この記事で記載すること
OCIの外部と内部、OCI内部間の通信ログの取得方法と取得したログの分析方法についてメモを記載する。
OCI Logging / VCN flow logsの利活用イメージ
※ 本記事では、上記のOCI StreamingのところをLog Analyticsに置き換えて、VCN flow logsで取得したログ分析する
OCI Logging / VCN flow logsに関連する基本操作
VCN flow logsの有効化
1. Loggingサービスメニューを選択
OCI Consoleメニュー > Observability & Management > Logging > Logsを選択
2. service logの有効化
「Enable service log」ボタンをクリック
3. パラメータを登録→Service Logの有効化
| 分類 | 項目 | 値 |
|---|---|---|
| Resource | Service | ログ取得対象VCN |
| Resource | Resource | ログ取得対象Subnet |
| Configure Log | Log Category | Flow Logs |
| Log Location | Log Group | 任意(保存したLog Group) |
| Log Retention | Log Retention | 任意 |
Logの分析
Logging / searching loggingを利用したログの分析
1.searching loggingサービスの起動
OCI Consoleメニュー > Observability & Management > Logging > Searchを選択
2.searchするログの選択
Search > Select logs to search
3.Custom Fileterの設定
例①:REJECTしたデータのsearch
Custom filtersに以下を入力
data.action = 'REJECT'
例②:特定のサーバへの接続のsearch
data.destinationAddress='10.7.1.15'
例③:DBサーバへのOracle Net接続のsearch
data.destinationAddress='10.7.1.120'
data.destinationPort=1521
4.設定したsearchの保存
Save Search > New Saved Searchの登録
Logging Analyticsを利用したLogの分析
Logging Analyticsを使ってLoggingで取得したLogを以下のステップで分析準備
1.Loggingを使ってLogを収集(前述)
2.Logging Anaytlicsの準備
3.Service Connector Hubの準備
4.Loggin AnalyticsでLogを分析
■ VCN flow logs + Service Connector + Logging Analyticsのフローイメージ
■ Service Connector Hubを用いたフロー全体像(21/6/14時点)
2.Logging Anaytlicsの準備
Logging Analytics(LA)の有効化
LAコンソールの起動
OCI Consoleメニュー > Observability & Management > Logging Analyticsを選択
LAの有効化
Start Using Logging Analyticsをクリック
Set Up Ingestionをクリック
ここではDefaultのままでNextをクリック
Set Up Ingestionをクリック
option: Go to OCI Audit Analytics Dashboardをクリック
log groupの作成
LAのAdministorationコンソールの起動
OCI Consoleメニュー > Observability & Management > Logging Analytics > Administrationを選択
左ペインにあるLog Groupsをクリック
Create Log Groupをクリック
「flow_logs」をLog Group名としてLog Groupを作成
3.Service Connector Hubの準備
1.Service Connecter Hubサービスの起動
OCI Consoleメニュー > Observability & Management > Logging > Service Connectorsを選択
2.Log AnnalyticsがLoggingで収集したデータを利活用するための準備
Create Service Connector > パラメータをセットしてcreateをクリック
主なパラメータ
| 項目 | 値 | 補足 |
|---|---|---|
| - | Connector Name | (任意:ここではVCN_FLOW_LOG2LA) |
| Source | Logging | |
| Configure source connection | Log Group / Logs | 事前設定済みの値を選択 |
| Log Filter Task | (Filter条件) | (option) |
| Configure Function Task | (option) |
CreateをクリックしてPolicyを自動生成
Createをクリック
以下のような画面が表示される
4.Loggin AnalyticsでLogを分析
LA Dashboardの起動
LA / Dashboardsを選択
VCN Flow Logsをクリック
VCN Flow Logsダッシュボードが表示される
分析トライアル
例:DBサーバへのアクセスもとの特定
Total Packets In by Destination Portの1521(DB Port)をクリック
DBアクセスの詳細を確認
DBアクセスを一覧表示
Tableの表示 > Source IPの追加
例:Tree Mapをもとにアクセス元とアクセス頻度の確認 → アクセス頻度が高いアクセス元の深堀分析
赤枠のところをクリック
クリック後の遷移画面(Log Explorerが表示)
Destination Portごとの通信頻度の確認
→ 443ポートへのアクセスが大半を占めている
Destionリストの一覧を表示
例:REJECTされた通信をリスト表示する
Log Explorerを選択
検索条件をクリア
「×」をクリック → 「Run」をクリック
Actionをフィールドに追加
REJECTをクリック(Search条件に追加)
REJECT一覧が表示される
※ 検索条件の設定に以下と入力することでも可能
'Log Source' = 'OCI VCN Flow Unified Schema Logs' and Action = REJECT
参考情報
Documentation
Logging
Service Connector Hub
Logging Analytics
- Logging Analytics
- Perform Logging Analytics Specific Configuration Tasks
- Oracle Cloud Infrastructure Logging Analytics Quick Start Guide
API Refernce
Workshop
Blogs
- 公式 : OCI Logging概要
- 公式 : Announcing VCN flow logs general availability for Oracle Cloud Infrastructure
- 公式 : How to Ingest OCI VCN Flow Logs into OCI Logging Analytics
- 公式 : Announcing integration of Service Connector Hub with Logging Analytics
- [OCI Logging] Oracle cloud の Flow log の新機能を検証する