OCI Observability&Managementのサービスの1つ、Logging Analyticsでは様々なログを可視化、分析する機能を提供します。 Logging AnalyticsではOCIの各種ログ(VCN, Load Balancer, Audit…)だけでなく、エージェントを使用することでOSやデータベース、Webサーバーなどのログを可視化、分析することが可能です。 この章では、エージェントは利用せず簡単な操作でOCIの監査ログをLogging Analyticsで分析する手順をご紹介します。

所要時間 : 約20分

前提条件 :

  • Logging Analyticsが有効化されていること
  • OCIコンソールのメニューボタン→監視および管理→ログ・アナリティクス→ログ・エクスプローラを選択し、「ログ・アナリティクスの使用の開始」を選択することで、Logging Analyticsを有効化させることができます。 画面キャプチャ27

注意 :

※チュートリアル内の画面ショットについてはOracle Cloud Infrastructureの現在のコンソール画面と異なっている場合があります。

1. IAMポリシーの作成

Logging Analyticsを利用するためにはOCIの他のサービスと同様に、IAMポリシーによってアクセス権限が付与されている必要があります。 以下のポリシーをテナンシで作成してください。

※この章では、ユーザーにLogging Analyticsの管理権限を付与します。ユーザーはログ・アナリティクスの構成やログファイルのアップロード、削除を含む全ての管理権限を行うことができます。ドキュメント を参考にユーザーの役割、ロールごとにIAMポリシーの権限を調整してください。

※OCIのテナンシ管理者がLogging Analyticsを利用する場合は、作成するポリシーは「1-2.Logging Analyticsサービスへのポリシー」のみになります。その他のポリシーは作成する必要はありません。

1-1. Loggingサービスを利用するためのポリシー

allow group <IAMグループ名> to MANAGE logging-family in tenancy/compartment <コンパートメント名>
allow group <IAMグループ名> to READ audit_events in tenancy/compartment<コンパートメント名>

1-2. Logging Analyticsサービスへのポリシー

allow service loganalytics to READ loganalytics-features-family in tenancy
allow service loganalytics to {LOG_ANALYTICS_LIFECYCLE_INSPECT, LOG_ANALYTICS_LIFECYCLE_READ} in tenancy
allow service loganalytics to MANAGE cloud-events-rule in tenancy/compartment <コンパートメント名>
allow service loganalytics to READ compartments in tenancy

1-3. ユーザーがLogging Analyticsを使用するためのポリシー

allow group <IAMグループ名> to READ compartments in tenancy
allow group <IAMグループ名> to MANAGE loganalytics-features-family in tenancy
allow group <IAMグループ名> to MANAGE loganalytics-resources-family in tenancy/compartment <コンパートメント名>

1-4. Service Connector Hubを利用するためのポリシー

allow group <IAMグループ名> to MANAGE serviceconnectors in tenancy/compartment <コンパートメント名>

2. ログ・グループの作成

2-1. OCIコンソールのメニューボタン→監視および管理→ログ・アナリティクス→管理 画面ショット1

2-2. 管理画面→ログ・グループ 画面ショット2

  • ①ログ・グループの作成
  • ②ログ・グループの名前を入力 例)AuditLogs
  • ③作成

画面ショット3

3. サービス・コネクタの作成

3-1. OCIコンソールのメニューボタン→監視および管理→ロギング→サービス・コネクタ 画面ショット4

3-2. サービス・コネクタの作成 画面ショット5

  • コネクタ名: 任意の名前を入力 例) AuditLog_Connector
  • 説明: 任意の説明を入力
  • ソース: 「ロギング」を選択

  • ターゲット: 「ログ・アナリティクス」を選択

    画面ショット6

  • ログ・グループ(ソース接続の構成): 「_Audit」を選択(OCIの監査ログはデフォルトで_Auditというログ・グループに格納されています。)

  • ログ・グループ(ターゲット接続の構成): 手順2-2で作成したLogging Analyticsのログ・グループを選択 例)AuditLogs

    画面ショット7

4. ログの分析

4-1. ログ・エクスプローラ

OCIコンソールのメニューボタン→監視および管理→ログ・アナリティクス→ログ・エクスプローラ 画面ショット8

ログ・エクスプローラに「OCI Audit Logs」が表示されます。 画面ショット10

「OCI Audit Logs」→「ドリルダウン」を選択するとログレコードがリストとして表示されます。 画面ショット11 画面ショット12

デフォルトでは過去60分間のログが表示されますが、過去15分から、最大で過去14日間までのログを表示することができます。 また、「カスタム」からお好きな時間枠に絞り込むこともできます。 画面ショット13 画面ショット14

4-2. クラスタ分析でログを分析する

ビジュアライゼーション」→分析→クラスタ分析 画面ショット15

類似した内容のログレコードがクラスタとして表示されます。 画面上部に「クラスタ」、「潜在的な問題」、「外れ値」、「トレンド」の合計4つのタブが表示されます。

  • クラスタ: 全てのクラスタ
  • 潜在的な問題: ログの中身に「fatal」や「エラー」などの内容を含むクラスタ
  • 外れ値: ログ・レコードが1つしか含まれないクラスタ
  • トレンド: ログ・レコードのトレンド(傾向を)分析し、トレンドごとにクラスタを表示 画面ショット16

「failed」を選択すると、「failed」という値が含まれるログ・クラスタが表示されます。 画面ショット17 画面ショット18

Countの数字の部分を選択すると、「failed」という値が含まれるログ・レコードが一覧で表示されます。 画面ショット19

詳細を選択すると、ログレコード全文を確認することができます。 画面ショット20

デフォルトでは生ログが表示されますが、JSONを選択すると視覚的に理解しやすいように情報を整理して表示されます。 画面ショット21

4-3. 様々なビジュアライゼーションによるログの可視化

ツリーマップ 画面ショット22

折れ線グラフ 画面ショット23

ツリーマップ、折れ線グラフの他にも様々なビジュアライゼーションによりログを可視化することができます。

4-4. フィールドの値により、ログ・レコードをフィルタリング

  • 例) コンパートメント名

特定のコンパートメント内の監査ログに絞り込むことができます。 画面キャプチャ24

  • 例) メソッド

メソッドによりログをフィルタリングすることができます。 例えば「delete」というメソッドに絞り込むと、ユーザーがOCI上でリソースを削除したログが一覧で表示されます。 画面キャプチャ25

ログから、どのユーザーが何のリソースを削除したかを確認することができます。 画面キャプチャ26

以上がLogging Analyticsを使用したOCI監査ログの分析手順になります。 Logging Analyticsにはご紹介したクラスタ分析、ツリーマップ、折れ線グラフの他にも、様々なビジュアライゼーションが提供されています。

関連記事