 終了し、選択内容を確認したら、「ログの有効化」をクリックします。オペレータ・コントロールに関するログが有効になります。

アクティブ状態での有効なログの表示

アクティブ状態の有効なログを表示する方法を学習します。

  1. Oracle Cloud Infrastructureテナンシにログインします。
  2. ナビゲーション・メニューを開きます。「Oracle AI Database」で、「オペレータ・アクセス・コントロール」をクリックします。
  3. 「オペレータ・コントロール」をクリックします。
  4. オペレータ・コントロールのリストで、ログを有効にするオペレータ・コントロールの名前をクリックします。
  5. 「ログ」タブをクリックします。

有効なログの無効化

有効にしたログを無効にする方法について学習します。

  1. Oracle Cloud Infrastructureテナンシにログインします。
  2. ナビゲーション・メニューを開きます。「Oracle AI Database」で、「オペレータ・アクセス・コントロール」をクリックします。
  3. 「オペレータ・コントロール」をクリックします。
  4. オペレータ・コントロールのリストで、ログを有効にするオペレータ・コントロールの名前をクリックします。
  5. 「ログ」タブをクリックします。

    アクセス・ログおよびハイパーバイザ・ログを無効にできます。

    たとえば、アクセス・ログを無効にするには、「アクション」メニュー(3つのドット)をクリックし、「ログの無効化」オプションを選択します。

有効なログの削除

有効化されたログを削除する方法を学習します。

  1. Oracle Cloud Infrastructureテナンシにログインします。
  2. ナビゲーション・メニューを開きます。「Oracle AI Database」で、「オペレータ・アクセス・コントロール」をクリックします。
  3. 「オペレータ・コントロール」をクリックします。
  4. オペレータ・コントロールのリストで、ログを有効にするオペレータ・コントロールの名前をクリックします。
  5. 「ログ」タブをクリックします。

    アクセス・ログおよびハイパーバイザ・ログを削除できます。

    たとえば、アクセス・ログを削除するには、「アクション」メニュー(3つのドット)をクリックし、「削除」オプションを選択します。

オペレータ・アクセス・コントロールのログ形式

ロギング・サービスで公開される監査ログに含まれるフィールドについて学習します。

表6-1 監査ログ・フィールド

フィールド 説明

data

Exadata監査ログから取得されたすべてのデータが含まれます。

data.accessRequestId

アクセス・リクエストのOracle Cloud Identifier (OCID)が含まれます。この識別子は、コンソールのアクセス・リクエスト・リスト・ページから取得されます。

data.message

RAW形式の監査ログが含まれます。監査ログの形式は、ausearchコマンドで出力される監査ロギングの形式です。

詳細は、ausearch(8)のマニュアル・ページを参照してください。

data.systemOcid

ログが収集されるExadataシステムのOracle Cloud Identifier (OCID)。

data.timestamp

ログが表すアクションが実行された時点のタイムスタンプ。通常は、協定世界標準時間(UTC)タイムゾーン(TZ)です。

source

ログを発行するサービス。ログのソースは、このサービスのOperatorAccessControlです。

ノート

その他いくつかのフィールドがありますが、主にサービスの明に関するものです。

例6-1 オペレータ・アクセス・コントロールの監査ログ

{
  "logContent": {
    "data": {
      "accessRequestId": "ocid1.opctlaccessrequest.oc1.ap-chuncheon-1.aaaaaaaaqk67mpzb74nsssg4ppwk7cyg46dwoxegtvhopdp7lxbktpymk4kq",
      "message": "type=PROCTITLE msg=audit(09/08/2021 09:01:24.335:34495595) : proctitle=ps -ef \ntype=PATH msg=audit(09/08/2021 09:01:24.335:34495595) : item=1 name=/lib64/ld-linux-x86-64.so.2 inode=2546207 dev=fc:00 mode=file,755 ouid=root ogid=root rdev=00:00 nametype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 \ntype=PATH msg=audit(09/08/2021 09:01:24.335:34495595) : item=0 name=/usr/bin/ps inode=33619160 dev=fc:00 mode=file,755 ouid=root ogid=root rdev=00:00 nametype=NORMAL cap_fp=none cap_fi=none cap_fe=0 cap_fver=0 \ntype=CWD msg=audit(09/08/2021 09:01:24.335:34495595) : cwd=/home/b9dc42d68f6e4e26a1d843a4c5e70187 \ntype=EXECVE msg=audit(09/08/2021 09:01:24.335:34495595) : argc=2 a0=ps a1=-ef \ntype=SYSCALL msg=audit(09/08/2021 09:01:24.335:34495595) : arch=x86_64 syscall=execve success=yes exit=0 a0=0x1848d50 a1=0x184c360 a2=0x184c040 a3=0x7ffeec95b760 items=2 ppid=94699 pid=95635 auid=b9dc42d68f6e4e26a1d843a4c5e70187 uid=b9dc42d68f6e4e26a1d843a4c5e70187 gid=opctl_facc1 euid=b9dc42d68f6e4e26a1d843a4c5e70187 suid=b9dc42d68f6e4e26a1d843a4c5e70187 fsuid=b9dc42d68f6e4e26a1d843a4c5e70187 egid=opctl_facc1 sgid=opctl_facc1 fsgid=opctl_facc1 tty=pts0 ses=813000 comm=ps exe=/usr/bin/ps key=(null) \n",
      "status": "",
      "systemOcid": "ocid1.exadatainfrastructure.oc1.ap-chuncheon-1.ab4w4ljr46tyytihmindrbshch3jjhrxxpctq4eiaksakp4kqamluuwkzdga",
      "target": "",
      "timestamp": "2021-09-08T09:01:24.000Z"
    },
    "id": "b3b102aa-daee-4861-8e2c-9014faac9de2",
    "oracle": {
      "compartmentid": "ocid1.tenancy.oc1..aaaaaaaazxdmffivtoe32kvio5e2dcgz24re5rqbkis3452yi2e7tc3x2erq",
      "ingestedtime": "2021-09-08T16:02:26.182Z",
      "loggroupid": "ocid1.loggroup.oc1.ap-chuncheon-1.amaaaaaajobtc3ia3iypuri32bhvrgmosztobwi72wgdofkpfdbyfg4yxlrq",
      "logid": "ocid1.log.oc1.ap-chuncheon-1.amaaaaaajobtc3iahnkkwizgpoakdafmrttikohparjl7icmcfjzkechekfq",
      "tenantid": "ocid1.tenancy.oc1..aaaaaaaazxdmffivtoe32kvio5e2dcgz24re5rqbkis3452yi2e7tc3x2erq"
    },
    "source": "OperatorAccessControl",
    "specversion": "1.0",
    "time": "2021-09-08T16:01:52.989Z",
    "type": "com.oraclecloud.opctl.audit"
  },
  "datetime": 1631116912989
}

ログの検索

ログの検索を実行するには、この手順を使用して、検索するログについてフィールド、時間範囲およびテキスト文字列を指定します。

ログは、特定のオペレータ・コントロールに対して有効化されます。したがって、これらがログ検索の最上位レベル・フィルタになります。また、アクセス・リクエストID、オペレータ・アクションが発生したExadataシステム、またはアクションが発生した時刻についてログを検索することもできます。

次の例は、特定のフィールドの検索方法を理解するために役立ちます。

  1. 「監視および管理」コンソールにログインします。
  2. 左側のナビゲーション・メニューで、「ロギング」「ログ」の順に選択します。
  3. ログが格納されるコンパートメントを選択します。

    これにより、有効化されたログのリストが表示されます。

  4. 目的のログをクリックします。

    ログ詳細ページが表示されます。

    これらのログは、常に1つのオペレータ・コントロールに関連しています。

  5. 「ログの探索」タブをクリックします。
  6. 「ログの検索で探索」をクリックして、特定のログを検索します。
  7. ケース1: オペレータ・コントロールocid.opctl.xに関連して、T-startからT-endまでの期間に、特定のアクセス・リクエストocid.opctlaccessrequest.xの承認を使用して実行されたアクションの検索。
    1. 「時間によるフィルタ」フィールドで「カスタム」を選択します。
    2. 「開始日」および「終了日」を選択します。
    3. 「検索」をクリックします。

      選択した後で、一連のログが表示されます。

    4. たとえば、次の検索基準を「カスタム・フィルタ」フィールドに追加します。
      data.accessRequestId='ocid.opctlaccessrequest.x'

      これによって、検索基準と一致するログがリスト表示されます。

  8. ケース2: オペレータ・コントロールocid.opctl.xに関連して、T-startからT-endまでの期間のExadataシステムocid.exadata.xに対するアクションの検索。
    1. 「時間によるフィルタ」フィールドで「カスタム」を選択します。
    2. 「検索」をクリックします。

      選択した後で、一連のログが表示されます。

    3. たとえば、次の検索基準を「カスタム・フィルタ」フィールドに追加します。
      data.systemOcid ='ocid.exadata.x'

      これによって、検索基準と一致するログがリスト表示されます。

  9. 内容についてログを検索することもできます。「log-content」フィールドを使用します。詳細は、ログの検索を参照してください。
  10. 実行された特定のLinuxコマンドを検索するには、「拡張モード」を使用します。
    1. 前述の例(ケース1またはケース2)を使用して基本の検索を作成してから、拡張モードに切り替えます。
      たとえば、アクションviを使用してすべてのログを検索するには、次の基準を追加します:
      and text_contains(data.message, 'proctitle=vi ', true)
  11. ロギング検索ページで検索を実行するときは、「拡張モードの表示」をクリックして、独自のカスタム・ログ検索問合せを入力できます。
    例:
    search "ocid1.compartment.oc1..x/ocid1.loggroup.oc1.iad.loggroup_x/ocid1.log.oc1.iad.log_x"
 | data.systemOcid='ocid1.exadata.x' and text_contains(data.message, 'proctitle=vi ', true)
 | sort by datetime desc