יכול להיות שחלק מהמידע בדף הזה או כולו לא רלוונטי ל-Cloud de Confiance by S3NS. פרטים נוספים מופיעים במאמר מה ההבדל מ-Google Cloud.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

צבירה ואחסון של היומנים של הארגון

במאמר הזה מוסבר איך לנהל את רשומות היומן שנוצרות על ידי המשאבים שכלולים ב Cloud de Confiance by S3NS ארגון באמצעות יעד מצטבר שלא מבצע יירוט.

אתם יכולים להגדיר מאגר נתונים מצטבר כמאגר נתונים מיירט או לא מיירט, בהתאם לרצון שלכם לשלוט בשאילתות של רשומות יומן או בהעברה שלהן דרך מאגרי הנתונים במשאבי צאצא. במדריך הזה יוצרים aggregated sink שמנתב את יומני הביקורת של הארגון אלCloud de Confiance פרויקט, שמנתב את יומני הביקורת המצטברים אל קטגוריה ביומן. מידע נוסף מופיע במאמר סקירה כללית על מאגרי נתונים מצטברים.

במדריך הזה תבצעו את השלבים הבאים:

מתחילים ביצירת קטגוריה ביומן ו-sink ביומן בCloud de Confiance פרויקט שבו רוצים לאחסן את רשומות היומן המצטברות.
לאחר מכן, יוצרים מאגר נתונים משותף (sink) מצטבר שלא מבצע יירוט ברמת הארגון, כדי לנתב רשומות ביומן אל Cloud de Confiance הפרויקט שמכיל את קטגוריית היומן.
לאחר מכן מגדירים גישת קריאה לתצוגות יומנים בקטגוריית היומנים החדשה.
לבסוף, שולחים שאילתה וצופים ברשומות היומן מהדף Logs Explorer.

לפני שמתחילים

חשוב לוודא את הדברים הבאים:

כדי לקבל את ההרשאות שדרושות להגדרה של מאגר נתונים משולב, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בארגון:
- כדי ליצור קטגוריות ופריטי sink ביומן בפרויקט: Logs Configuration Writer (roles/logging.configWriter) – הפרויקט שלכם
- כדי ליצור מאגר נתונים מאוחד: Logs Configuration Writer (roles/logging.configWriter) - your organization
- כדי להעניק תפקידים לחשבונות משתמש: בעלים (roles/owner) – הפרויקט שלכם
להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.
התקינו את ה-CLI של Google Cloud ואז היכנסו ל-CLI של gcloud באמצעות הזהות המאוחדת שלכם. אחרי שנכנסתם לחשבון, אתחלו את ה-CLI של Google Cloud באמצעות הפקודה הבאה:
```
gcloud init
```

יצירת קטגוריה ביומן

מאגרי יומנים מאחסנים את רשומות היומן שמנותבות מCloud de Confiance פרויקטים, תיקיות או ארגונים אחרים. מידע נוסף זמין במאמר בנושא הגדרת קטגוריות ביומן.

כדי ליצור את קטגוריית היומנים ב Cloud de Confiance פרויקט שאליו רוצים לצבור את רשומות היומן, מבצעים את השלבים הבאים:

פותחים מעטפת.
במעטפת, מריצים את הפקודה gcloud logging buckets create.

לפני שמריצים את הפקודה הבאה, צריך להחליף את המשתנים הבאים בערכים:
- ‫BUCKET_NAME: השם של קטגוריה ביומן.
- ‫LOCATION: המיקום של קטגוריה ביומן. אחרי שיוצרים את קטגוריה ביומן, אי אפשר לשנות את המיקום שלו.
- ‫PROJECT_ID: המזהה של הפרויקט שבו רוצים ליצור את קטגוריה ביומן.
מריצים את הפקודה gcloud logging buckets create:
```
 gcloud logging buckets create BUCKET_NAME \
   --location=LOCATION --project=PROJECT_ID
```
מוודאים שמאגר היומנים נוצר:
```
gcloud logging buckets list --project=PROJECT_ID
```
התשובה של הפקודה היא רשימה של מאגרי היומנים בפרויקט.
אפשר להגדיר תקופות שמירה לקטגוריות של יומנים. אם רוצים להגדיר את תקופת השמירה של רשומות היומן בקטגוריית היומן, משתמשים בפקודה gcloud logging buckets update. לדוגמה, הפקודה הבאה מאריכה את תקופת השמירה של רשומות ביומן שאוחסנו בקטגוריית היומן ל-365 ימים:
```
gcloud logging buckets update BUCKET_NAME \
   --location=LOCATION --project=PROJECT_ID \
   --retention-days=365
```
מידע נוסף על האפשרויות זמין במאמר gcloud logging buckets update.

יצירת sink ביומן ברמת הפרויקט

כדי להפנות רשומות ביומן לקטגוריית יומנים, צריך ליצור יעד. אובייקט sink כולל מסנן הכללה, מסנני החרגה ויעד. במדריך הזה מוסבר איך להגדיר מסנן הכללה ואת היעד לקטגוריית היומנים החדשה. מאגר הנתונים שלכם לא מכיל מסנני החרגה. מידע נוסף על יעד לניתוב יומנים מופיע במאמר ניתוב יומנים ליעדים נתמכים.

כדי ליצור יעד שמעביר רשומות ביומן לקטגוריית היומנים שיצרתם, מריצים את הפקודה gcloud logging sinks create.

לפני שמריצים את הפקודה הבאה, צריך להחליף את המשתנים הבאים בערכים:

‫PROJECT_LEVEL_SINK_NAME: השם של sink ביומן ברמת הפרויקט.
‫SINK_DESTINATION: קטגוריה ביומן שאליה מנותבות רשומות היומן. הפורמט של נתיב היעד של קטגוריה ביומן הוא:
```
logging.googleapis.com/projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME
```
PROJECT_ID: המזהה של הפרויקט שבו רוצים ליצור את sink ביומן. מגדירים את האפשרות הזו לאותו פרויקט שבו יצרתם את מאגר היומנים.
צריך לכלול את האפשרויות הבאות:
- ‫--log-filter : משתמשים באפשרות הזו כדי להגדיר מסנן שתואם לרשומות ביומן שרוצים לכלול במאגר. במדריך הזה, המסנן מוגדר לבחירת כל הרשומות ביומן הביקורת. אם לא מגדירים מסנן, כל רשומות היומן מהפרויקט Cloud de Confiance מועברות ליעד.
- ‫--description: משתמשים באפשרות הזו כדי לתאר את המטרה או את תרחיש השימוש של יעד הנתונים.

מריצים את הפקודה gcloud logging sinks create:

gcloud logging sinks create PROJECT_LEVEL_SINK_NAME SINK_DESTINATION
--project=PROJECT_ID
--log-filter='logName:cloudaudit.googleapis.com' \
--description="Audit logs from my organization" \

יצירת יעד מצטבר

מאגרי נתונים משולבים (aggregated sinks) משלבים ומנתבים רשומות ביומן ממשאבים שנמצאים בארגון או בתיקייה ליעד.

במדריך הזה תיצרו מאגר נתונים מצטבר שלא מבצע יירוט. כלומר, כל רשומה ביומן שמועברת על ידי מאגר נתונים משותף מועברת גם על ידי מאגרי הנתונים במשאב שממנו מגיעה הרשומה ביומן. לדוגמה, יומן ביקורת שמקורו בפרויקט מנותב על ידי ה-sink המצטבר ועל ידי ה-sinks בפרויקט הזה. לכן, יכול להיות שייאגרו אצלכם כמה עותקים של רשומה ביומן.

אפשר ליצור מאגרי מידע שמתעדים את כל הנתונים. מידע נוסף מופיע במאמר סקירה כללית על מאגרי נתונים מצטברים.

הגדרת יעד ברמת הארגון

כדי ליצור יעד צבירה שלא מיירט נתונים ושמעביר רשומות ביומן לפרויקט, מבצעים את השלבים הבאים:

מריצים את הפקודה gcloud logging sinks create.

לפני שמריצים את הפקודה הבאה, צריך להחליף את המשתנים הבאים בערכים:
- ‫SINK_NAME: השם של ה-sink ביומן. אי אפשר לשנות את השם של מאגר אחרי שיוצרים אותו.
- ‫PROJECT_ID: המזהה של הפרויקט שבו מאוחסנת קטגוריית היומנים.
- ‫ORGANIZATION_ID: המזהה של הארגון.
מריצים את הפקודה gcloud logging sinks create:
```
gcloud logging sinks create SINK_NAME \
logging.googleapis.com/projects/PROJECT_ID  \
  --log-filter='logName:cloudaudit.googleapis.com' \
  --description="Audit logs from my organization" \
  --organization=ORGANIZATION_ID \
  --include-children
```
האפשרות --include-children חשובה. האפשרות הזו מבטיחה שרשומות ביומן מכלCloud de Confiance הפרויקטים והתיקיות בארגון ינותבו. מידע נוסף זמין במאמר איסוף וניתוב של יומנים ברמת הארגון ליעדים נתמכים.

מוודאים שיעד הנתונים נוצר:

gcloud logging sinks list --organization=ORGANIZATION_ID

משיגים את השם של חשבון השירות:

gcloud logging sinks describe SINK_NAME --organization=ORGANIZATION_ID

הפלט אמור להיראות כך:

writerIdentity: serviceAccount:o1234567890-ORGANIZATION_ID@gcp-sa-logging.s3ns-system.iam.gserviceaccount.com

מעתיקים את הערך של השדה serviceAccount ללוח.

הענקת גישה למאגר

אחרי שיוצרים את מאגר היעד המצטבר, צריך להעניק לו הרשאה לכתוב רשומות ביומן לפרויקט שהגדרתם כיעד. אפשר להעניק הרשאה באמצעות Cloud de Confiance המסוף או באמצעות עריכה של המדיניות לניהול הזהויות והרשאות הגישה (IAM), כפי שמתואר במאמר הגדרת הרשאות ליעד.

כדי להעניק ל-sink הרשאה לכתוב רשומות ביומן:

נכנסים לדף IAM במסוף Cloud de Confiance :
כניסה לדף IAM

אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שמופיע בה הכותרת המשנית IAM & Admin.
בוחרים את Cloud de Confiance הפרויקט שמכיל את קטגוריה ביומן.
לוחצים על Grant access ומוסיפים את חשבון השירות כ-Principal חדש. לא כוללים את הקידומת serviceAccount:.
בתפריט Select a role (בחירת תפקיד), בוחרים באפשרות Logs Writer (כתיבת יומנים).
לוחצים על Save.

יצירת רשומות ביומן כדי לעזור באימות של יעד

כדי לוודא שהיעד המצטבר מוגדר בצורה תקינה, אפשר לנסות את הפעולות הבאות:

יצירת רשומות ביומן הביקורת שצריך לנתב לקטגוריה ביומן.
- אם יש לכם הרבה Cloud de Confiance פרויקטים בארגון, יכול להיות שיש לכם מספיק תנועה ביומן הביקורת, כך שלא תצטרכו ליצור עוד פרויקטים למטרות אימות. מעבר לשלב הבא.
- אחרת, עוברים לפרויקט אחר, יוצרים מכונת VM ב-Compute Engine ואז מוחקים את המכונה שיצרתם. יומני ביקורת נכתבים כשמכונת VM נוצרת, מופעלת ונמחקת.
כדי לראות את יומני הביקורת, פועלים לפי השלבים שמפורטים בקטע צפייה ביומנים בדף Logs Explorer. חשוב לבחור בתצוגה _AllLogs.

הגדרת גישת קריאה לתצוגת יומנים בקטגוריית יומנים

כשיוצרים קטגוריה ביומן, Cloud Logging יוצר באופן אוטומטי תצוגת יומנים בשם _AllLogs. התצוגה הזו כוללת כל רשומה ביומן שאוחסנה בקטגוריה ביומן.

כדי להגביל את הגישה של חשבון ראשי רק לרשומות יומן ספציפיות, יוצרים תצוגת יומן ומבצעים אחת מהפעולות הבאות:

מקצים להם את התפקיד roles/logging.viewAccessor יחד עם תנאי IAM שמגביל את ההקצאה לתצוגת היומן.
במדיניות IAM שמשויכת לתצוגת היומן, מעניקים גישה לחשבון משתמש. מומלץ להשתמש בגישה הזו כשיוצרים מספר גדול של תצוגות יומן.

מידע נוסף על שתי הגישות האלה זמין במאמר בנושא שליטה בגישה לתצוגת יומן.

בשלבים הבאים, מעניקים לחשבון משתמש את התפקיד roles/logging.viewAccessor יחד עם תנאי IAM שמגביל את ההענקה לתצוגה בשם _AllLogs:

נכנסים לדף IAM במסוף Cloud de Confiance :
כניסה לדף IAM

אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שמופיע בה הכותרת המשנית IAM & Admin.
בוחרים את הפרויקט Cloud de Confiance שמכיל את קטגוריה ביומן.
לוחצים על הוספה.
בשדה New principal, מוסיפים חשבון ראשי.
בתפריט Select a role, בוחרים באפשרות Logs Views Accessor.

אם לא מוסיפים תנאי לתפקיד הזה, לישות הבסיסית יש גישה לכל תצוגות היומן בכל מאגרי היומנים שהוגדרו על ידי המשתמש בפרויקט. Cloud de Confiance
מוסיפים תנאי IAM לקישור:
1. לוחצים על Add condition (הוספת תנאי), מזינים שם ותיאור.
2. בתפריט Condition type, גוללים אל Resource ואז בוחרים באפשרות Name.
3. בתפריט Operator, בוחרים באפשרות Ends with.
4. בשדה ערך, מזינים את השם המלא של תצוגת היומן:
```
locations/LOCATION/buckets/BUCKET_NAME/views/_AllLogs
```
5. לוחצים על שמירה כדי לשמור את התנאי.
לוחצים על שמירה כדי לשמור את הקישור.

צפייה ברשומות ביומן בדף Logs Explorer

כדי לראות את הרשומות ביומן בקטגוריית היומן:

במסוף Cloud de Confiance , נכנסים לדף Logs Explorer:
כניסה אל Logs Explorer

אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שכותרת המשנה שלה היא Logging.
לוחצים על צמצום ההיקף.
בחלונית Refine scope, בוחרים באפשרות Log view.
בוחרים את תצוגת היומן או תצוגות היומן שרוצים לראות את הרשומות שלהן. לדוגמה, כדי לראות את כל הרשומות ביומן, בוחרים בתצוגה שנקראת _AllLogs.
לוחצים על אישור.

Logs Explorer מתעדכן ומציג רשומות ביומן ממאגר היומנים. מידע על השימוש ב-Logs Explorer זמין במאמר שימוש ב-Logs Explorer.