· 

OCIのロギングについて2/2~カスタム・ログの有効化~

こんにちは!テリロジーのY.Tです。

今回は前回ご紹介した「OCIのロギングについて1/2~ロギングの種類~」の続きとして、カスタム・ログの有効化するまでに必要な設定方法などについてまとめていきます。

前回は「3.カスタム・ログの有効化方法」までをご紹介したため「4.カスタム・ログを利用するために必要な設定」

から記載したいと思います!

今回の記事:

1.監査ログの有効化方法

2.サービス・ログの有効化方法

3.カスタム・ログの有効化方法 

4.カスタム・ログを利用するために必要な設定 ← 今回の記事

5.カスタム・ログの有効化と確認 ← 今回の記事

 

カスタム・ログでは、インターネットを経由する方法とインターネットを経由しない方法の2種類のログの送信パターンがあります。

・インターネットを経由する方法・・・エージェントをインストールしたインスタンスにパブリックIPアドレスを割り当て、インターネットゲートウェイ経由でログを送信

 

・インターネットを経由しない方法・・・サービスゲートウェイを作成し、サービスゲートウェイ経由でログを送信

※ゲートウェイに関してまとめた記事がございますので是非参考にしてください

「OCIで利用可能なゲートウェイ」

 

ここでは新規にインスタンスを作成し、インターネットを経由せず、サービスゲートウェイ経由でログを送信しロギングページから特定のパスにあるログを確認する方法について、ご紹介したいと思います。

4.カスタム・ログを利用するために必要な設定

4-1.インスタンスの作成

初めに、管理コンソール左メニューの「コンピュート」>「インスタンス」へ推移し、「インスタンスの作成」から

新規にインスタンスを作成していきます。

任意のインスタンス名をつけ、ネットワーク設定ではプライベートサブネットを選択します。

その後、画面最下部の「拡張オプションの表示」をクリックし、「管理」タブの「Oracle Cloudエージェント」の

「モニタリングの有効化」と「Oracle Cloudエージェントを使用してこのインスタンスを管理」にチェックを入れ、「作成」ボタンからインスタンスを作成します。

 

4-2.ネットワーク設定

次に、ネットワークを設定していきます。ネットワーク設定は以下の手順で実施していきます。

1.サービスゲートウェイを作成

OCIコンソールメニューの「ネットワーキング」>「仮想クラウド・ネットワーク」から「4-1.インスタンスの作成」で構築したインスタンスのVCNを選択します。「リソース」の「サービスゲートウェイ」へ推移し、「サービス・ゲートウェイの作成」を選択します。

任意の名前を付け、作成したインスタンスのコンパートメントを選択します。「サービス」では「ALL NRT Services In Oracle Services Network」を選択します。

2.ルート表にサービスゲートウェイを追加

次に、「リソース」の「ルート表」から作成したインスタンスのプライベートサブネットに紐づけられているルート表、もしくは新規にルート表を作成し、「ルート・ルールの追加」をクリックします。

ルート・ルールは以下のように設定します。

・ターゲット・タイプ:サービス・ゲートウェイ

・サービス:ALL NRT Services In Oracle Services Network

・ターゲットサービスゲートウェイ:作成したサービスゲートウェイを選択

3.インスタンスとサービスゲートウェイ間の通信を許可

「リソース」の「セキュリティ・リスト」からセキュリティリスト、またインスタンスにセキュリティグループを割り当てている場合は「セキュリティグループ」からセキュリティグループに対し、サービスゲートウェイへの通信を許可する設定をします。追加するルールでは、以下のように設定します。

・ソースタイプ:サービス

・ソース・サービス:ALL NRT Services In Oracle Services Network

4-3.動的グループの作成

エージェントからログを取得するインスタンスをグループ化します。

OCIコンソールメニューの「アイデンティティ」>「動的グループ」へ推移します。「動的グループの作成」をクリックし、動的グループ名を任意に設定し、一致ルールにはインスタンスのOCIDやコンパートメントのOCIDなどを指定するポリシーを追記し、グループを作成します。

ポリシー設定例)

ANY {instance.id = '<インスタンスのOCID>', instance.compartment.id = '<インスタンスが所属するコンパートメントOCID>'}

 

ANY {instance.compartment.id = '<インスタンスが所属するコンパートメントOCID>'}

4-4.ポリシーの追加

コンパートメントのポリシーに「4-3.動的グループの作成」で作成した動的グループからのログを送信するために必要なルールを追加します。OCIコンソールメニューの「アイデンティティ」>「ポリシー」へ推移します。既存のポリシーもしくは、新規にポリシーを作成し以下のルールを追加します。

 

Allow dynamic-group <動的ポリシー名> to use log-content in compartment <コンパートメント名>

5.カスタムログの有効化と確認

必要なネットワーク、ポリシー設定後、カスタム・ログを有効化していきます。

OCIコンソールメニューの「ロギング」>「ログ」の「カスタム・ログの作成」を選択します。

ログ名と所属させるログ・グループを選択、もしくは新規に作成し、「カスタム・ログの作成」をクリックします。

 

次に「エージェント構成の作成」から取得するログ収集対象のインスタンスが所属するグループの指定、また、収集するログのパス、ログの保存先を設定していきます。今回はホスト・グループに収集対象のインスタンスが所属する動的グループを追加し、エージェントのログを取得するように設定します。設定項目を入力後、「作成」をクリックします。

「ロギング」>「ログ」へ推移し、作成したログを選択するとログが確認できます。

まとめ

今回は紹介していませんが、ロギング内の「サービス・コネクタ」を利用することで、

ログの内容をOCIの「Log Analytics」で確認することや、特定のログが出た場合に通知をすることも可能です。

サービスコネクタについては、また別途まとめたいと思います!

 

最後までお読みいただき、ありがとうございました。🙇