问题描述
是否有人将 OCI(Oracle 云基础设施)审计日志和 OCI 服务日志集成到安全信息和事件管理工具(SIEM、Arcsight)中。 如果是,这些日志存储在哪里以及可以从哪里立即访问这些日志。
解决方法
有几种方法可以解决这个问题。
审计日志可通过 Rest API 和 SDK 获得。您可以调用 ListEvents 记录的 here 来检索审核日志。调用将返回 AuditEvent 对象作为主体。然后可以在 SIEM 中对其进行解析和摄取。
或者,您可以提出 bulk export request for Audit log events 并将它们保存在对象存储存储桶中,从那里可以在 SIEM 中提取和摄取原始文件。
同样,您可以export the service logs 选择对象存储存储桶并在 SIEM 中检索它们。
披露:我目前在 Oracle 工作,但不是直接在审计/日志服务上工作。我自己的想法。