Recolha e encaminhe registos ao nível da organização e da pasta para destinos suportados

Este documento descreve como criar destinos agregados. Os destinos agregados permitem-lhe combinar e encaminhar registos gerados pelos Trusted Cloud by S3NS recursos na sua organização ou pasta para uma localização centralizada.

Antes de começar

Antes de criar um destino, certifique-se do seguinte:

  • Conhece o comportamento dos destinos agregados. Para saber mais sobre estes destinos, consulte o artigo Vista geral dos destinos agregados.

  • Tem uma Trusted Cloud pasta ou uma organização com entradas de registo que pode ver no Explorador de registos.

  • Tem uma das seguintes funções de IAM para a Trusted Cloud organização ou pasta a partir da qual está a encaminhar as entradas de registo.

    • Proprietário (roles/owner)
    • Administrador de registos (roles/logging.admin)
    • Logs Configuration Writer (roles/logging.configWriter)

    As autorizações contidas nestas funções permitem-lhe criar, eliminar ou modificar destinos. Para ver informações sobre como definir funções de IAM, consulte o guia de controlo de acesso do Logging.

  • O destino do coletor agregado existe ou tem a capacidade de o criar.

    Quando o destino é um Trusted Cloud projeto, o projeto pode estar em qualquer organização. Todos os outros destinos podem estar em qualquer projeto em qualquer organização.

  • Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Trusted Cloud console to access Trusted Cloud by S3NS services and APIs, you don't need to set up authentication.

    gcloud

    Instale a CLI Google Cloud e, em seguida, inicie sessão na CLI gcloud com a sua identidade federada. Depois de iniciar sessão, inicialize a CLI gcloud executando o seguinte comando: 

    gcloud init

    REST

    Para usar os exemplos da API REST nesta página num ambiente de desenvolvimento local, usa as credenciais que fornece à CLI gcloud.

      Instale a CLI Google Cloud e, em seguida, inicie sessão na CLI gcloud com a sua identidade federada. Depois de iniciar sessão, inicialize a CLI gcloud executando o seguinte comando: 

      gcloud init

    Para mais informações, consulte o artigo Autenticar para usar REST na Trusted Cloud documentação de autenticação.

Crie um destino agregado

Para configurar um destino agregado, crie o destino e, em seguida, conceda-lhe as autorizações para escrever no destino. Esta secção descreve como criar um destino agregado. Para informações sobre como conceder autorizações ao destino, consulte a secção desta página intitulada Defina autorizações de destino.

Pode criar até 200 destinos por pasta ou organização.

Consola

Para criar um destino agregado para a sua pasta ou organização, faça o seguinte:

  1. Na Trusted Cloud consola, aceda à página Log Router:

    Aceda a Registar router

    Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cuja legenda é Registo.

  2. Selecione uma pasta ou uma organização existente.

  3. Selecione Criar destino.

  4. No painel Detalhes do destino, introduza os seguintes detalhes:

    • Nome do destino: forneça um identificador para o destino. Tenha em atenção que, depois de criar o destino, não pode mudar-lhe o nome, mas pode eliminá-lo e criar um novo destino.

    • Descrição do destino (opcional): descreva a finalidade ou o exemplo de utilização do destino.

  5. No menu Selecionar serviço de destino, selecione o tipo de destino e, em seguida, conclua a caixa de diálogo para especificar o destino. Pode selecionar um destino existente ou criar o destino.

    • Para um ponto de recolha de interceção, selecione o Trusted Cloud projeto e, de seguida, introduza o nome totalmente qualificado do Trusted Cloud projeto de destino:

      logging.googleapis.com/projects/DESTINATION_PROJECT_ID

    • Para um destino não intercetor, selecione o destino e, em seguida, introduza o nome totalmente qualificado do destino. São suportados os seguintes destinos:

      • Trusted Cloud projeto

        logging.googleapis.com/projects/DESTINATION_PROJECT_ID

      • Contentor do Cloud Logging

        logging.googleapis.com/projects/DESTINATION_PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME

      • Tópico do Pub/Sub

        pubsub.googleapis.com/projects/PROJECT_ID/topics/TOPIC_ID

  6. No painel Escolha os registos a incluir no destino, selecione os recursos a incluir no destino.

    • Para um destino de interceção, selecione Intercetar registos carregados por esta organização e todos os recursos secundários.

    • Para um destino não intercetor, selecione Incluir registos carregados por este recurso e todos os recursos secundários.

  7. No campo Criar filtro de inclusão, introduza uma expressão de filtro que corresponda às entradas de registo que quer incluir. Se não definir um filtro, todas as entradas de registo do recurso selecionado são encaminhadas para o destino.

    Por exemplo, pode querer criar um filtro para encaminhar todos os registos de auditoria de acesso aos dados para um único contentor de registos. Este filtro tem o seguinte aspeto:

    LOG_ID("cloudaudit.googleapis.com/data_access") OR LOG_ID("externalaudit.googleapis.com/data_access")

    Para ver exemplos de filtros, consulte a secção Crie filtros para destinos agregados desta página.

    Tenha em atenção que o comprimento de um filtro não pode exceder 20 000 carateres.

  8. Opcional: para verificar se introduziu o filtro correto, selecione Pré-visualizar registos. Esta ação abre o Explorador de registos num novo separador com o filtro pré-preenchido.

  9. Opcional: no painel Escolha registos a excluir da saída, faça o seguinte:

    1. No campo Nome do filtro de exclusão, introduza um nome.

    2. No campo Crie um filtro de exclusão, introduza uma expressão de filtro que corresponda às entradas de registo que quer excluir. Também pode usar a função sample para selecionar uma parte das entradas do registo a excluir.

      Por exemplo, para excluir as entradas de registo de um projeto específico do encaminhamento para o destino, adicione o seguinte filtro de exclusão:

      logName:projects/PROJECT_ID

      Para excluir entradas de registo de vários projetos, use o operador lógico OR para juntar cláusulas logName.

    Pode criar até 50 filtros de exclusão por destino. Tenha em atenção que o comprimento de um filtro não pode exceder 20 000 carateres.

  10. Selecione Criar destino.

  11. Para concluir a configuração do seu destino agregado, conceda à conta de serviço do destino a autorização para escrever entradas de registo no destino. Para mais informações, consulte o artigo Defina autorizações de destino.

gcloud

Para criar um destino agregado, use o comando logging sinks create:

  1. Para criar um destino, chame o comando gcloud logging sinks create e certifique-se de que inclui a opção --include-children.

    Antes de usar o seguinte comando, faça as seguintes substituições:

    • SINK_NAME: o nome do sink de registo. Não é possível alterar o nome de um destino depois de o criar.
    • SINK_DESTINATION: o serviço ou o projeto para onde quer encaminhar as entradas do registo. Para obter informações sobre o formato destes destinos, consulte o artigo Formatos de caminhos de destino.
    • INCLUSION_FILTER: o filtro de inclusão para um destino. Para ver exemplos de filtros, consulte o artigo Crie filtros para destinos agregados.
    • FOLDER_ID: o ID da pasta. Se quiser criar um destino de registo ao nível da organização, substitua --folder=FOLDER_ID por -- organization=ORGANIZATION_ID.

    Execute o comando gcloud logging sinks create:

    gcloud logging sinks create SINK_NAME \
  SINK_DESTINATION  --include-children \
  --folder=FOLDER_ID --log-filter="INCLUSION_FILTER"

    Também pode indicar as seguintes opções:

    • Para criar um dissipador de interceção, inclua a opção --intercept-children.

    Por exemplo, se estiver a criar um destino agregado ao nível da pasta e cujo destino seja um tópico do Pub/Sub, o comando pode ter o seguinte aspeto:

    gcloud logging sinks create SINK_NAME \
  pubsub.googleapis.com/projects/PROJECT_ID/topics/TOPIC_ID --include-children \
  --folder=FOLDER_ID --log-filter="logName:activity"

  2. Conceda à conta de serviço da entrada a autorização para escrever no destino da entrada. Para mais informações, consulte o artigo Defina autorizações de destino.

REST

Para criar um destino agregado, use o método da API Logging organizations.sinks.create ou folders.sinks.create. Prepare os argumentos para o método da seguinte forma:

  1. Defina o campo parent como a organização ou a pasta na qual criar o destino. Trusted Cloud O elemento principal tem de ser um dos seguintes:

    • organizations/ORGANIZATION_ID
    • folders/FOLDER_ID

  2. No objeto LogSink no corpo do pedido do método, efetue uma das seguintes ações:

    • Defina includeChildren como True.

    • Para criar um destino de interceção, também tem de definir o campo interceptChildren como True.

  3. Defina o campo filter para corresponder às entradas de registo que quer incluir.

    Para ver exemplos de filtros, consulte o artigo Crie filtros para destinos agregados.

    O comprimento de um filtro não pode exceder os 20 000 carateres.

  4. Defina os campos LogSink restantes como faria para qualquer destino. Para mais informações, consulte o artigo Encaminhe registos para destinos suportados.

  5. Ligue para organizations.sinks.create ou folders.sinks.create para criar o lavatório.

  6. Conceda à conta de serviço da entrada a autorização para escrever no destino da entrada. Para mais informações, consulte o artigo Defina autorizações de destino.

As alterações feitas a um destino podem demorar alguns minutos a serem aplicadas.

Filtros para destinos agregados

Esta secção apresenta exemplos de filtros que pode usar num destino agregado. Para mais exemplos, consulte o artigo Consultas de exemplo com o Explorador de registos.

Alguns exemplos usam a seguinte notação:

  • : é o operador de substring. Não substitua o operador =.
  • ... representa quaisquer comparações de filtros adicionais.
  • As variáveis são indicadas por texto a cores. Substitua-os por valores válidos.

O comprimento de um filtro está restrito a 20 000 carateres.

Para mais detalhes sobre a sintaxe de filtragem, consulte o artigo Linguagem de consulta de registo.

Selecione a origem de registo

Para encaminhar entradas de registo de todos os recursos subordinados, não especifique um projeto, uma pasta ou uma organização nos filtros de inclusão e exclusão do seu destino. Por exemplo, suponhamos que configura um destino agregado para uma organização com o seguinte filtro:

resource.type="gce_instance"

Com o filtro anterior, as entradas do registo com um tipo de recurso de instâncias do Compute Engine que são escritas em qualquer elemento subordinado dessa organização são encaminhadas pelo destino agregado para o destino.

No entanto, pode haver situações em que queira usar um destino agregado para encaminhar entradas de registo apenas de recursos secundários específicos. Por exemplo, por motivos de conformidade, pode querer armazenar registos de auditoria de pastas ou projetos específicos no respetivo contentor do Cloud Storage. Nestas situações, configure o filtro de inclusão para especificar cada recurso secundário cujas entradas de registo quer encaminhar. Se quiser encaminhar entradas de registo de uma pasta e de todos os projetos nessa pasta, o filtro tem de listar a pasta e cada um dos projetos contidos nessa pasta, bem como juntar as declarações com uma cláusula OR.

Os seguintes filtros restringem as entradas do registo a projetos, pastas ou organizações específicos Trusted Cloud :

logName:"projects/PROJECT_ID/logs/" AND ... 
logName:("projects/PROJECT_A_ID/logs/" OR "projects/PROJECT_B_ID/logs/") AND ... 
logName:"folders/FOLDER_ID/logs/" AND ... 
logName:"organizations/ORGANIZATION_ID/logs/" AND ...

Por exemplo, para encaminhar apenas as entradas de registo escritas em instâncias do Compute Engine que foram escritas na pasta my-folder, use o seguinte filtro:

logName:"folders/my-folder/logs/" AND resource.type="gce_instance"

Com o filtro anterior, as entradas de registo escritas em qualquer recurso que não seja my-folder, incluindo as entradas de registo escritas em projetos que são filhos de my-folder, não são encaminhadas para o destino. Trusted Cloud

Selecione o recurso monitorizado

Para encaminhar entradas de registo apenas de um recurso monitorizado específico num Trusted Cloud projeto, use várias comparações para especificar o recurso exatamente:

logName:"projects/PROJECT_ID/logs" AND
resource.type=RESOURCE_TYPE AND
resource.labels.instance_id=INSTANCE_ID

Para ver uma lista dos tipos de recursos, consulte o artigo Tipos de recursos monitorizados.

Selecione uma amostra de entradas de registo

Para encaminhar uma amostra aleatória de entradas de registo, adicione a função integrada sample. Por exemplo, para encaminhar apenas dez por cento das entradas de registo que correspondem ao seu filtro atual, use esta adição:

sample(insertId, 0.10) AND ...

Para mais informações, consulte a função sample.

Para mais informações sobre os filtros do Cloud Logging, consulte o idioma de consulta do Logging.

Defina as autorizações de destino

Esta secção descreve como conceder autorizações de gestão de identidades e acessos para escrever entradas de registo no destino do seu contentor. Para ver a lista completa de funções e autorizações de registo, consulte o artigo Controlo de acesso.

Quando cria ou atualiza um ponto de recolha que encaminha entradas de registo para qualquer destino que não seja um contentor de registos no projeto atual, é necessária uma conta de serviço para esse ponto de recolha. O Logging cria e gere automaticamente a conta de serviço para si:

  • A partir de 22 de maio de 2023, quando cria um destino e não existe uma conta de serviço para o recurso subjacente, o Logging cria a conta de serviço. O registo usa a mesma conta de serviço para todos os destinos no recurso subjacente. Os recursos podem ser um Trusted Cloud projeto, uma organização, uma pasta ou uma conta de faturação.
  • Antes de 22 de maio de 2023, o Logging criou uma conta de serviço para cada destino. A partir de 22 de maio de 2023, o registo usa uma conta de serviço partilhada para todos os destinos no recurso subjacente.

A identidade do escritor de um destino é o identificador da conta de serviço associada a esse destino. Todos os destinos têm uma identidade de escritor, a menos que escrevam num contentor de registos no projeto atual Trusted Cloud . O endereço de email na identidade do escritor identifica o principal que tem de ter acesso para escrever dados no destino.

Para definir autorizações para o seu ponto de recolha de forma a encaminhar para o respetivo destino, faça o seguinte:

Consola

  1. Para obter informações sobre a conta de serviço do seu destino, faça o seguinte:

    1. Na Trusted Cloud consola, aceda à página Log Router:

      Aceda a Registar router

      Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cuja legenda é Registo.

    2. Selecione Menu e, de seguida, selecione Ver detalhes do destino. A identidade do autor é apresentada no painel Detalhes do destino.

    3. Se o valor do campo writerIdentity contiver um endereço de email, avance para o passo seguinte. Quando o valor é None, não tem de configurar autorizações de destino.

    4. Copie a identidade do escritor do destino para a área de transferência. As identidades do escritor podem ter um aspeto diferente consoante o recurso a que o seu destino pertence, mas têm sempre o prefixo serviceAccount:. Segue-se um exemplo da identidade de um escritor:

      serviceAccount:service-123456789012@gcp-sa-logging.s3ns.iam.gserviceaccount.com

  2. Conceda ao principal especificado pela identidade do escritor do destino a autorização para escrever dados de registo no destino:

    1. Na Trusted Cloud consola, aceda à página IAM:

      Aceda ao IAM

      Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cujo subtítulo é IAM e administração.

    2. Na barra de ferramentas da Trusted Cloud consola, selecione o projeto que armazena o destino do coletor agregado. Quando o destino é um projeto, selecione esse projeto.

    3. Clique em Conceder acesso.

    4. Introduza o principal especificado pela identidade do escritor do destino e, em seguida, conceda uma função do IAM:

gcloud

  1. Certifique-se de que tem acesso de proprietário no Trusted Cloud projeto que contém o destino. Se não tiver acesso de proprietário ao destino do coletor, peça a um proprietário do projeto para adicionar a identidade do escritor como principal.

  2. Para obter informações sobre a conta de serviço do seu coletor, chame o método gcloud logging sinks describe.

    Antes de usar o seguinte comando, faça as seguintes substituições:

    • SINK_NAME: o nome do sink de registo. Não é possível alterar o nome de um destino depois de o criar.

    Execute o comando gcloud logging sinks describe:

    gcloud logging sinks describe SINK_NAME

  3. Se os detalhes do destino contiverem um campo com a etiqueta writerIdentity, avance para o passo seguinte. Quando os detalhes não incluem um campo writerIdentity, não precisa de configurar autorizações de destino para o ponto de recolha.

  4. Copie a identidade do escritor do destino para a área de transferência. A imagem seguinte ilustra a identidade de um autor:

    serviceAccount:service-123456789012@gcp-sa-logging.s3ns.iam.gserviceaccount.com

  5. Conceda à identidade de gravação do destino a autorização para escrever dados de registo no destino chamando o comando gcloud projects add-iam-policy-binding.

    Antes de usar o seguinte comando, faça as seguintes substituições:

    • PROJECT_ID: o identificador do projeto. Selecione o projeto que armazena o destino do coletor agregado. Quando o destino é um projeto, selecione esse projeto.
    • PRINCIPAL: um identificador do principal ao qual quer conceder a função. Normalmente, os identificadores principais têm o seguinte formato: PRINCIPAL-TYPE:ID. Por exemplo, principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com. Para ver uma lista completa dos formatos que PRINCIPAL pode ter, consulte Identificadores principais.

    • ROLE: uma função de IAM. Conceda à identidade de gravação do coletor um papel do IAM com base no destino do coletor de registos:

    Execute o comando gcloud projects add-iam-policy-binding:

    gcloud projects add-iam-policy-binding PROJECT_ID --member=PRINCIPAL --role=ROLE

REST

Recomendamos que use a Trusted Cloud consola ou a CLI do Google Cloud para conceder uma função à conta de serviço.

O que se segue?