OCI AuditログをLogging Analyticsで把握する(Service Connector経由) (2021/06/01)
OCI AuditログをLogging Analyticsで把握する(Service Connector経由) (2021/06/01)
投稿者:Tam Nguyen
先日、Oracle Cloud Infrastructure engineeringのEVPであるClay Magouyrk氏が、新しいOracle Cloud Observability and Management Platformを発表しました。
この新しいプラットフォームでは、Oracle Management Cloudで利用できる従来の機能に加えて、OCIネイティブな統合を行い、OCIサービスに対する運用上の洞察を提供します。Logging Analyticsは、組み込まれる最初の主要なOracle Management Cloudサービスです。そのため、同僚の@callanhpと私は、これを試してどのように実装できるか見たくてうずうずしていました。そこで、思いつく限り最も利用可能なログ、OCIコントロール・プレーンからのAuditログを選びました。
このブログでは、OCI AuditログをOracle Cloud Observability and Management PlatformのLogging Analyticsサービスに転送する仕組みを説明し、このパターンを他のログ・ソースに拡張する方法を検討します。
現在、Logging Analyticsには、ログを取り込むための様々なメカニズムがあります。主な方法は、アプリケーションホスト上で動作する管理エージェントを使用することですが、クラウドのコントロールプレーンにエージェントをインストールすることはできないため、別のメカニズムを使用する必要があります。このシナリオでは、あるサービスから別のサービスにデータを移動するために設計されたOCIコンポーネントである「サービスコネクター」を使用して、ネイティブOCI統合の1つを利用します。Logging Analyticsは、サービスコネクターのターゲットとして使用することができるため、ネイティブOCI機能を活用することで、統合を劇的に簡素化することができます。
クラウドコントロールプレーンのAuditログをLogging Analyticsに取り込むために必要な作業は、大まかに言うと以下の通りです。
1. 前提条件の設定
2. Logging Analyticsでロググループを作成
3. OCI AuditログをLogging AnalyticsにルーティングするようにService Connectorを構成
4. Logging AnalyticsでOCI Audit Logsを確認
5. OCI Auditダッシュボードにアクセス
1 - 一般的な前提条件
Logging Analyticsの前提条件の詳細については、こちらのドキュメントを参照してください。
1.1 サービスとグループのためのIAMポリシーのセットアップ。
この手順の残りの部分は、コンパートメントが存在し、Logging Analytics用に設定された有効なグループとポリシーがあることを前提としています。これらについては、上記の前提条件のドキュメントで説明しています。
セキュリティ上の注意:ポリシーは、「テナント内」または「コンパートメント内」に設定することができ、これによりアクセスの範囲が広くなったり狭くなったりします。あるシナリオでは、すべてのリソースのAuditログを監視するセキュリティグループがあるかもしれませんし、プロジェクトごとに別々のグループがあるかもしれません。
これを考慮して、ログアドミングループのアクセスを適切に設定してください。
2 - ロググループの作成
ロググループは、ログの論理的なグループ化を表し、監査管理者のみが監査ログを確認できるようにするなど、アクセス権を定義するために使用できます。一般的な前提条件のセクションに従っていれば、ユーザーはすべてのロググループへのアクセス権を持っていると思われますが、必要に応じてこれを改良することができます。
2.1 OCI コンソールで、以下に移動します。
observability & management > logging analytics > administration > log groups > create log group
2.2 必要な入力を行い、「作成」をクリックしてください。
例えば、以下のようになります。
コンパートメント = demo_sandbox
名前 = logging-analytics-demo-LogGroup
2.3 ロググループのレビュー
3 - サービスコネクターの作成
サービスコネクタは、サービスを接続するためのOCIのメカニズムです。OCIサービスは、しばしばデータを取り込むための標準的なフォーマットやメカニズム、および既知の出力を持っているので、サービスコネクタは、これらの出力と入力を一緒に接続するための事前設定されたメカニズムを提供します。この例では、OCI Auditログの入力を指定しており、出力はLogging Analyticsサービスを対象としています。
3.1 OCI コンソールで、次の場所に移動します。
observability & management > service connector hub > create service connector
3.2 必要な情報を入力し、「Create」をクリックします。
例えば、以下のようになります。
コネクター名 = oci_audit_to_logging_analytics
説明 = OCI AuditログをLogging Analyticsに送る
Source Connectorを構成します。
ソースコネクタの構成: + ソース = Logging
+ ターゲット = Logging Analytics
ソース接続の構成 :
+ コンパートメント = demo_sandbox
+ ロググループ = _Audit
ターゲット接続の設定 :
+ コンパートメント = demo_sandbox
+ ロググループ = logging-analytics-demo-LogGroup
注:これは自己完結型のデモなので、このコンパートメントからAuditイベントを取得し、Logging Analyticsに転送しているだけです。これをコンパートメント間で大規模に実装する場合は、「+ Another Log」をクリックして、他のコンパートメントからのAuditデータを含めることができます。
作成されると、サービスコネクタは自動的に Auditサービスから Logging Analytics にログをプッシュします。
ステップ4 - log explorerでのOCI Auditログのレビュー
OCI AuditからLogging Analyticsにログが流れているので、データの調査と分析を開始できます。
4.1 OCIコンソールで、以下に移動
observability & management > logging analytics > log explorer
4.2 「Log Group Compartment」を設定
例えば、以下のようになります。
Log Group Compartment = demo_sandbox
「OCI Audit Logs」(指定した Log Source)に関連するレコードが作成されているのがわかるはずです。
4.3 もう少し便利な表示にするには、[Visualizations] を [Records with Histogram] に変更します。
4.4 OCI Auditログの確認
5 - OCI Auditダッシュボードへのアクセス
ログエクスプローラーでは、非常に豊富な分析と探索が可能ですが、一般的な運用監視では、意味のある統計や指標を反映し、システムを一目で見渡せるようなダッシュボードが必要になります。OCIは、「OCI Audit Analysis」と呼ばれるすぐに使えるダッシュボードを提供しており、すぐに洞察を得ることができます。
5.1 OCI Audit Analysis ダッシュボードを見るには、次の場所に移動
OCI Audit Analysis ダッシュボードを見るには、次の場所に移動します。
「OCI AUDIT DASHBOARD」が表示されます。
これが設定されると、個々のアクションやアクションのグループに掘り下げることができ、テナント内のアクティビティを「一目で」見ることができます。この例では1つのコンパートメントのみを監視していますが、同じメカニズムを拡張して、テナント全体のイベントを同じダッシュボードに表示することも可能です。サービス・コネクター・メカニズムは、プロセス全体を非常にシンプルで簡単なものにし、他のOCIサービスの範囲は、コントロール・プレーンからアプリケーション・ロギングを提供するために簡単に接続することができます。
コメント
コメントを投稿