Alcune o tutte le informazioni in questa pagina potrebbero non essere applicabili a Cloud de Confiance di S3NS. Per maggiori dettagli, consulta Differenze rispetto a Google Cloud.

Panoramica dei sink aggregati

Questo documento descrive i sink aggregati, che consentono di raccogliere e instradare le voci di log provenienti da risorse all'interno di una cartella o di un'organizzazione verso una destinazione supportata. Ti consigliamo di utilizzare i sink aggregati per instradare i dati di log verso una posizione di archiviazione centrale.

Informazioni sui sink aggregati

Un sink aggregato è simile a un sink a livello di progetto in quanto contiene filtri e una destinazione. Tuttavia, il router dei log invia a un sink aggregato le seguenti voci di log:

Tutte le voci di log provenienti da una cartella o un'organizzazione.
Tutte le voci di log provenienti dalle risorse figlio della cartella o dell'organizzazione.

Ad esempio, se crei un sink aggregato a livello di cartella, il router dei log invia a quel sink tutte le voci di log provenienti dalla cartella o dalle risorse figlio della cartella.

Quando nella gerarchia delle risorse di una voce di log esistono sink aggregati, il router dei log invia inizialmente la voce di log a questi sink. Poiché i sink aggregati possono essere di intercettazione o non di intercettazione, il router dei log potrebbe non inviare una voce di log instradata da un sink aggregato ai sink a livello di progetto.

Sink aggregato di intercettazione

Un sink aggregato di intercettazione impedisce l'instradamento delle voci di log ai sink nelle risorse figlio, ad eccezione dei sink _Required nelle risorse da cui provengono le voci di log. Un sink aggregato di intercettazione può essere utile per impedire l'archiviazione di copie duplicate di voci di log in più posizioni.

Ad esempio, supponiamo che tu debba abilitare gli audit log di accesso ai dati per scopi di audit. Per semplificare l'analisi, vuoi archiviare questi log in una posizione centrale. Tuttavia, per motivi di sicurezza e costi, vuoi anche impedire che questi log vengano archiviati a livello di progetto. In questo scenario, puoi creare un sink aggregato di intercettazione.

Sink aggregato non di intercettazione

Un sink aggregato non di intercettazione non influisce sul modo in cui le voci di log vengono instradate ad altri sink. Ciò significa che, anche quando una voce di log corrisponde al filtro di un sink aggregato non di intercettazione, viene inoltrata ad altri sink nella gerarchia delle risorse della voce di log. Un sink aggregato non di intercettazione ti consente di mantenere la visibilità delle voci di log nelle risorse in cui sono state generate.

Ad esempio, puoi creare un sink aggregato non di intercettazione che instrada tutte le voci di log generate dalle cartelle contenute in un'organizzazione a un bucket di log centrale. Le voci di log vengono archiviate nel bucket di log centrale. Tuttavia, poiché il sink non è di intercettazione, il router dei log invia anche le voci di log ai sink di log nella risorsa in cui sono state generate.

Esempi di routing

Questa sezione illustra il flusso di una voce di log proveniente da un progetto attraverso i sink nella gerarchia delle risorse.

Esempio: non esistono sink aggregati

Quando nella gerarchia delle risorse della voce di log non esistono sink aggregati, la voce di log viene inviata ai sink di log nel progetto da cui proviene. Un sink a livello di progetto instrada la voce di log alla destinazione del sink quando la voce di log corrisponde al filtro di inclusione del sink, ma non corrisponde a nessuno dei filtri di esclusione del sink.

Esempio: esiste un sink aggregato non di intercettazione

Supponiamo che nella gerarchia delle risorse di una voce di log esista un sink aggregato non di intercettazione. Dopo che il router dei log invia la voce di log al sink aggregato non di intercettazione, si verifica quanto segue:

Il sink aggregato non di intercettazione instrada la voce di log alla destinazione del sink quando la voce di log corrisponde al filtro di inclusione, ma non corrisponde a nessun filtro di esclusione.
Il router dei log invia la voce di log ai sink di log nel progetto da cui proviene.

Un sink a livello di progetto instrada la voce di log alla destinazione del sink quando la voce di log corrisponde al filtro di inclusione del sink, ma non corrisponde a nessuno dei filtri di esclusione del sink.

Esempio: esiste un sink aggregato di intercettazione

Supponiamo che nella gerarchia delle risorse di una voce di log esista un sink aggregato di intercettazione. Dopo che il router dei log invia la voce di log al sink aggregato di intercettazione, si verifica una delle seguenti situazioni:

La voce di log corrisponde al filtro di inclusione, ma non corrisponde a nessun filtro di esclusione:
1. La voce di log viene instradata alla destinazione del sink aggregato di intercettazione.
2. La voce di log viene inviata al sink _Required nel progetto da cui proviene.
La voce di log non corrisponde al filtro di inclusione o corrisponde ad almeno un filtro di esclusione:
1. La voce di log non viene instradata dal sink aggregato di intercettazione.
2. Il router dei log invia la voce di log ai sink di log nel progetto da cui proviene.
  
  Un sink a livello di progetto instrada la voce di log alla destinazione del sink quando la voce di log corrisponde al filtro di inclusione del sink, ma non corrisponde a nessuno dei filtri di esclusione del sink.

Destinazioni supportate per i sink aggregati

Questa sezione elenca le destinazioni supportate per i sink aggregati.

Sink di intercettazione

La destinazione di un sink aggregato di intercettazione deve essere un Cloud de Confiance progetto.

I sink di log nel progetto di destinazione reindirizzano le voci di log alle rispettive destinazioni. Sono supportate tutte le destinazioni, ad eccezione dei progetti. Ad esempio, i sink di log nel progetto di destinazione potrebbero reindirizzare le voci di log a un bucket di log.

Sink non di intercettazione

La destinazione di un sink aggregato non di intercettazione può essere una delle seguenti:

La destinazione di un sink può trovarsi in una risorsa diversa dal sink. Ad esempio, puoi utilizzare un sink di log per instradare le voci di log da un progetto a un bucket di log archiviato in un progetto diverso.

Sono supportate le seguenti destinazioni:

Cloud de Confiance progetto: Seleziona questa destinazione quando vuoi che i sink di log nel progetto di destinazione reindirizzino le voci di log o quando hai creato un sink aggregato di intercettazione. I sink di log nel progetto che è la destinazione del sink possono reindirizzare le voci di log a qualsiasi destinazione supportata, ad eccezione di un progetto.

Nota: questo è l'unico tipo di destinazione in cui le voci di log vengono reindirizzate. Ad esempio, se instradi le voci di log da un progetto a un bucket di log in un altro progetto, queste voci di log non vengono reindirizzate dai sink di log nel progetto che archivia il bucket di log.

Bucket di log: Seleziona questa destinazione quando vuoi archiviare i dati di log nelle risorse gestite da Cloud Logging. I dati di log archiviati nei bucket di log possono essere visualizzati e analizzati utilizzando servizi come Esplora log.

Argomento Pub/Sub: Seleziona questa destinazione quando vuoi esportare i dati di log da Cloud de Confiance by S3NS e poi utilizzare un'integrazione di terze parti. Le voci di log vengono formattate in JSON e poi instradate a un argomento Pub/Sub.

Best practice

Ti consigliamo di impostare come destinazione di un sink aggregato un Cloud de Confiance progetto. Con questa destinazione, i sink di log nel progetto Cloud de Confiance di destinazione reindirizzano le voci di log. Il sink _Required instrada solo le voci di log che corrispondono al suo filtro e che provengono dalla risorsa in cui è definito il sink. Pertanto, se vuoi archiviare copie aggiuntive delle voci di log che corrispondono al filtro del sink _Required, devi creare un sink di log personalizzato o modificare il filtro del sink di log _Default.

Quando crei un sink di intercettazione, ti consigliamo di procedere come segue:

Valuta se le risorse figlio hanno bisogno di un controllo indipendente dell'instradamento delle voci di log. Se una risorsa figlio ha bisogno di un controllo indipendente di determinate voci di log, verifica che il sink di intercettazione non instradi queste voci di log.
Aggiungi i dati di contatto alla descrizione di un sink di intercettazione. Questo potrebbe essere utile se le persone che gestiscono il sink di intercettazione sono diverse da quelle che gestiscono i progetti le cui voci di log vengono intercettate.
Prova la configurazione del sink creando prima un sink aggregato non di intercettazione per verificare che le voci di log corrette vengano instradate.

Passaggi successivi

Per scoprire come creare un sink aggregato, consulta Raccogliere e instradare i log a livello di organizzazione e cartella verso destinazioni supportate
Per un tutorial, consulta Aggregare e archiviare i log dell'organizzazione.
Per informazioni sulla gestione dei sink esistenti, consulta Instradare i log verso destinazioni supportate: gestire i sink.
Per scoprire come visualizzare i log nelle rispettive destinazioni, nonché come vengono formattati e organizzati, consulta Visualizzare i log nelle destinazioni dei sink