Oracle Cloud Infrastructure 감사 로그를 Oracle Management Cloud로 분석

Oracle Cloud Infrastructure의 콘솔 작업 및 API 액세스는 감사 로그로 기본 90일 동안 저장됩니다. (최대 365일까지 지정 가능)
감사 로그 자체는 JSON 형식으로 OCI 내에 다음과 같은 검색 기능도 제공됩니다.

Oracle Cloud Infrastructure 감사 이벤트

이 섹션에서는 JSON 형식의 감사 로그를 검색하고 Oracle Management Cloud로 가져와 강력한 분석 및 보고 기능을 활용할 수 있도록 하는 단계를 소개합니다.

예를 들어, 이러한 OCI 감사 로그 대시보드를 만들 수 있습니다.

OCI에서 감사 로그 검색

다음 블로그를 참조하여 OCI CLI 명령을 실행할 수있는 환경 준비

htps : // 혼자서 ty. 오 c. 코 m / cs / C 1019624

#oci audit コマンド 
oci audit event list --all --start-time 開始日時 --start-time 終了日時 --compartment-id コンパートメントID 

#実行例
oci audit event list --all --start-time=2019-12-01T00:00:00.000+09:00 --end-time=2019-12-02T00:00:00.000+09:00 --compartment-id ocid1.compartment.oc1..aaaaaaaa6it5wsxbeoyxpbxmq5aupsag7jo4mxsot7hhuxvjp5uqnvuxgf4a > ociaudit.json

OMC에 OCI 감사 로그 업로드

OCI 사용자 정의 파서 다운로드
htps : // 기주 b. 이 m / ぇ s r 24 / mc4 shi / 등 w / ms r / 혼 t_ shi 4 4 t. 지 p

OMC에 사용자 정의 파서 업로드

OMC에 감사 로그 업로드
ociaudit.json 파일을 아래 링크를 참조하여 수동으로 업로드
htps : // 이 m / ぇ s r 24 / ms / 1d00475d0f0b8c2b0f9
※ 로그 소스의 연결에서는 OCI Audit 선택 (OCI Audit Logs가 아님)

OMC에 의한 분석 예

OCI에서의 변경과 관련된 조작 이벤트 그래프 -> Event Name을 Y 축, Request Action을 Post, Delete로 지정

principal-id(페더레이티드 유저)로 좁혀 특정 유저의 조작의 원 그래프(※로컬 유저는 user-name 필드)

테이블 형식으로 VM 인스턴스 시작 및 중지 이벤트

OCI Audit에서 대상 기간이 장기간이면 상당히 시간이 걸릴 수 있습니다. 그렇다면 Service Request를 통해 함께 얻는 것이 좋습니다.

매번 OMC 콘솔에서 업로드하는 것은 번거롭기 때문에 OCI 로그 출력에서 ​​OMC로 업로드까지 자동화 스크립트를 작성해 보았습니다.
htps : // 기주 b. 코 m / u s r 24 / mc4 오시

Oracle Management Cloud 관련 정보는 여기