OCI 使用Oracle函数和事件摄取OCI WAF日志

Oracle云基础设施（OCI）Web应用防火墙（WAF）是一项Oracle云服务，用于保护您的Web应用程序免受威胁。WAF服务内提供日志。本文档描述了编译WAF日志并将这些日志转发到OCI日志记录的架构，以供第三方（如Splunk）进一步使用。

架构

该架构描述了如何编译WAF日志并将这些日志转发到OCI日志记录，以供第三方（如Splunk）进一步使用。

下图说明了这一参考架构。

架构包含以下组件：

区域

• Oracle云基础设施区域是一个地理区域，包含一个或多个称为可用性域的数据中心。区域与其他区域独立，它们之间可以相隔很远的距离（跨越国家甚至大陆）。

Web应用防火墙

• Web应用防火墙（WAF）过滤和监控Web应用程序与互联网之间的HTTP流量。它是第7层协议的防御措施，可以保护Web应用程序免受大多数恶意攻击。

可用性域

• 可用性域是区域内独立的、独立的数据中心。每个可用性域中的物理资源与其他可用性域的资源隔离，这提供了容错能力。可用性域不共享基础设施，如电力或冷却系统，或内部可用性域网络。因此，一个可用性域的故障不太可能影响该区域内的其他可用性域。

租户

• 租户是Oracle在您注册Oracle云基础设施时，在Oracle云中设置的一个安全且隔离的分区。您可以在您的租户内创建、组织和管理您的资源。

虚拟云网络（VCN）和子网

• VCN是一个可定制的、软件定义的网络，您在Oracle云基础设施区域中设置。像传统数据中心网络一样，VCN让您完全控制您的网络环境。VCN可以拥有多个不重叠的CIDR块，您可以在创建VCN后更改这些块。您可以将VCN分割成子网，这些子网可以范围到一个区域或到一个可用性域。每个子网由不与VCN中其他子网重叠的连续地址范围组成。您可以在创建后更改子网的大小。子网可以是公共的或私有的。

对象存储

• 对象存储提供对大量结构化和非结构化数据的快速访问，包括数据库备份、分析数据和丰富内容，如图片和视频。对于您需要快速、立即和频繁访问的“热”存储，使用标准存储。对于您长时间保留并很少或几乎不访问的“冷”存储，使用归档存储。

日志记录

• 日志记录是一个高度可扩展且完全托管的服务，提供来自云中资源的以下类型的日志访问：

￮ 审计日志：与审计服务发出的事件相关的日志。

￮ 服务日志：由单个服务（如API网关、事件、函数、负载均衡、对象存储和VCN流日志）发出的日志。

￮ 自定义日志：包含来自自定义应用程序、其他云提供商或本地环境的诊断信息的日志。

推荐

使用以下建议作为起点。您的需求可能与此处描述的架构不同。

VCN和子网

• 当您将OCI函数连接到子网和VCN时，您必须确保子网能够正确访问对象存储和OCI日志记录端点。

对象存储服务

• 此服务自动收集WAF服务发出的WAF日志。您需要确保这个桶启用了“发出事件”。

事件服务

• 此服务监视WAF日志对象存储桶以查找新的对象创建事件。我们建议仅过滤此特定桶中创建的对象。

函数服务

• 此服务在新的对象创建事件上触发。

日志记录

• 该架构捕获由WAF服务生成的对象存储日志。我们还建议您启用函数日志记录，以便在需要排除故障时使用。

访问控制

• 使用的OCI函数通过资源主体进行认证。为了实现这一模式，您将需要一个动态组，带有允许以下操作的策略：    

￮ Allow dynamic-group WAFLogs to use logging-family in compartment compartment

￮ Allow dynamic-group WAFLogs to read buckets in compartment compartment_name

￮ Allow dynamic-group WAFLogs to read objects in compartment compartment_name

服务网关

• 当您在子网中部署函数时，使用服务网关与对象存储和OCI日志记录服务端点通信。

考虑事项

实施此架构时，请考虑以下因素：

性能

• 该架构基于WAF服务生成的事件数量进行扩展。OCI日志服务具有很高的可扩展性。

• 事件、函数和流媒体也具有很高的可扩展性，并用作临时通道以存储从日志服务发送的事件信息。流媒体服务还充当负载均衡器。根据您预期的日志数据量，考虑调整分区和流的数量。

可用性

• Oracle确保函数、事件、流媒体、日志服务的高可用性，这些都是云原生且完全托管的服务。

• 流媒体包括以下高可用性能力：

￮ 日志数据的持续流动

￮ 多线程和水平可扩展服务

￮ 近实时摄取

￮ 对短期中断的弹性

￮ 针对高效数据使用进行优化

可视化和分析

• 一旦摄取了日志，您可以从几种实现模式中选择，例如以下模式：

￮ Oracle日志分析

￮ 使用OCI日志Splunk插件将日志摄取到Splunk中

￮ 使用OCI Splunk应用程序可视化日志

• 有关上述后几种模式的更多信息，请参见“探索更多”主题中引用的文档。

开启您的Oracle云之旅：Agilewing - 您的智能云服务伙伴

作为Oracle的高级合作伙伴，Agilewing正重新定义企业体验Oracle云服务的方式。借助于其简化的开户流程和一流的技术支持，Agilewing将复杂的开户和操作流程转化为一种轻松、直观的体验。通过我们的一站式服务，您可以迅速开启并享受Oracle云的全方位服务，从而无缝融入云端世界。

Agilewing的AgileCDN服务，结合了OCI的云基础服务，提供了一流的全球内容加速解决方案。超过2800个全球POP节点和7000个直连点的强大网络，确保了无论您的业务扩展到全球哪个角落，都能保持高效稳定的运行。

利用Oracle云的先进技术，Agilewing致力于简化云服务搭建、云迁移和业务出海的过程。我们的合作模式为客户带来经济高效的解决方案，使他们能够更加专注于核心业务，同时享受Oracle云的高性能和安全保障。

Oracle云服务，作为一个充满潜力的领域，以其高性能、安全性和全球统一的服务标准，为各类企业开启了新的机遇之门。通过Agilewing的专业服务，无论是个人用户还是企业，都能轻松步入这个充满技术革新和高效能的新时代。现在，就让Agilewing引领您开始探索Oracle云服务，打开一个全新的世界大门。