Azure 上专用基础结构日志上的 Oracle Exadata 数据库，以提高可观测性

本文介绍如何将 Oracle Exadata 数据库Service@ Azure 日志与 Azure Monitor 集成，并通过将其发送到 Log Analytics 工作区来Microsoft Sentinel。 Azure Monitor 日志是一种集中式软件即服务（SaaS）平台，用于收集、分析和处理 Azure 和非 Azure 资源（如 Oracle Exadata 数据库Service@Azure）生成的遥测数据。 可以在一个 Log Analytics 工作区（主要 Azure Monitor 日志资源）中收集日志、管理日志数据和成本，以及使用不同类型的数据。

此集成通过启用对作和数据库日志的集中监视、关联和分析来提高可观测性。此外，诊断设置允许将日志存档到存储帐户，将其流式传输到事件中心，或将其发送到合作伙伴解决方案，从而提供灵活的选项，用于保留、分析和处理关键系统见解。

支持以下类型的日志。

• Exadata VM 群集生命周期管理日志

• Exadata 数据库日志

• Exadata 基础结构日志

• Exadata Data Guard 日志

将 Oracle Exadata 数据库和 Exadata 基础结构日志与 Azure 门户集成可提供广泛的优势，包括：

1. 集中监视和管理

• 来自各种 Azure 服务的日志的统一视图（例如 VM、应用服务、AKS 和 Oracle Databases@Azure）。

• 通过在一个位置将日志关联到一个位置来简化故障排除。

• 有选择地将不同类型的日志传送到不同的目标，以便进行更受控的查看。

2. Real-Time 见解和警报

• 使用 Azure Monitor 和 Log Analytics 实时查询日志。

• 根据日志查询设置 警报 以主动检测问题（例如部署失败、性能瓶颈）。

3. 使用 Kusto 查询语言的高级查询 （KQL）

• 用于深入分析日志的强大查询功能。

• 启用根据特定作需求定制的自定义仪表板和报表。

4.与 Azure 服务集成

• 与服务无缝集成，例如：

  • 用于威胁检测的 Azure 安全中心。

  • 用于安全信息事件管理的 Azure Sentinel（SIEM）和安全业务流程、自动化和响应（SOAR）

5. 自动化和修正

• 基于日志事件触发 Azure 逻辑应用 或 Functions 。

• 自动响应事件（例如，记录故障时重启服务）。

6. 合规性和审核

• 保留日志以进行审核和符合性目的。

• 使用 Azure Policy 和活动 日志 跟踪更改和访问。

7. 可伸缩性和成本管理

• Log Analytics 工作区 中存储的日志可根据需要进行缩放。

• 使用 数据保留策略 和 采样控制成本。

8. 自定义仪表板和可视化效果

• 使用 Azure 工作簿创建丰富的可视化效果。

• 与利益干系人共享仪表板，实现透明度和协作。

先决条件

• 已预配 Oracle Database@Azure：在 Azure 虚拟网络的委托子网中部署 Exadata 虚拟机（VM）群集。 首先，我们需要创建 Exadata 基础结构。

• Log Analytics 工作区： Log Analytics 工作区是一个数据存储，可以从所有 Azure 和非 Azure 资源（例如 Exadata VM 群集和 Exadata 基础结构）收集任何类型的日志数据。 使用工作区配置选项可以管理一个工作区中的所有日志数据，以满足组织中不同角色的作、分析和审核需求。

• Microsoft Sentinel： Microsoft Sentinel 是云原生 SIEM（安全信息和事件管理）和 SOAR（安全业务流程自动响应）解决方案，可帮助组织在其混合云环境中收集、分析和响应安全威胁。 Microsoft Sentinel 应用人工智能（AI）和机器学习（ML）的强大功能，自动执行安全威胁检测和响应，减少误报，提高安全运营效率。

• Azure 订阅和权限：确保拥有足够的 Azure 权限：

  • 订阅或资源组上的 Azure 所有者或参与者角色，用于启用Microsoft Sentinel 并创建 Log Analytics 工作区。

步骤 1：创建和配置诊断设置

1. 导航到 Azure 门户，选择要监视的 Oracle Exadata VM 群集或 Oracle Exadata 基础结构。

2. 转到“ 诊断设置 ”部分，然后选择“ 添加诊断设置”。

3. 使用以下复选框选项选择要发送到 Azure 目标的日志：

1. 选择目标：

下面是可将日志发送到的目标

需要了解的一些事项

• 日志可能会延迟。 启用诊断设置后，日志和事件可能需要长达一小时才能开始显示在 Azure Monitor 或所选目标中。

• 诊断设置限制为每个资源 5 个。 每个 Exadata 资源最多可以创建五个诊断设置。

• 没有重复的目标。 不能创建两个将相同日志类别发送到同一目标的诊断设置 ， 每个配置必须是唯一的。

步骤 2：设置 Log Analytics 工作区

1. 通过在 Azure 门户中创建新的 LA 工作区资源来设置 LA 工作区。

2. 在 Exadata VM 群集或 Exadata 基础结构资源上设置诊断设置时，选择创建的 LA 工作区作为目标。

3. 确保 Exadata VM 群集资源和 LA 工作区位于同一订阅下。

4. 生成任何事件并验证日志后，导航到上面创建的 LA 工作区。

5. 导航到 LA 工作区侧栏菜单下的“日志”部分。 为他们提供直接从 Exadata 资源页本身查看“日志”的选项，并更改范围。

6. 使用右端的下拉列表从简单模式切换到 KQL 模式。 此时会弹出一个查询运行窗口，其中包含用于在 KQL 中编写自己的查询的选项，以及用于调整时间范围的筛选器。 在命令提示符窗口中键入 OracleCloudDatabase ，然后选择“ 运行 ”以获取 OracleCloudDatabase 表中各种事件引入的日志结果。

7. 结果集应显示已发生的事件列表，以及使用上述设置生成的相应元数据。

   

步骤 3：在存储帐户中存档日志

1. 通过在 Azure 门户中创建新的存储帐户资源来设置存储帐户。

2. 确保 Exadata 资源和存储帐户资源位于同一订阅下。

3. 在 Exadata 资源上设置诊断设置时，选择上述创建的存储帐户作为目标。

4. 生成任何事件并验证日志后，导航到上述创建的存储帐户。 可以通过搜索存储帐户名称或通过浏览其所在资源组来查找它。

5. 在存储帐户中，导航到“容器”部分。 在此处可以找到存储日志的容器。 容器名称通常反映作的性质，例如创建事件、删除事件或更新事件。

6. 打开相关容器以浏览日志。 日志通常按日期进行组织，以便更轻松地查找要查找的特定日志。

   

步骤 4：将日志流式传输到事件中心

1. 按照以下说明在 Azure 门户中创建事件中心命名空间和事件 中心实例 - 使用 Azure 门户捕获流式处理事件 - Azure 事件中心 |Microsoft Learn

2. 确保已为要监视的 Exadata 资源配置了诊断设置。 这涉及到选择要发送的日志，并将事件中心指定为目标。

3. 通过导航到事件中心命名空间的数据资源管理器部分，使用 Azure 门户监视事件中心。 导航到事件中心命名空间并选择特定的事件中心实例，如下所示。

4. 确保选择正确的事件中心实例和使用者组，然后选择“查看事件”以检索事件列表及其相应的元数据。

5. 事件中心是类别。 如果未提供事件中心，日志将路由到自然类别（例如创建等）。但是客户可以在创建诊断设置时选择事件中心，以确保所有日志都路由到同一事件中心。

   

步骤 5：发送到合作伙伴解决方案

1. 按照以下说明在 Azure 门户中创建事件中心命名空间和事件 中心实例 - 使用 Azure 门户捕获流式处理事件 - Azure 事件中心 |Microsoft Learn

2. 通过 Azure 门户启用单一登录，通过 Microsoft Entra ID 配置预部署以使用 Azure Native Dynatrace 服务 - Azure Native ISV 服务 |Microsoft Learn。

3. 确保已为要监视的 ExaData VM 群集配置了诊断设置。 这涉及到选择要发送的日志，并将事件中心指定为目标。

4. 生成任何事件并验证日志后，导航到上面创建的 Dynatrace 资源。 可以通过搜索 Azure Native Dynatrace 服务或通过浏览其所在的资源组来找到它。

5. 进入 Dynatrace 实例后，使用 SSO 链接导航到 Dynatrace 环境。

   

6. 使用侧菜单导航到 Dynatrace 环境中的“日志资源管理器”部分。

   

7. 已建立的集成管道应显示发生的各种事件的引入日志。

8. 若要筛选特定日志事件，请使用以下查询来评估日志：

   

9. 通过对 应用隐藏列，可以添加结果集中的更多列

步骤 6：设置警报和监视

1. 转到 Azure 门户>监视器>警报>+ 创建>警报规则。 Azure Monitor 警报概述 - Azure Monitor |Microsoft Learn

2. 键入 LA 工作区名称，在搜索选项卡中选择目标资源

   

3. 选择条件作为 自定义日志搜索 并创建查询，如下所示：

   

4. 设置作组

   创建或选择 作组：

   • Email

   • 短信

   • Webhook

   • Azure 函数

5. 将警报规则命名为严重性

6. 查看和创建

步骤 7：设置 Microsoft Sentinel

若要开始，请将 Microsoft Sentinel 添加到现有工作区或创建新工作区。

1. 登录到 Azure 门户。

2. 搜索并选择Microsoft Sentinel。

   

3. 选择 创建。

4. 选择要使用的工作区或创建新工作区。 可以在多个工作区上运行 Microsoft Sentinel，但数据与单个工作区隔离。

   

   • 列表中不显示由 Microsoft Defender for Cloud 创建的默认工作区。 无法在这些工作区上安装 Microsoft Sentinel。

   • 在工作区上部署后，Microsoft Sentinel 不支持将该工作区移动到另一个资源组或订阅。

5. 选择 并添加。

6. 通过切换到 KQL 模式来检查Microsoft Sentinel 中的日志。 创建 OracleCloudDatabase 表后，Microsoft Sentinel 将它视为任何其他表，使你能够运行分析查询并根据特定要求配置事件规则。

   

   

7. 支持的检测规则类别：

   • Microsoft Sentinel 提供 预定义的检测规则 ，这些规则Microsoft专有。

   • 此类预定义规则的异常情况检测逻辑 不会 向客户公开。

8. 客户还可以定义自己的检测规则，称为 “自定义规则”。

   • Microsoft Sentinel 当前支持的计划分析规则和准实时（NRT）规则是此类可自定义的规则。

   • 在后台，这些规则是 Kusto 查询，根据所需的客户要求和运行频率进行定义。

相关内容

• Azure Monitor 中的诊断设置 - Azure Monitor Microsoft Learn

• Azure Monitor 日志 - Azure Monitor Microsoft Learn

• Log Analytics 工作区概述 - Azure Monitor Microsoft Learn

• 加入 Microsoft Sentinel Microsoft Learn