Introdução aos logs Public Cloud

Objetivo

Este manual ajuda-o a compreender os conceitos e a utilização dos logs no OVHcloud Public Cloud. Explica como os logs são gerados, recolhidos e consumidos, e fornece ligações para manuais detalhados que lhe permitem subscrever os logs de cada serviço Public Cloud (Compute, Block Storage, Load Balancer, etc.).

O que são os logs Public Cloud?

Os serviços Public Cloud geram logs que o ajudam a supervisionar, diagnosticar e analisar a sua infraestrutura cloud.

Cada serviço pode disponibilizar diferentes tipos de logs, denominados kinds (por exemplo: access, audit, error), que pode consumir e armazenar consoante as suas necessidades.

Requisitos

Acesso através da área de cliente OVHcloud

  • Ligação direta:
  • Percurso de navegação: Public Cloud > Selecione o seu projeto > Selecione um serviço > Logs

Casos de utilização

Diagnóstico aplicacional

Os logs Public Cloud ajudam-no a diagnosticar problemas aplicacionais e de infraestrutura, dando-lhe acesso aos logs gerados pelos seus serviços. Pode filtrar e pesquisar estes logs para identificar anomalias e erros, o que torna o diagnóstico e a resolução de problemas mais eficazes. Nas arquiteturas cloud distribuídas, os logs de diferentes serviços podem ser correlacionados para obter uma visão completa do seu ambiente.

Segurança e conformidade dos dados

Os logs Public Cloud ajudam-no a detetar incidentes de segurança, a acompanhar as ações administrativas e a cumprir os requisitos das certificações e dos regulamentos. Ao conservar um histórico das operações e dos eventos de acesso, os logs fornecem provas essenciais para as auditorias e investigações de segurança.

Consoante o serviço e o destino de logs que escolher, o acesso aos logs pode ser restringido através de permissões detalhadas. Desta forma, pode controlar quem pode consultar ou gerir determinados logs, reforçar a sua postura de segurança e melhorar a governação global dos dados.

Supervisão da infraestrutura

Os logs Public Cloud fornecem informações valiosas sobre o estado e o comportamento da sua infraestrutura. Ao analisar os logs de serviço e de sistema, pode detetar padrões anómalos, erros ou problemas de desempenho e reagir antes que estes afetem os seus workloads ou utilizadores.

Consoante as ferramentas e os destinos que utiliza para consumir os seus logs, pode criar workflows de supervisão, como alertas ou visualizações, para compreender melhor a atividade dos seus serviços Public Cloud e partilhar estas informações entre as suas equipas.

Serviços Public Cloud compatíveis

A tabela seguinte lista os serviços Public Cloud que atualmente fornecem logs e indica onde encontrar os manuais correspondentes para os ativar ou recuperar. A disponibilidade e as funcionalidades podem variar consoante o serviço. Esta lista será atualizada à medida que novos serviços se tornem compatíveis.

Nome do produtoDisponibilidadeLigação para o manual
Public Cloud - ComputeÁrea de cliente OVHcloud e APIBrevemente disponível
Public Cloud - Block StorageÁrea de cliente OVHcloud e APIBrevemente disponível
Public Cloud - NetworkÁrea de cliente OVHcloud e APIBrevemente disponível
Public Cloud - Managed Kubernetes ServiceÁrea de cliente OVHcloud e APITransferência dos audit logs do Managed Kubernetes Service
Public Cloud - Load BalancerÁrea de cliente OVHcloud e APITransferência dos logs TCP / HTTP / HTTPS do Load Balancer Public Cloud
Public Cloud - Managed DatabasesÁrea de cliente OVHcloud e APIPublic Cloud Databases - Como configurar a transferência dos logs
Public Cloud - AnalyticsÁrea de cliente OVHcloud e APIAnalytics - Como configurar a transferência dos logs

Instruções

Do lado do produto

Nos serviços Public Cloud que oferecem funcionalidades de logging, pode aceder aos logs a partir da área de cliente OVHcloud através de um separador Logs dedicado. Esta secção permite-lhe consultar os logs disponíveis e configurar a respetiva recolha ou transferência. Clique neste separador para apresentar os dois componentes principais: um painel de live-tail e um painel de subscrição.

live-tail

Painel live-tail

À esquerda, o painel live-tail permite-lhe ver os logs deste serviço em tempo real. É útil para obter uma visão rápida da atividade em curso neste serviço.

Permite-lhe colocar o live-tail em pausa/reprodução, limpar a sessão em curso, deslocar e pesquisar:

basic-search

Painel de subscrição

À direita, o painel de subscrição permite-lhe subscrever os logs deste serviço para os disponibilizar na sua conta Logs Data Platform, no fluxo ou fluxos de dados à sua escolha. Este painel apresenta todas as suas subscrições ativas aos logs deste serviço e permite-lhe criar novas subscrições.

Clique em Subscrever (ou Subscrever outro fluxo de dados se já tiver subscrições). Acede então a esta página:

create-subscription-page

É aqui que deve selecionar o fluxo Logs Data Platform no qual pretende disponibilizar os logs deste serviço. Através da lista pendente no canto superior esquerdo, selecione a sua conta Logs Data Platform. A tabela central apresenta todos os fluxos de dados da conta Logs Data Platform selecionada e fornece-lhe informações sobre cada um: o seu nome/descrição, a sua retenção e se a indexação está ativada. Indica também se este fluxo de dados já possui outras subscrições ativas aos logs.

A última coluna contém os botões Subscrever e Cancelar a subscrição. Clique em Subscrever para começar a enviar os logs para o fluxo de dados selecionado ou em Cancelar a subscrição para parar.

Pode optar por criar várias subscrições para um determinado serviço, de modo que os logs desse serviço fiquem disponíveis em vários fluxos de dados. Esta opção é útil para os casos de utilização detalhados mais adiante neste manual.

Info
  • Apenas os logs de serviço gerados após a criação da subscrição estarão disponíveis no seu fluxo de dados.
  • Se optar por cancelar a subscrição, os logs já enviados para o seu fluxo de dados permanecerão; apenas serão eliminados quando atingirem a retenção configurada para o seu fluxo. Simplesmente deixará de ver os logs recém-gerados.
  • O Logs Data Platform funciona com base no pagamento conforme a utilização: paga em função do volume de logs enviados para o seu fluxo de dados. Se subscrever um produto que não gera nenhum log (porque não tem atividade), não pagará nada.

Tipos de logs (kinds)

Um serviço Public Cloud pode disponibilizar vários tipos de logs, denominados kinds. Quando um produto possui vários kinds de logs, os painéis live-tail e de subscrições passam a ser contextualizados de acordo com o kind selecionado:

manager-with-kind

Neste exemplo, a apresentação do live-tail e as subscrições listadas no painel da direita dizem ambas respeito ao kind REST API audit logs. Selecionar outro kind na lista pendente superior apresenta um conteúdo live-tail e subscrições diferentes.

Esta divisão dos logs de um produto em vários kinds oferece-lhe mais flexibilidade. Por exemplo, se um produto possuir vários kinds (por exemplo access, audit, error e ssh) e apenas os logs audit lhe interessarem, pode subscrever unicamente o kind audit e ignorar os outros. Outro exemplo: está interessado nos logs audit e nos logs error, mas pretende enviar estes logs para dois fluxos de dados distintos: é possível, criando duas subscrições baseadas em dois kinds diferentes que apontam para dois fluxos de dados diferentes.

Abordamos este caso de utilização mais adiante neste manual.

Do lado do Logs Data Platform

Agora que criou subscrições aos logs, pode consumir esses logs como entender no seu fluxo de dados Logs Data Platform. Consoante as suas necessidades, pode configurar o seu fluxo de dados de diferentes formas (não exclusivas). Por exemplo:

  • Ativar a indexação para beneficiar das funcionalidades do OpenSearch/Graylog.
  • Ativar o armazenamento de longa duração para conservar os seus logs em total segurança durante anos.
  • Ativar o web-socket para consumir os seus logs a partir de um software de terceiros, como o ldp-tail.

Todas as formas possíveis de consumir os seus logs estão resumidas no manual Introdução ao Logs Data Platform.

Info

No caso dos logs Public Cloud, toda a "geração de logs" e a "ingestão de logs" são geridas pela OVHcloud. Apenas tem de se preocupar com as partes "Armazenamento" e "Pesquisa e visualização".

Também pode gerir as suas subscrições aos logs do ponto de vista de um fluxo de dados. Para tal, dirija-se à secção Logs Data Platform da , selecione um serviço e clique no separador Fluxo de dados. Na tabela que lista os seus fluxos, pode ver uma coluna Subscrições que indica quantas subscrições aos logs apontam para um determinado fluxo.

Nesta tabela, clique no botão ... e depois em Gerir as subscrições. A página seguinte lista todas as subscrições aos logs que apontam para este fluxo de dados:

list-from-stream

Para cada subscrição, pode ver o tipo de serviço de onde provém, o nome do serviço e o kind de logs ao qual está subscrita.

Também pode eliminar uma subscrição aos logs a partir desta vista, clicando no ícone do caixote do lixo correspondente.

Utilização da API

Para facilitar as suas integrações com os logs Public Cloud, tornámos os endpoints da API consistentes em todos os serviços Public Cloud. Isto significa que todos os produtos compatíveis expõem o mesmo conjunto de endpoints da API, com os mesmos sufixos, os mesmos payloads e as mesmas respostas. Os endpoints disponíveis são os seguintes:

MétodoCaminhoDescrição
GET/xxx/{serviceName}/log/kindLista os kinds de logs do produto
GET/xxx/{serviceName}/log/kind/{name}Obtém o detalhe de um kind de logs
GET/xxx/{serviceName}/log/subscriptionLista as subscrições aos logs existentes para esta instância de produto
POST/xxx/{serviceName}/log/subscriptionCria uma nova subscrição aos logs para esta instância de produto
GET/xxx/{serviceName}/log/subscription/{subscriptionId}Obtém o detalhe de uma subscrição aos logs
DELETE/xxx/{serviceName}/log/subscription/{subscriptionId}Elimina uma subscrição aos logs
POST/xxx/{serviceName}/log/urlGera um URL temporário para recuperar os logs (utilizado pelo live-tail)

Logs Public Cloud e delegação de serviço inter-identidade IAM

Pode deparar-se com casos de utilização em que o produto cujos logs pretende recuperar e o serviço Logs Data Platform não pertencem à mesma conta OVHcloud. Exemplo:

  • A Alice é proprietária de uma instância Managed Kubernetes Service.
  • O Bob é proprietário de uma instância Logs Data Platform.
  • A Alice pretende que os logs dos seus Managed Kubernetes Services fiquem disponíveis no fluxo de dados Logs Data Platform do Bob.

Isto é possível graças ao OVHcloud IAM:

  • O Bob tem de criar uma política IAM para autorizar a identidade da Alice a utilizar a ação IAM ldp:apiovh:output/graylog/stream/forwardTo no seu fluxo de dados Logs Data Platform.
  • A Alice pode então utilizar o endpoint da API POST /cloud/project/{serviceName}/kube/{kubeId}/log/subscription e fornecer o streamId do Bob no payload deste endpoint.

Encontrará mais informações sobre as políticas IAM no manual Como utilizar as políticas IAM através da área de cliente OVHcloud.

Estratégias interessantes

O modelo de logs Public Cloud oferece-lhe flexibilidade na forma de recolher, isolar e consumir os seus logs. Nesta secção, apresentamos alguns padrões comuns. São apenas exemplos, não constituem uma lista exaustiva de todas as possibilidades de configuração dos logs Public Cloud.

Vários produtos para um único fluxo de dados, por ambiente

Neste exemplo, suponhamos que dispõe de uma stack técnica composta por vários serviços Public Cloud. Esta stack está implementada em vários ambientes (desenvolvimento, produção). Uma estratégia interessante pode consistir em enviar os logs de cada ambiente para um fluxo de dados distinto e configurar estes 2 fluxos de dados de forma diferente:

many-to-one-per-env

Na configuração acima:

  • Todos os logs do seu ambiente de desenvolvimento estão disponíveis num fluxo de dados. Apenas a funcionalidade de indexação está ativada neste fluxo.
  • Todos os logs do seu ambiente de produção estão disponíveis noutro fluxo de dados. A indexação e o armazenamento de longa duração estão ambos ativados.

Isto significa que:

  • Os logs do seu ambiente de desenvolvimento não são armazenados a longo prazo, uma vez que provavelmente não precisa deles e não pretende pagar por isso.
  • Os logs do seu ambiente de produção são armazenados num fluxo de dados dedicado, o que lhe facilita a configuração de alertas ou painéis de controlo baseados neste fluxo.

Vários produtos para vários fluxos de dados

Retomemos o mesmo exemplo, em que dispõe de uma stack técnica composta por vários serviços Public Cloud. Mas neste caso tem várias equipas, cada uma a trabalhar num componente diferente. Por motivos de segurança, pretende que a equipa A aceda aos logs do Load Balancer, mas não aos das Managed Databases. Também tem uma equipa de Segurança que precisa de aceder a todos os logs de auditoria de cada componente. Podemos imaginar uma configuração como a seguinte:

many-to-many

Na configuração acima:

  • Todos os logs aplicacionais do Load Balancer e do Managed Kubernetes são enviados para um fluxo de dados (seta azul).
  • Todos os logs aplicacionais das Managed Databases são enviados para outro fluxo de dados (seta azul).
  • Todos os respetivos logs de auditoria são enviados para outro fluxo de dados (seta vermelha).

Isto significa que:

  • Pode autorizar a sua equipa de Segurança a ver apenas o fluxo de dados que contém todos os logs de auditoria de todos os componentes da sua stack técnica.
  • Pode autorizar a sua equipa de Desenvolvimento a ver apenas o fluxo de dados que contém os logs do Load Balancer / Managed Kubernetes.
  • Pode autorizar a sua equipa de Administração das Bases de Dados a ver apenas o fluxo de dados que contém os logs das suas Managed Databases.
  • Pode configurar a indexação, o armazenamento de longa duração, etc., como entender, em cada um destes fluxos. Também pode definir retenções diferentes para cada fluxo.

Quer saber mais?

Fale com a nossa comunidade de utilizadores.

Esta página foi útil?