Este documento descreve como gerir as entradas de registo geradas pelos recursos contidos na sua Trusted Cloud by S3NS organização através de um destino agregado sem interceção.
Pode configurar um destino agregado para ser intercetor ou não intercetor, dependendo se quer ter controlo sobre as entradas de registo que podem ser consultadas ou encaminhadas através dos destinos em recursos subordinados. Neste tutorial, vai criar um destino agregado que encaminha os registos de auditoria da sua organização para um projeto, que, por sua vez, encaminha os registos de auditoria agregados para um contentor de registos.Trusted Cloud Para mais informações, consulte o artigo Vista geral dos destinos agregados.
Neste tutorial, vai realizar os seguintes passos:
Comece por criar um contentor de registos e um destino de registos no Trusted Cloud projeto onde quer armazenar as entradas de registo agregadas.
Em seguida, crie um destino agregado não intercetor ao nível da organização para encaminhar as entradas de registo para o projeto Trusted Cloud que contém o contentor de registos.
Em seguida, configure o acesso de leitura às visualizações de registos no novo contentor de registos.
Por último, consulte as suas entradas de registo na página do Explorador de registos.
Antes de começar
Certifique-se do seguinte:
-
Para receber as autorizações de que precisa para configurar um destino agregado, peça ao seu administrador que lhe conceda as seguintes funções do IAM na sua organização:
-
Para criar sinks e contentores de registos num projeto:
Logs Configuration Writer (
roles/logging.configWriter) – o seu projeto -
Para criar um destino agregado:
Logs Configuration Writer (
roles/logging.configWriter) – a sua organização -
Para conceder funções a responsáveis:
Proprietário (
roles/owner) – o seu projeto
Para mais informações sobre a atribuição de funções, consulte o artigo Faça a gestão do acesso a projetos, pastas e organizações.
Também pode conseguir as autorizações necessárias através de funções personalizadas ou outras funções predefinidas.
-
Para criar sinks e contentores de registos num projeto:
Logs Configuration Writer (
-
Instale a CLI Google Cloud e, em seguida, inicie sessão na CLI gcloud com a sua identidade federada. Depois de iniciar sessão, inicialize a CLI gcloud executando o seguinte comando:
gcloud init
Crie um contentor de registos
Os contentores de registos armazenam as entradas de registo encaminhadas de outros Trusted Cloud projetos, pastas ou organizações. Para mais informações, consulte o artigo Configure contentores de registos.
Para criar o contentor de registos no projeto Trusted Cloud no qual quer agregar as entradas de registo, conclua os seguintes passos:
Abra uma shell.
Na shell, execute o comando
gcloud logging buckets create.Antes de executar o seguinte comando, faça as seguintes substituições:
- BUCKET_NAME: o nome do segmento de registo.
- LOCATION: a localização do contentor de registos. Depois de criar o contentor de registos, não pode alterar a respetiva localização.
- PROJECT_ID: o identificador do projeto no qual criar o segmento de registo.
Execute o comando
gcloud logging buckets create:gcloud logging buckets create BUCKET_NAME \ --location=LOCATION --project=PROJECT_IDVerifique se o contentor de registos foi criado:
gcloud logging buckets list --project=PROJECT_IDA resposta do comando é uma lista dos contentores de registos no seu projeto.
Crie o destino do registo ao nível do projeto
Encaminha as entradas de registo para um contentor de registo criando um destino. Um sink inclui um filtro de inclusão, filtros de exclusão e um destino. Neste tutorial, vai configurar um filtro de inclusão e o destino para o novo contentor de registos. O seu destino não contém filtros de exclusão. Para mais informações sobre os destinos, consulte o artigo Encaminhe registos para destinos suportados.
Para criar um destino que encaminha as entradas de registo para o contentor de registos que acabou de criar,
execute o comando gcloud logging sinks create.
Antes de executar o seguinte comando, faça as seguintes substituições:
- PROJECT_LEVEL_SINK_NAME: o nome do destino de registo ao nível do projeto.
SINK_DESTINATION: o contentor de registos para onde as suas entradas de registo são encaminhadas. O formato do caminho de destino para um contentor de registos é o seguinte:
logging.googleapis.com/projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAMEPROJECT_ID: o identificador do projeto no qual criar o destino do registo. Defina esta opção para o mesmo projeto onde criou o bucket de registos.
Inclua as seguintes opções:
--log-filter: use esta opção para definir um filtro que corresponda às entradas de registo que quer incluir no seu destino. Neste tutorial, o filtro está definido para selecionar todas as entradas do registo de auditoria. Se não definir um filtro, todas as entradas de registo do seu projeto Trusted Cloud são encaminhadas para o destino.--description: use esta opção para descrever a finalidade ou o exemplo de utilização do destinatário.
Execute o comando
gcloud logging sinks create:
gcloud logging sinks create PROJECT_LEVEL_SINK_NAME SINK_DESTINATION
--project=PROJECT_ID
--log-filter='logName:cloudaudit.googleapis.com' \
--description="Audit logs from my organization" \
Crie o destino agregado
Os destinos agregados combinam e encaminham as entradas de registo dos recursos contidos por uma organização ou uma pasta para um destino.
Neste tutorial, cria um destino agregado que não é intercetor. Isto significa que cada entrada de registo encaminhada pelo destino agregado também é encaminhada pelos destinos no recurso no qual a entrada de registo tem origem. Por exemplo, um registo de auditoria originado num projeto é encaminhado pelo sink agregado e pelos sinks nesse projeto. Por conseguinte, é possível armazenar várias cópias de uma entrada de registo.
Pode criar destinos de interceção. Para mais informações, consulte o artigo Vista geral dos destinos agregados.
Configure o destino ao nível da organização
Para criar um destino agregado que não interceta e que encaminha entradas de registo para um projeto, conclua os seguintes passos:
Execute o comando
gcloud logging sinks create.Antes de executar o seguinte comando, faça as seguintes substituições:
- SINK_NAME: o nome do sink de registo. Não é possível alterar o nome de um destino depois de o criar.
- PROJECT_ID: o identificador do projeto que armazena o contentor de registos.
- ORGANIZATION_ID: o identificador da organização.
Execute o comando
gcloud logging sinks create:gcloud logging sinks create SINK_NAME \ logging.googleapis.com/projects/PROJECT_ID \ --log-filter='logName:cloudaudit.googleapis.com' \ --description="Audit logs from my organization" \ --organization=ORGANIZATION_ID \ --include-childrenA opção
--include-childrené importante. Esta opção garante que as entradas de registo de todos osTrusted Cloud projetos e pastas na sua organização são encaminhadas. Para mais informações, consulte o artigo Recolha e encaminhe registos ao nível da organização para destinos suportados.Verifique se o destino foi criado:
gcloud logging sinks list --organization=ORGANIZATION_IDObtenha o nome da conta de serviço:
gcloud logging sinks describe SINK_NAME --organization=ORGANIZATION_IDO resultado tem um aspeto semelhante ao seguinte:
writerIdentity: serviceAccount:o1234567890-ORGANIZATION_ID@gcp-sa-logging.s3ns.iam.gserviceaccount.comCopie o valor do campo
serviceAccountpara a área de transferência.
Conceda acesso ao lavatório
Depois de criar o destino agregado, tem de conceder autorização para que o destino escreva entradas de registo no projeto que definiu como destino. Pode conceder autorização através da Trusted Cloud consola ou editando a política de gestão de identidade e de acesso (IAM), conforme descrito em Defina autorizações de destino.
Para conceder autorização ao destino para escrever entradas de registo, faça o seguinte:
-
Na Trusted Cloud consola, aceda à página IAM:
Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cujo subtítulo é IAM e administração.
Selecione o Trusted Cloud projeto que contém o seu contentor de registos.
Clique em Conceder acesso e adicione a conta de serviço como um novo principal. Não inclua o prefixo serviceAccount:.
No menu Selecionar uma função, selecione Logs Writer.
Clique em Guardar.
Gere entradas de registo para ajudar na validação do destino
Para verificar se o destino agregado está configurado corretamente, experimente o seguinte:
Gere entradas do registo de auditoria que devem ser encaminhadas para o seu contentor de registos.
Se tiver muitos Trusted Cloud projetos na sua organização, pode ter tráfego de registo de auditoria suficiente para não ter de criar nenhum para fins de validação. Avançar para o próximo passo.
Caso contrário, aceda a um projeto diferente, crie uma instância de VM do Compute Engine e, em seguida, elimine a instância que criou. Os registos de auditoria são escritos quando uma VM é criada, iniciada e eliminada.
Siga o procedimento na secção intitulada Ver registos na página do Explorador de registos para ver os seus registos de auditoria. Certifique-se de que seleciona a vista
_AllLogs.
Configure o acesso de leitura a uma vista de registo num contentor de registo
Quando cria um contentor de registos, o Cloud Logging cria automaticamente uma
vista de registos denominada _AllLogs.
Esta vista inclui todas as entradas de registo armazenadas no contentor de registos.
Para restringir um principal de modo que tenha acesso apenas a entradas de registo específicas, crie uma visualização de registo e, em seguida, faça uma das seguintes ações:
Conceda-lhes a função de
roles/logging.viewAccessorjuntamente com uma condição do IAM que restrinja a concessão à visualização do registo.Na política IAM associada à vista de registo, conceda acesso a um principal. Recomendamos esta abordagem quando cria um grande número de visualizações de registos.
Para mais informações sobre estas duas abordagens, consulte o artigo Controle o acesso a uma vista de registo.
Nos passos seguintes, concede a um principal a função de
roles/logging.viewAccessor juntamente com uma condição do IAM
que restringe a concessão à vista denominada _AllLogs:
-
Na Trusted Cloud consola, aceda à página IAM:
Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cujo subtítulo é IAM e administração.
Selecione o Trusted Cloud projeto que contém o contentor de registos.
Clique em Adicionar.
No campo Novo principal, adicione um principal.
No menu Selecionar uma função, selecione Acesso ao visualizador de registos.
Se não adicionar uma condição a esta função, o principal tem acesso a todas as visualizações de registos em todos os contentores de registos definidos pelo utilizador no projeto Trusted Cloud .
Adicione uma condição IAM à vinculação:
- Clique em Adicionar condição, introduza um título e uma descrição.
- No menu Tipo de condição, desloque a página até Recurso e, de seguida, selecione Nome.
- No menu Operador, selecione Termina com.
No campo Valor, introduza o nome completo da vista de registo:
locations/LOCATION/buckets/BUCKET_NAME/views/_AllLogsClique em Guardar para guardar a condição.
Clique em Guardar para guardar a associação.
Veja entradas do registo na página do explorador de registos
Para ver as entradas de registo no seu contentor de registos, faça o seguinte:
-
Na Trusted Cloud consola, aceda à página Explorador de registos:
Aceda ao Explorador de registos
Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cuja legenda é Registo.
Selecione Refinar âmbito.
No painel Refinar âmbito, selecione Vista de registo.
Selecione a visualização de registo ou as visualizações de registo cujas entradas de registo quer ver. Por exemplo, para ver todas as entradas do registo, selecione a vista denominada
_AllLogs.Clique em Aplicar.
O Explorador de registos é atualizado para mostrar as entradas de registo do seu contentor de registos. Para mais informações sobre a utilização do Explorador de registos, consulte o artigo Usar o Explorador de registos.