Como visualizar dados do VM Manager

Neste tópico, mostramos como configurar o Inventário de recursos do Cloud e o inventário do SO do VM Manager para que seja possível visualizar as informações de ambiente de execução das suas VMs.

Antes de começar

Antes de começar, conclua as etapas a seguir.

  1. Ative a API Cloud Asset Inventory no projeto em que você executará os comandos da API.

    Ativar a API Cloud Asset Inventory

  2. Configure as permissões necessárias para chamar a API Cloud Asset Inventory usando a CLI gcloud ou a API.

  3. Conclua as etapas a seguir para configurar seu ambiente.

    CLI da gcloud

    Para configurar o ambiente e usar a CLI gcloud para chamar a API Cloud Asset Inventory, instale a Google Cloud CLI no cliente local.

    REST

    Para configurar o ambiente para chamar a API Cloud Asset Inventory com o comando curl, conclua as etapas a seguir.

    1. Confirme se você tem acesso ao comando curl.

    2. Conceda à sua conta um dos seguintes papéis no seu projeto, pasta ou organização.

      • Papel Leitor de recursos do Cloud (roles/cloudasset.viewer)

      • Papel básico do proprietário (roles/owner)

Como ativar o inventário do SO

Para ativar o inventário do SO, que faz parte do pacote do VM Manager, conclua as etapas relevantes em Configurar o VM Manager.

Como definir permissões

Verifique se a sua conta tem a permissão cloudasset.assets.exportOSInventories no recurso raiz que contém os recursos que você quer exportar. É possível conceder essa permissão individualmente ou a um dos papéis a seguir no recurso raiz.

  • Papel Leitor de recursos do Cloud (roles/cloudasset.viewer)

  • Papel Proprietário do recurso do Cloud (roles/cloudasset.owner)

Saiba mais sobre como configurar permissões e papéis de IAM do Cloud Asset Inventory.

Como exportar dados do VM Manager para o BigQuery

Para exportar o snapshot do inventário do SO em um determinado carimbo de data/hora, use o comando a seguir.

gcloud

Projetos 

gcloud asset export \
    --project=PROJECT_ID \
    --billing-project=BILLING_PROJECT_ID \
    --content-type=os-inventory \
    --snapshot-time="SNAPSHOT_TIME" \
    --bigquery-table=projects/PROJECT_ID/datasets/DATASET_ID/tables/TABLE_NAME \
    --output-bigquery-force

Forneça os valores a seguir:

  • PROJECT_ID: o ID do projeto com os metadados que estão sendo exportados.

  • BILLING_PROJECT_ID: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud está e tem permissões para gerenciar seus conjuntos de dados e tabelas do BigQuery. Não é necessário se você já mudou para o projeto de faturamento com gcloud config set project. Leia mais sobre projetos de faturamento.

  • SNAPSHOT_TIME: opcional. O horário em que você quer tirar um snapshot dos seus recursos. O valor precisa ser o horário atual ou um horário no passado. Por padrão, um snapshot é capturado no horário atual. Para informações sobre formatos de hora, consulte gcloud topic datetimes.

  • DATASET_ID: o ID do conjunto de dados do BigQuery.

  • TABLE_NAME: a tabela para a qual você está exportando seus metadados.

Outras sinalizações:

  • --output-bigquery-force: substitui a tabela de destino, se ela existir.

Pastas 

gcloud asset export \
    --folder=FOLDER_ID \
    --billing-project=BILLING_PROJECT_ID \
    --content-type=os-inventory \
    --snapshot-time="SNAPSHOT_TIME" \
    --bigquery-table=projects/PROJECT_ID/datasets/DATASET_ID/tables/TABLE_NAME \
    --output-bigquery-force

Forneça os valores a seguir:

  • FOLDER_ID: o ID da pasta com os metadados que estão sendo exportados.

    Como encontrar um ID de pasta do Google Cloud

    Console

    Para encontrar um ID da pasta do Google Cloud, siga estas etapas:

    1. Acesse o console do Google Cloud.

      Acesse o console do Google Cloud

    2. Clique na caixa do seletor na barra de menus.
    3. Clique na caixa Selecionar de e escolha sua organização.
    4. Pesquise o nome da pasta. O ID é exibido ao lado do nome da pasta.

    CLI da gcloud

    Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:

    gcloud resource-manager folders list \
    --organization=$(gcloud organizations describe ORGANIZATION_NAME \
      --format="value(name.segment(1))") \
    --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \
    --format="value(ID)"

    Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova a opção --format para ver mais informações sobre as pastas encontradas.

    Para obter o ID de uma pasta dentro de outra pasta, liste as subpastas:

    gcloud resource-manager folders list --folder=FOLDER_ID

  • BILLING_PROJECT_ID: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud está e tem permissões para gerenciar seus conjuntos de dados e tabelas do BigQuery. Não é necessário se você já mudou para o projeto de faturamento com gcloud config set project. Leia mais sobre projetos de faturamento.

  • SNAPSHOT_TIME: opcional. O horário em que você quer tirar um snapshot dos seus recursos. O valor precisa ser o horário atual ou um horário no passado. Por padrão, um snapshot é capturado no horário atual. Para informações sobre formatos de hora, consulte gcloud topic datetimes.

  • DATASET_ID: o ID do conjunto de dados do BigQuery.

  • TABLE_NAME: a tabela para a qual você está exportando seus metadados.

Outras sinalizações:

  • --output-bigquery-force: substitui a tabela de destino, se ela existir.

Organizações 

gcloud asset export \
    --organization=ORGANIZATION_ID \
    --billing-project=BILLING_PROJECT_ID \
    --content-type=os-inventory \
    --snapshot-time="SNAPSHOT_TIME" \
    --bigquery-table=projects/PROJECT_ID/datasets/DATASET_ID/tables/TABLE_NAME \
    --output-bigquery-force

Forneça os valores a seguir:

  • ORGANIZATION_ID: o ID da organização com os metadados que estão sendo exportados.

    Como encontrar um ID da organização do Google Cloud

    Console

    Para encontrar um ID da organização do Google Cloud, siga estas etapas:

    1. Acesse o console do Google Cloud.

      Acesse o console do Google Cloud

    2. Clique na caixa do seletor na barra de menus.
    3. Clique na caixa Selecionar de e escolha sua organização.
    4. Selecione a guia Todos. O ID é exibido ao lado do nome da organização.

    CLI da gcloud

    É possível recuperar um ID da organização do Google Cloud com o seguinte comando:

    gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

  • BILLING_PROJECT_ID: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud está e tem permissões para gerenciar seus conjuntos de dados e tabelas do BigQuery. Não é necessário se você já mudou para o projeto de faturamento com gcloud config set project. Leia mais sobre projetos de faturamento.

  • SNAPSHOT_TIME: opcional. O horário em que você quer tirar um snapshot dos seus recursos. O valor precisa ser o horário atual ou um horário no passado. Por padrão, um snapshot é capturado no horário atual. Para informações sobre formatos de hora, consulte gcloud topic datetimes.

  • DATASET_ID: o ID do conjunto de dados do BigQuery.

  • TABLE_NAME: a tabela para a qual você está exportando seus metadados.

Outras sinalizações:

  • --output-bigquery-force: substitui a tabela de destino, se ela existir.

REST 

curl -X POST \
     -H "X-Goog-User-Project: BILLING_PROJECT_ID" \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json" \
     -d '{
          "contentType": "OS_INVENTORY",
          "readTime": "SNAPSHOT_TIME",
          "outputConfig": {
            "bigqueryDestination": {
              "dataset": "projects/PROJECT_ID/datasets/DATASET_ID",
              "table": "TABLE_NAME",
              "force": true
            }
          }
         }' \
     https://cloudasset.googleapis.com/v1/SCOPE:exportAssets

Forneça os valores a seguir:

  • BILLING_PROJECT_ID: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud está e que tem permissões para gerenciar conjuntos de dados e tabelas do BigQuery. Não é necessário se você já mudou para o projeto de faturamento com gcloud config set project. Leia mais sobre projetos de faturamento.

  • SNAPSHOT_TIME: opcional. O horário em que você quer criar um snapshot dos seus recursos no formato RFC 3339. O valor precisa ser a hora atual ou um horário não superior a 35 dias no passado. Quando não é fornecido, um snapshot é capturado no momento atual.

  • PROJECT_ID: o ID do projeto em que a tabela do BigQuery está localizada.

  • DATASET_ID: o ID do conjunto de dados do BigQuery.

  • TABLE_NAME: a tabela para que você está exportando os metadados.

  • SCOPE: um escopo pode ser um projeto, uma pasta ou uma organização.

    Os valores permitidos são:

    • projects/PROJECT_ID

    • projects/PROJECT_NUMBER

      Como encontrar um número de projeto do Google Cloud

      Console

      Para encontrar um número de projeto do Google Cloud, siga estas etapas:

      1. Acesse a página Painel no console do Google Cloud.

        Ir para o painel

      2. Clique na caixa do seletor na barra de menus.
      3. Escolha a organização na caixa Selecionar de e pesquise o nome do projeto.
      4. Clique no nome do projeto para alternar para ele. O número do projeto é mostrado no card Informações do projeto.

      CLI da gcloud

      É possível recuperar um número de projeto do Google Cloud com o seguinte comando:

      gcloud projects describe PROJECT_ID --format="value(projectNumber)"

    • folders/FOLDER_ID

      Como encontrar um ID de pasta do Google Cloud

      Console

      Para encontrar um ID da pasta do Google Cloud, siga estas etapas:

      1. Acesse o console do Google Cloud.

        Acesse o console do Google Cloud

      2. Clique na caixa do seletor na barra de menus.
      3. Clique na caixa Selecionar de e escolha sua organização.
      4. Pesquise o nome da pasta. O ID é exibido ao lado do nome da pasta.

      CLI da gcloud

      Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:

      gcloud resource-manager folders list \
    --organization=$(gcloud organizations describe ORGANIZATION_NAME \
      --format="value(name.segment(1))") \
    --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \
    --format="value(ID)"

      Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova a opção --format para ver mais informações sobre as pastas encontradas.

      Para obter o ID de uma pasta dentro de outra pasta, liste as subpastas:

      gcloud resource-manager folders list --folder=FOLDER_ID

    • organizations/ORGANIZATION_ID

      Como encontrar um ID da organização do Google Cloud

      Console

      Para encontrar um ID da organização do Google Cloud, siga estas etapas:

      1. Acesse o console do Google Cloud.

        Acesse o console do Google Cloud

      2. Clique na caixa do seletor na barra de menus.
      3. Clique na caixa Selecionar de e escolha sua organização.
      4. Selecione a guia Todos. O ID é exibido ao lado do nome da organização.

      CLI da gcloud

      É possível recuperar um ID da organização do Google Cloud com o seguinte comando:

      gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

Para exportar relatórios de vulnerabilidade do VM Manager de um projeto para o BigQuery, use o comando a seguir.

gcloud

Projetos 

gcloud asset export \
    --project=PROJECT_ID \
    --billing-project=BILLING_PROJECT_ID \
    --asset-types=osconfig.googleapis.com/VulnerabilityReport \
    --content-type=resource \
    --bigquery-table=projects/PROJECT_ID/datasets/DATASET_ID/tables/TABLE_NAME \
    --output-bigquery-force

Forneça os valores a seguir:

  • PROJECT_ID: o ID do projeto com os metadados que estão sendo exportados.

  • BILLING_PROJECT_ID: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud está e tem permissões para gerenciar seus conjuntos de dados e tabelas do BigQuery. Não é necessário se você já mudou para o projeto de faturamento com gcloud config set project. Leia mais sobre projetos de faturamento.

  • DATASET_ID: o ID do conjunto de dados do BigQuery.

  • TABLE_NAME: a tabela para a qual você está exportando seus metadados.

Outras sinalizações:

  • --output-bigquery-force: substitui a tabela de destino, se ela existir.

Pastas 

gcloud asset export \
    --folder=FOLDER_ID \
    --billing-project=BILLING_PROJECT_ID \
    --asset-types=osconfig.googleapis.com/VulnerabilityReport \
    --content-type=resource \
    --bigquery-table=projects/PROJECT_ID/datasets/DATASET_ID/tables/TABLE_NAME \
    --output-bigquery-force

Forneça os valores a seguir:

  • FOLDER_ID: o ID da pasta com os metadados que estão sendo exportados.

    Como encontrar um ID de pasta do Google Cloud

    Console

    Para encontrar um ID da pasta do Google Cloud, siga estas etapas:

    1. Acesse o console do Google Cloud.

      Acesse o console do Google Cloud

    2. Clique na caixa do seletor na barra de menus.
    3. Clique na caixa Selecionar de e escolha sua organização.
    4. Pesquise o nome da pasta. O ID é exibido ao lado do nome da pasta.

    CLI da gcloud

    Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:

    gcloud resource-manager folders list \
    --organization=$(gcloud organizations describe ORGANIZATION_NAME \
      --format="value(name.segment(1))") \
    --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \
    --format="value(ID)"

    Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova a opção --format para ver mais informações sobre as pastas encontradas.

    Para obter o ID de uma pasta dentro de outra pasta, liste as subpastas:

    gcloud resource-manager folders list --folder=FOLDER_ID

  • BILLING_PROJECT_ID: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud está e tem permissões para gerenciar seus conjuntos de dados e tabelas do BigQuery. Não é necessário se você já mudou para o projeto de faturamento com gcloud config set project. Leia mais sobre projetos de faturamento.

  • DATASET_ID: o ID do conjunto de dados do BigQuery.

  • TABLE_NAME: a tabela para a qual você está exportando seus metadados.

Outras sinalizações:

  • --output-bigquery-force: substitui a tabela de destino, se ela existir.

Organizações 

gcloud asset export \
    --organization=ORGANIZATION_ID \
    --billing-project=BILLING_PROJECT_ID \
    --asset-types=osconfig.googleapis.com/VulnerabilityReport \
    --content-type=resource \
    --bigquery-table=projects/PROJECT_ID/datasets/DATASET_ID/tables/TABLE_NAME \
    --output-bigquery-force

Forneça os valores a seguir:

  • ORGANIZATION_ID: o ID da organização com os metadados que estão sendo exportados.

    Como encontrar um ID da organização do Google Cloud

    Console

    Para encontrar um ID da organização do Google Cloud, siga estas etapas:

    1. Acesse o console do Google Cloud.

      Acesse o console do Google Cloud

    2. Clique na caixa do seletor na barra de menus.
    3. Clique na caixa Selecionar de e escolha sua organização.
    4. Selecione a guia Todos. O ID é exibido ao lado do nome da organização.

    CLI da gcloud

    É possível recuperar um ID da organização do Google Cloud com o seguinte comando:

    gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

  • BILLING_PROJECT_ID: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud está e tem permissões para gerenciar seus conjuntos de dados e tabelas do BigQuery. Não é necessário se você já mudou para o projeto de faturamento com gcloud config set project. Leia mais sobre projetos de faturamento.

  • DATASET_ID: o ID do conjunto de dados do BigQuery.

  • TABLE_NAME: a tabela para a qual você está exportando seus metadados.

Outras sinalizações:

  • --output-bigquery-force: substitui a tabela de destino, se ela existir.

REST 

curl -X POST \
     -H "X-Goog-User-Project: BILLING_PROJECT_ID" \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json" \
     -d '{
          "assetTypes": ["osconfig.googleapis.com/VulnerabilityReport"],
          "contentType": "RESOURCE",
          "outputConfig": {
            "bigqueryDestination": {
              "dataset": "projects/PROJECT_ID/datasets/DATASET_ID",
              "table": "TABLE_NAME",
              "force": true
            }
          }
         }' \
     https://cloudasset.googleapis.com/v1/SCOPE:exportAssets

Forneça os valores a seguir:

  • BILLING_PROJECT_ID: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud está e que tem permissões para gerenciar conjuntos de dados e tabelas do BigQuery. Não é necessário se você já mudou para o projeto de faturamento com gcloud config set project. Leia mais sobre projetos de faturamento.

  • PROJECT_ID: o ID do projeto em que a tabela do BigQuery está localizada.

  • DATASET_ID: o ID do conjunto de dados do BigQuery.

  • TABLE_NAME: a tabela para que você está exportando os metadados.

  • SCOPE: um escopo pode ser um projeto, uma pasta ou uma organização.

    Os valores permitidos são:

    • projects/PROJECT_ID

    • projects/PROJECT_NUMBER

      Como encontrar um número de projeto do Google Cloud

      Console

      Para encontrar um número de projeto do Google Cloud, siga estas etapas:

      1. Acesse a página Painel no console do Google Cloud.

        Ir para o painel

      2. Clique na caixa do seletor na barra de menus.
      3. Escolha a organização na caixa Selecionar de e pesquise o nome do projeto.
      4. Clique no nome do projeto para alternar para ele. O número do projeto é mostrado no card Informações do projeto.

      CLI da gcloud

      É possível recuperar um número de projeto do Google Cloud com o seguinte comando:

      gcloud projects describe PROJECT_ID --format="value(projectNumber)"

    • folders/FOLDER_ID

      Como encontrar um ID de pasta do Google Cloud

      Console

      Para encontrar um ID da pasta do Google Cloud, siga estas etapas:

      1. Acesse o console do Google Cloud.

        Acesse o console do Google Cloud

      2. Clique na caixa do seletor na barra de menus.
      3. Clique na caixa Selecionar de e escolha sua organização.
      4. Pesquise o nome da pasta. O ID é exibido ao lado do nome da pasta.

      CLI da gcloud

      Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:

      gcloud resource-manager folders list \
    --organization=$(gcloud organizations describe ORGANIZATION_NAME \
      --format="value(name.segment(1))") \
    --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \
    --format="value(ID)"

      Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova a opção --format para ver mais informações sobre as pastas encontradas.

      Para obter o ID de uma pasta dentro de outra pasta, liste as subpastas:

      gcloud resource-manager folders list --folder=FOLDER_ID

    • organizations/ORGANIZATION_ID

      Como encontrar um ID da organização do Google Cloud

      Console

      Para encontrar um ID da organização do Google Cloud, siga estas etapas:

      1. Acesse o console do Google Cloud.

        Acesse o console do Google Cloud

      2. Clique na caixa do seletor na barra de menus.
      3. Clique na caixa Selecionar de e escolha sua organização.
      4. Selecione a guia Todos. O ID é exibido ao lado do nome da organização.

      CLI da gcloud

      É possível recuperar um ID da organização do Google Cloud com o seguinte comando:

      gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

Outros parâmetros:

  • "force": true: substitui a tabela de destino, se ela existir.

Tabelas atuais

Não é possível anexar a saída da exportação a uma tabela. A tabela de destino precisa estar vazia ou você precisa substituí-la. Para substituí-la, use a sinalização --output-bigquery-force com a CLI gcloud ou use force com a API REST.

Se a tabela de saída estiver em uso durante a tentativa de gravação, uma resposta 400 será retornada com a mensagem Request contains an invalid argument.

Como exportar dados do VM Manager para o Cloud Storage

Para exportar os dados de inventário do VM Manager para todas as instâncias de VM em um projeto, use o seguinte comando da CLI gcloud ou a API Cloud Asset Inventory.

gcloud

Projetos 

gcloud asset export \
    --project=PROJECT_ID \
    --billing-project=BILLING_PROJECT_ID \
    --content-type=os-inventory \
    --output-path="gs://BUCKET_NAME/FILENAME"

Forneça os valores a seguir:

  • PROJECT_ID: o ID do projeto com os metadados que estão sendo exportados.

  • BILLING_PROJECT_ID: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud tem permissão para gravar no bucket do Cloud Storage. Não é necessário se você já mudou para o projeto de faturamento com gcloud config set project. Leia mais sobre projetos de faturamento.

  • BUCKET_NAME: o nome do bucket do Cloud Storage em que a gravação será feita.

  • FILENAME: o arquivo no bucket do Cloud Storage para gravar.

Pastas 

gcloud asset export \
    --folder=FOLDER_ID \
    --billing-project=BILLING_PROJECT_ID \
    --content-type=os-inventory \
    --output-path="gs://BUCKET_NAME/FILENAME"

Forneça os valores a seguir:

  • FOLDER_ID: o ID da pasta com os metadados que estão sendo exportados.

    Como encontrar um ID de pasta do Google Cloud

    Console

    Para encontrar um ID da pasta do Google Cloud, siga estas etapas:

    1. Acesse o console do Google Cloud.

      Acesse o console do Google Cloud

    2. Clique na caixa do seletor na barra de menus.
    3. Clique na caixa Selecionar de e escolha sua organização.
    4. Pesquise o nome da pasta. O ID é exibido ao lado do nome da pasta.

    CLI da gcloud

    Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:

    gcloud resource-manager folders list \
    --organization=$(gcloud organizations describe ORGANIZATION_NAME \
      --format="value(name.segment(1))") \
    --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \
    --format="value(ID)"

    Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova a opção --format para ver mais informações sobre as pastas encontradas.

    Para obter o ID de uma pasta dentro de outra pasta, liste as subpastas:

    gcloud resource-manager folders list --folder=FOLDER_ID

  • BILLING_PROJECT_ID: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud tem permissão para gravar no bucket do Cloud Storage. Não é necessário se você já mudou para o projeto de faturamento com gcloud config set project. Leia mais sobre projetos de faturamento.

  • BUCKET_NAME: o nome do bucket do Cloud Storage em que a gravação será feita.

  • FILENAME: o arquivo no bucket do Cloud Storage para gravar.

Organizações 

gcloud asset export \
    --organization=ORGANIZATION_ID \
    --billing-project=BILLING_PROJECT_ID \
    --content-type=os-inventory \
    --output-path="gs://BUCKET_NAME/FILENAME"

Forneça os valores a seguir:

  • ORGANIZATION_ID: o ID da organização com os metadados que estão sendo exportados.

    Como encontrar um ID da organização do Google Cloud

    Console

    Para encontrar um ID da organização do Google Cloud, siga estas etapas:

    1. Acesse o console do Google Cloud.

      Acesse o console do Google Cloud

    2. Clique na caixa do seletor na barra de menus.
    3. Clique na caixa Selecionar de e escolha sua organização.
    4. Selecione a guia Todos. O ID é exibido ao lado do nome da organização.

    CLI da gcloud

    É possível recuperar um ID da organização do Google Cloud com o seguinte comando:

    gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

  • BILLING_PROJECT_ID: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud tem permissão para gravar no bucket do Cloud Storage. Não é necessário se você já mudou para o projeto de faturamento com gcloud config set project. Leia mais sobre projetos de faturamento.

  • BUCKET_NAME: o nome do bucket do Cloud Storage em que a gravação será feita.

  • FILENAME: o arquivo no bucket do Cloud Storage para gravar.

REST 

curl -X POST \
     -H "X-Goog-User-Project: BILLING_PROJECT_ID" \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json" \
     -d '{
          "contentType": "OS_INVENTORY",
          "outputConfig": {
            "gcsDestination": {
              "uri": "gs://BUCKET_NAME/FILENAME"
            }
          }
         }' \
     https://cloudasset.googleapis.com/v1/SCOPE:exportAssets

Forneça os valores a seguir:

  • BILLING_PROJECT_ID: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud está e tem permissão para gravar no bucket do Cloud Storage. Não é necessário se você já mudou para o projeto de faturamento com gcloud config set project. Leia mais sobre projetos de faturamento.

  • BUCKET_NAME: o nome do bucket do Cloud Storage em que a gravação será feita.

  • FILENAME: o arquivo no bucket do Cloud Storage para gravar.

  • SCOPE: um escopo pode ser um projeto, uma pasta ou uma organização.

    Os valores permitidos são:

    • projects/PROJECT_ID

    • projects/PROJECT_NUMBER

      Como encontrar um número de projeto do Google Cloud

      Console

      Para encontrar um número de projeto do Google Cloud, siga estas etapas:

      1. Acesse a página Painel no console do Google Cloud.

        Ir para o painel

      2. Clique na caixa do seletor na barra de menus.
      3. Escolha a organização na caixa Selecionar de e pesquise o nome do projeto.
      4. Clique no nome do projeto para alternar para ele. O número do projeto é mostrado no card Informações do projeto.

      CLI da gcloud

      É possível recuperar um número de projeto do Google Cloud com o seguinte comando:

      gcloud projects describe PROJECT_ID --format="value(projectNumber)"

    • folders/FOLDER_ID

      Como encontrar um ID de pasta do Google Cloud

      Console

      Para encontrar um ID da pasta do Google Cloud, siga estas etapas:

      1. Acesse o console do Google Cloud.

        Acesse o console do Google Cloud

      2. Clique na caixa do seletor na barra de menus.
      3. Clique na caixa Selecionar de e escolha sua organização.
      4. Pesquise o nome da pasta. O ID é exibido ao lado do nome da pasta.

      CLI da gcloud

      Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:

      gcloud resource-manager folders list \
    --organization=$(gcloud organizations describe ORGANIZATION_NAME \
      --format="value(name.segment(1))") \
    --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \
    --format="value(ID)"

      Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova a opção --format para ver mais informações sobre as pastas encontradas.

      Para obter o ID de uma pasta dentro de outra pasta, liste as subpastas:

      gcloud resource-manager folders list --folder=FOLDER_ID

    • organizations/ORGANIZATION_ID

      Como encontrar um ID da organização do Google Cloud

      Console

      Para encontrar um ID da organização do Google Cloud, siga estas etapas:

      1. Acesse o console do Google Cloud.

        Acesse o console do Google Cloud

      2. Clique na caixa do seletor na barra de menus.
      3. Clique na caixa Selecionar de e escolha sua organização.
      4. Selecione a guia Todos. O ID é exibido ao lado do nome da organização.

      CLI da gcloud

      É possível recuperar um ID da organização do Google Cloud com o seguinte comando:

      gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

Para exportar os relatórios de vulnerabilidade do VM Manager de um projeto para o Cloud Storage, use o seguinte comando da CLI gcloud ou a API Cloud Asset Inventory.

gcloud

Projetos 

gcloud asset export \
    --project=PROJECT_ID \
    --billing-project=BILLING_PROJECT_ID \
    --asset-types=osconfig.googleapis.com/VulnerabilityReport \
    --content-type=resource \
    --output-path="gs://BUCKET_NAME/FILENAME"

Forneça os valores a seguir:

  • PROJECT_ID: o ID do projeto com os metadados que estão sendo exportados.

  • BILLING_PROJECT_ID: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud tem permissão para gravar no bucket do Cloud Storage. Não é necessário se você já mudou para o projeto de faturamento com gcloud config set project. Leia mais sobre projetos de faturamento.

  • BUCKET_NAME: o nome do bucket do Cloud Storage em que a gravação será feita.

  • FILENAME: o arquivo no bucket do Cloud Storage para gravar.

Pastas 

gcloud asset export \
    --folder=FOLDER_ID \
    --billing-project=BILLING_PROJECT_ID \
    --asset-types=osconfig.googleapis.com/VulnerabilityReport \
    --content-type=resource \
    --output-path="gs://BUCKET_NAME/FILENAME"

Forneça os valores a seguir:

  • FOLDER_ID: o ID da pasta com os metadados que estão sendo exportados.

    Como encontrar um ID de pasta do Google Cloud

    Console

    Para encontrar um ID da pasta do Google Cloud, siga estas etapas:

    1. Acesse o console do Google Cloud.

      Acesse o console do Google Cloud

    2. Clique na caixa do seletor na barra de menus.
    3. Clique na caixa Selecionar de e escolha sua organização.
    4. Pesquise o nome da pasta. O ID é exibido ao lado do nome da pasta.

    CLI da gcloud

    Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:

    gcloud resource-manager folders list \
    --organization=$(gcloud organizations describe ORGANIZATION_NAME \
      --format="value(name.segment(1))") \
    --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \
    --format="value(ID)"

    Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova a opção --format para ver mais informações sobre as pastas encontradas.

    Para obter o ID de uma pasta dentro de outra pasta, liste as subpastas:

    gcloud resource-manager folders list --folder=FOLDER_ID

  • BILLING_PROJECT_ID: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud tem permissão para gravar no bucket do Cloud Storage. Não é necessário se você já mudou para o projeto de faturamento com gcloud config set project. Leia mais sobre projetos de faturamento.

  • BUCKET_NAME: o nome do bucket do Cloud Storage em que a gravação será feita.

  • FILENAME: o arquivo no bucket do Cloud Storage para gravar.

Organizações 

gcloud asset export \
    --organization=ORGANIZATION_ID \
    --billing-project=BILLING_PROJECT_ID \
    --asset-types=osconfig.googleapis.com/VulnerabilityReport \
    --content-type=resource \
    --output-path="gs://BUCKET_NAME/FILENAME"

Forneça os valores a seguir:

  • ORGANIZATION_ID: o ID da organização com os metadados que estão sendo exportados.

    Como encontrar um ID da organização do Google Cloud

    Console

    Para encontrar um ID da organização do Google Cloud, siga estas etapas:

    1. Acesse o console do Google Cloud.

      Acesse o console do Google Cloud

    2. Clique na caixa do seletor na barra de menus.
    3. Clique na caixa Selecionar de e escolha sua organização.
    4. Selecione a guia Todos. O ID é exibido ao lado do nome da organização.

    CLI da gcloud

    É possível recuperar um ID da organização do Google Cloud com o seguinte comando:

    gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

  • BILLING_PROJECT_ID: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud tem permissão para gravar no bucket do Cloud Storage. Não é necessário se você já mudou para o projeto de faturamento com gcloud config set project. Leia mais sobre projetos de faturamento.

  • BUCKET_NAME: o nome do bucket do Cloud Storage em que a gravação será feita.

  • FILENAME: o arquivo no bucket do Cloud Storage para gravar.

REST 

curl -X POST \
     -H "X-Goog-User-Project: BILLING_PROJECT_ID" \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json" \
     -d '{
          "assetTypes": ["osconfig.googleapis.com/VulnerabilityReport"],
          "contentType": "RESOURCE",
          "outputConfig": {
            "gcsDestination": {
              "uri": "gs://BUCKET_NAME/FILENAME"
            }
          }
         }' \
     https://cloudasset.googleapis.com/v1/SCOPE:exportAssets

Forneça os valores a seguir:

  • BILLING_PROJECT_ID: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud está e tem permissão para gravar no bucket do Cloud Storage. Não é necessário se você já mudou para o projeto de faturamento com gcloud config set project. Leia mais sobre projetos de faturamento.

  • BUCKET_NAME: o nome do bucket do Cloud Storage em que a gravação será feita.

  • FILENAME: o arquivo no bucket do Cloud Storage para gravar.

  • SCOPE: um escopo pode ser um projeto, uma pasta ou uma organização.

    Os valores permitidos são:

    • projects/PROJECT_ID

    • projects/PROJECT_NUMBER

      Como encontrar um número de projeto do Google Cloud

      Console

      Para encontrar um número de projeto do Google Cloud, siga estas etapas:

      1. Acesse a página Painel no console do Google Cloud.

        Ir para o painel

      2. Clique na caixa do seletor na barra de menus.
      3. Escolha a organização na caixa Selecionar de e pesquise o nome do projeto.
      4. Clique no nome do projeto para alternar para ele. O número do projeto é mostrado no card Informações do projeto.

      CLI da gcloud

      É possível recuperar um número de projeto do Google Cloud com o seguinte comando:

      gcloud projects describe PROJECT_ID --format="value(projectNumber)"

    • folders/FOLDER_ID

      Como encontrar um ID de pasta do Google Cloud

      Console

      Para encontrar um ID da pasta do Google Cloud, siga estas etapas:

      1. Acesse o console do Google Cloud.

        Acesse o console do Google Cloud

      2. Clique na caixa do seletor na barra de menus.
      3. Clique na caixa Selecionar de e escolha sua organização.
      4. Pesquise o nome da pasta. O ID é exibido ao lado do nome da pasta.

      CLI da gcloud

      Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:

      gcloud resource-manager folders list \
    --organization=$(gcloud organizations describe ORGANIZATION_NAME \
      --format="value(name.segment(1))") \
    --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \
    --format="value(ID)"

      Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova a opção --format para ver mais informações sobre as pastas encontradas.

      Para obter o ID de uma pasta dentro de outra pasta, liste as subpastas:

      gcloud resource-manager folders list --folder=FOLDER_ID

    • organizations/ORGANIZATION_ID

      Como encontrar um ID da organização do Google Cloud

      Console

      Para encontrar um ID da organização do Google Cloud, siga estas etapas:

      1. Acesse o console do Google Cloud.

        Acesse o console do Google Cloud

      2. Clique na caixa do seletor na barra de menus.
      3. Clique na caixa Selecionar de e escolha sua organização.
      4. Selecione a guia Todos. O ID é exibido ao lado do nome da organização.

      CLI da gcloud

      É possível recuperar um ID da organização do Google Cloud com o seguinte comando:

      gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

Arquivos existentes

Se o arquivo de saída estiver em uso quando você tentar gravar em um bucket de armazenamento, uma resposta 400 será retornada com a mensagem Request contains an invalid argument.

Como receber o histórico de dados do VM Manager

Para ver o histórico de todos os recursos de inventário do SO de uma instância de VM especificada em um projeto, pasta ou organização, execute os comandos a seguir.

gcloud

Projetos 

gcloud asset get-history \
    --project=PROJECT_ID \
    --asset-names=//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/VM_INSTANCE_NAME \
    --content-type=os-inventory \
    --start-time="START_TIME" \
    --end-time="END_TIME"

Forneça os valores a seguir:

  • PROJECT_ID: o ID do projeto em que a instância de VM está localizada.

  • ZONE: a zona em que a instância de VM está. Por exemplo, us-central1-a.

  • VM_INSTANCE_NAME: o nome da instância de VM.

  • START_TIME: opcional. O início do período. O período máximo é de sete dias. O valor precisa ser o horário atual ou um horário não superior a 35 dias no passado. Para mais informações sobre formatos de hora, consulte gcloud topic datetimes.

  • END_TIME: opcional. O ponto final do período. O período máximo é de sete dias. O valor precisa ser a hora atual ou um horário não superior a 35 dias no passado. Quando não for fornecido, o horário de término será presumido como o horário atual. Para mais informações sobre formatos de hora, consulte gcloud topic datetimes.

Para ver o histórico dos dados de vulnerabilidade do VM Manager de uma VM específica em um projeto, execute o seguinte comando:

gcloud asset get-history \
    --project=PROJECT_ID \
    --asset-names=//osconfig.googleapis.com/projects/PROJECT_NUMBER/locations/ZONE/instances/VM_INSTANCE_ID/vulnerabilityReport \
    --content-type=resource \
    --start-time="START_TIME" \
    --end-time="END_TIME"

Pastas 

gcloud asset get-history \
    --folder=FOLDER_ID \
    --asset-names=//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/VM_INSTANCE_NAME \
    --content-type=os-inventory \
    --start-time="START_TIME" \
    --end-time="END_TIME"

Forneça os valores a seguir:

  • FOLDER_ID: o ID da pasta em que a instância da VM está localizada.

    Como encontrar um ID de pasta do Google Cloud

    Console

    Para encontrar um ID da pasta do Google Cloud, siga estas etapas:

    1. Acesse o console do Google Cloud.

      Acesse o console do Google Cloud

    2. Clique na caixa do seletor na barra de menus.
    3. Clique na caixa Selecionar de e escolha sua organização.
    4. Pesquise o nome da pasta. O ID é exibido ao lado do nome da pasta.

    CLI da gcloud

    Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:

    gcloud resource-manager folders list \
    --organization=$(gcloud organizations describe ORGANIZATION_NAME \
      --format="value(name.segment(1))") \
    --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \
    --format="value(ID)"

    Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova a opção --format para ver mais informações sobre as pastas encontradas.

    Para obter o ID de uma pasta dentro de outra pasta, liste as subpastas:

    gcloud resource-manager folders list --folder=FOLDER_ID

  • ZONE: a zona em que a instância de VM está. Por exemplo, us-central1-a.

  • VM_INSTANCE_NAME: o nome da instância de VM.

  • START_TIME: opcional. O início do período. O período máximo é de sete dias. O valor precisa ser o horário atual ou um horário não superior a 35 dias no passado. Para mais informações sobre formatos de hora, consulte gcloud topic datetimes.

  • END_TIME: opcional. O ponto final do período. O período máximo é de sete dias. O valor precisa ser a hora atual ou um horário não superior a 35 dias no passado. Quando não for fornecido, o horário de término será presumido como o horário atual. Para mais informações sobre formatos de hora, consulte gcloud topic datetimes.

Para ver o histórico dos dados de vulnerabilidade do VM Manager de uma VM específica em um projeto, execute o seguinte comando:

gcloud asset get-history \
    --folder=FOLDER_ID \
    --asset-names=//osconfig.googleapis.com/projects/PROJECT_NUMBER/locations/ZONE/instances/VM_INSTANCE_ID/vulnerabilityReport \
    --content-type=resource \
    --start-time="START_TIME" \
    --end-time="END_TIME"

Organizações 

gcloud asset get-history \
    --organization=ORGANIZATION_ID \
    --asset-names=//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/VM_INSTANCE_NAME \
    --content-type=os-inventory \
    --start-time="START_TIME" \
    --end-time="END_TIME"

Forneça os valores a seguir:

  • ORGANIZATION_ID: o ID da organização em que a instância de VM está localizada.

    Como encontrar um ID da organização do Google Cloud

    Console

    Para encontrar um ID da organização do Google Cloud, siga estas etapas:

    1. Acesse o console do Google Cloud.

      Acesse o console do Google Cloud

    2. Clique na caixa do seletor na barra de menus.
    3. Clique na caixa Selecionar de e escolha sua organização.
    4. Selecione a guia Todos. O ID é exibido ao lado do nome da organização.

    CLI da gcloud

    É possível recuperar um ID da organização do Google Cloud com o seguinte comando:

    gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

  • ZONE: a zona em que a instância de VM está. Por exemplo, us-central1-a.

  • VM_INSTANCE_NAME: o nome da instância de VM.

  • START_TIME: opcional. O início do período. O período máximo é de sete dias. O valor precisa ser o horário atual ou um horário não superior a 35 dias no passado. Para mais informações sobre formatos de hora, consulte gcloud topic datetimes.

  • END_TIME: opcional. O ponto final do período. O período máximo é de sete dias. O valor precisa ser a hora atual ou um horário não superior a 35 dias no passado. Quando não for fornecido, o horário de término será presumido como o horário atual. Para mais informações sobre formatos de hora, consulte gcloud topic datetimes.

Para ver o histórico dos dados de vulnerabilidade do VM Manager de uma VM específica em um projeto, execute o seguinte comando:

gcloud asset get-history \
    --organization=ORGANIZATION_ID \
    --asset-names=//osconfig.googleapis.com/projects/PROJECT_NUMBER/locations/ZONE/instances/VM_INSTANCE_ID/vulnerabilityReport \
    --content-type=resource \
    --start-time="START_TIME" \
    --end-time="END_TIME"

REST

Para ver o histórico de todos os recursos de inventário do SO para uma instância de VM especificada em um projeto, execute o seguinte comando:

curl -X POST \
     -H "X-HTTP-Method-Override: GET" \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json" \
     -d '{
          "assetNames": "//compute.googleapis.com/projects/PROJECT_ID/zones/ZONE/instances/VM_INSTANCE_NAME",
          "contentType": "OS_INVENTORY",
          "readTimeWindow": {
            "startTime": "START_TIME",
            "endTime": "END_TIME"
          }
         }' \
     https://cloudasset.googleapis.com/v1/SCOPE:batchGetAssetsHistory

Forneça os valores a seguir:

  • PROJECT_ID: o ID do projeto em que a instância da VM está localizada.

  • ZONE: a zona em que a instância de VM está. Por exemplo, us-central1-a.

  • VM_INSTANCE_NAME: o nome da instância de VM.

  • START_TIME: opcional. O início do período. O período máximo é de sete dias. O valor precisa ser o horário atual ou um horário não superior a 35 dias no passado. Para mais informações sobre formatos de hora, consulte gcloud topic datetimes.

  • END_TIME: opcional. O ponto final do período. O período máximo é de sete dias. O valor precisa ser a hora atual ou um horário não superior a 35 dias no passado. Quando não for fornecido, o horário de término será presumido como o horário atual. Para mais informações sobre formatos de hora, consulte gcloud topic datetimes.

  • SCOPE: um escopo pode ser um projeto, uma pasta ou uma organização.

    Os valores permitidos são:

    • projects/PROJECT_ID

    • projects/PROJECT_NUMBER

      Como encontrar um número de projeto do Google Cloud

      Console

      Para encontrar um número de projeto do Google Cloud, siga estas etapas:

      1. Acesse a página Painel no console do Google Cloud.

        Ir para o painel

      2. Clique na caixa do seletor na barra de menus.
      3. Escolha a organização na caixa Selecionar de e pesquise o nome do projeto.
      4. Clique no nome do projeto para alternar para ele. O número do projeto é mostrado no card Informações do projeto.

      CLI da gcloud

      É possível recuperar um número de projeto do Google Cloud com o seguinte comando:

      gcloud projects describe PROJECT_ID --format="value(projectNumber)"

    • folders/FOLDER_ID

      Como encontrar um ID de pasta do Google Cloud

      Console

      Para encontrar um ID da pasta do Google Cloud, siga estas etapas:

      1. Acesse o console do Google Cloud.

        Acesse o console do Google Cloud

      2. Clique na caixa do seletor na barra de menus.
      3. Clique na caixa Selecionar de e escolha sua organização.
      4. Pesquise o nome da pasta. O ID é exibido ao lado do nome da pasta.

      CLI da gcloud

      Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:

      gcloud resource-manager folders list \
    --organization=$(gcloud organizations describe ORGANIZATION_NAME \
      --format="value(name.segment(1))") \
    --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \
    --format="value(ID)"

      Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova a opção --format para ver mais informações sobre as pastas encontradas.

      Para obter o ID de uma pasta dentro de outra pasta, liste as subpastas:

      gcloud resource-manager folders list --folder=FOLDER_ID

    • organizations/ORGANIZATION_ID

      Como encontrar um ID da organização do Google Cloud

      Console

      Para encontrar um ID da organização do Google Cloud, siga estas etapas:

      1. Acesse o console do Google Cloud.

        Acesse o console do Google Cloud

      2. Clique na caixa do seletor na barra de menus.
      3. Clique na caixa Selecionar de e escolha sua organização.
      4. Selecione a guia Todos. O ID é exibido ao lado do nome da organização.

      CLI da gcloud

      É possível recuperar um ID da organização do Google Cloud com o seguinte comando:

      gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

Para ver o histórico dos dados de vulnerabilidade do VM Manager de uma VM específica em um projeto, execute o seguinte comando:

curl -X POST \
     -H "X-HTTP-Method-Override: GET" \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json" \
     -d '{
          "assetNames": "//osconfig.googleapis.com/projects/PROJECT_ID/locations/ZONE/instances/VM_INSTANCE_NAME/vulnerabilityReport",
          "contentType": "RESOURCE",
          "readTimeWindow": {
            "startTime": "START_TIME",
            "endTime": "END_TIME"
          }
         }' \
     https://cloudasset.googleapis.com/v1/SCOPE:batchGetAssetsHistory

Como monitorar alterações de dados do VM Manager com o Pub/Sub

Depois de criar um tópico do Pub/Sub, execute os seguintes comandos para monitorar as alterações do VM Manager.

gcloud

Projetos

Para criar um feed e monitorar VMs com o SO Windows instalado, execute o seguinte comando:

gcloud asset feeds create FEED_ID \
    --project=PROJECT_ID \
    --billing-project=BILLING_PROJECT_ID \
    --asset-types=compute.googleapis.com/Instance \
    --content-type=os-inventory \
    --pubsub-topic="projects/PROJECT_ID/topics/TOPIC_ID" \
    --condition-title="CONDITION_TITLE" \
    --condition-description="CONDITION_DESCRIPTION" \
    --condition-expression="temporal_asset.asset.os_inventory.os_info.short_name == \"windows\""

Forneça os valores a seguir:

  • FEED_ID: um identificador exclusivo de feed de recursos.

  • PROJECT_ID: o ID do projeto com os metadados que estão sendo enviados ao feed.

  • BILLING_PROJECT_ID: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud está e que tem permissões para gerenciar seu tópico do Pub/Sub. Leia mais sobre projetos de faturamento.

  • TOPIC_ID: o ID do tópico do Pub/Sub em que as notificações serão publicadas.

  • CONDITION_TITLE: opcional. O título da condição a ser aplicada ao feed.

  • CONDITION_DESCRIPTION: opcional. A descrição da condição a ser aplicada ao feed.

Para criar um feed e monitorar os dados de vulnerabilidade da VM em um projeto, execute o seguinte comando:

gcloud asset feeds create FEED_ID \
    --project=PROJECT_ID \
    --billing-project=BILLING_PROJECT_ID \
    --asset-types=osconfig.googleapis.com/VulnerabilityReport \
    --content-type=resource \
    --pubsub-topic="projects/PROJECT_ID/topics/TOPIC_ID"

Pastas

Para criar um feed e monitorar VMs com o SO Windows instalado, execute o seguinte comando:

gcloud asset feeds create FEED_ID \
    --folder=FOLDER_ID \
    --billing-project=BILLING_PROJECT_ID \
    --asset-types=compute.googleapis.com/Instance \
    --content-type=os-inventory \
    --pubsub-topic="projects/PROJECT_ID/topics/TOPIC_ID" \
    --condition-title="CONDITION_TITLE" \
    --condition-description="CONDITION_DESCRIPTION" \
    --condition-expression="temporal_asset.asset.os_inventory.os_info.short_name == \"windows\""

Forneça os valores a seguir:

  • FEED_ID: um identificador exclusivo de feed de recursos.

  • FOLDER_ID: o ID da pasta com os metadados que estão sendo enviados ao feed.

    Como encontrar um ID de pasta do Google Cloud

    Console

    Para encontrar um ID da pasta do Google Cloud, siga estas etapas:

    1. Acesse o console do Google Cloud.

      Acesse o console do Google Cloud

    2. Clique na caixa do seletor na barra de menus.
    3. Clique na caixa Selecionar de e escolha sua organização.
    4. Pesquise o nome da pasta. O ID é exibido ao lado do nome da pasta.

    CLI da gcloud

    Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:

    gcloud resource-manager folders list \
    --organization=$(gcloud organizations describe ORGANIZATION_NAME \
      --format="value(name.segment(1))") \
    --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \
    --format="value(ID)"

    Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova a opção --format para ver mais informações sobre as pastas encontradas.

    Para obter o ID de uma pasta dentro de outra pasta, liste as subpastas:

    gcloud resource-manager folders list --folder=FOLDER_ID

  • BILLING_PROJECT_ID: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud está e que tem permissões para gerenciar seu tópico do Pub/Sub. Leia mais sobre projetos de faturamento.

  • TOPIC_ID: o ID do tópico do Pub/Sub em que as notificações serão publicadas.

  • CONDITION_TITLE: opcional. O título da condição a ser aplicada ao feed.

  • CONDITION_DESCRIPTION: opcional. A descrição da condição a ser aplicada ao feed.

Para criar um feed e monitorar os dados de vulnerabilidade da VM em um projeto, execute o seguinte comando:

gcloud asset feeds create FEED_ID \
    --folder=FOLDER_ID \
    --billing-project=BILLING_PROJECT_ID \
    --asset-types=osconfig.googleapis.com/VulnerabilityReport \
    --content-type=resource \
    --pubsub-topic="projects/PROJECT_ID/topics/TOPIC_ID"

Organizações

Para criar um feed e monitorar VMs com o SO Windows instalado, execute o seguinte comando:

gcloud asset feeds create FEED_ID \
    --organization=ORGANIZATION_ID \
    --billing-project=BILLING_PROJECT_ID \
    --asset-types=compute.googleapis.com/Instance \
    --content-type=os-inventory \
    --pubsub-topic="projects/PROJECT_ID/topics/TOPIC_ID" \
    --condition-title="CONDITION_TITLE" \
    --condition-description="CONDITION_DESCRIPTION" \
    --condition-expression="temporal_asset.asset.os_inventory.os_info.short_name == \"windows\""

Forneça os valores a seguir:

  • FEED_ID: um identificador exclusivo de feed de recursos.

  • ORGANIZATION_ID: o ID da organização com os metadados enviados para o feed.

    Como encontrar um ID da organização do Google Cloud

    Console

    Para encontrar um ID da organização do Google Cloud, siga estas etapas:

    1. Acesse o console do Google Cloud.

      Acesse o console do Google Cloud

    2. Clique na caixa do seletor na barra de menus.
    3. Clique na caixa Selecionar de e escolha sua organização.
    4. Selecione a guia Todos. O ID é exibido ao lado do nome da organização.

    CLI da gcloud

    É possível recuperar um ID da organização do Google Cloud com o seguinte comando:

    gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

  • BILLING_PROJECT_ID: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud está e que tem permissões para gerenciar seu tópico do Pub/Sub. Leia mais sobre projetos de faturamento.

  • TOPIC_ID: o ID do tópico do Pub/Sub em que as notificações serão publicadas.

  • CONDITION_TITLE: opcional. O título da condição a ser aplicada ao feed.

  • CONDITION_DESCRIPTION: opcional. A descrição da condição a ser aplicada ao feed.

Para criar um feed e monitorar os dados de vulnerabilidade da VM em um projeto, execute o seguinte comando:

gcloud asset feeds create FEED_ID \
    --organization=ORGANIZATION_ID \
    --billing-project=BILLING_PROJECT_ID \
    --asset-types=osconfig.googleapis.com/VulnerabilityReport \
    --content-type=resource \
    --pubsub-topic="projects/PROJECT_ID/topics/TOPIC_ID"

REST

Para criar um feed e monitorar VMs com o SO Windows instalado, execute o seguinte comando:

curl -X POST \
     -H "X-Goog-User-Project: BILLING_PROJECT_ID" \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json" \
     -d '{
          "feedId": "FEED_ID",
          "feed": {
            "assetTypes": ["compute.googleapis.com/Instance"],
            "contentType": "OS_INVENTORY",
            "feedOutputConfig": {
              "pubsubDestination": {
                "topic": "projects/PROJECT_ID/topics/TOPIC_ID"
              }
            },
            "condition": {
              "title": "CONDITION_TITLE",
              "description": "CONDITION_DESCRIPTION",
              "expression": "temporal_asset.asset.os_inventory.os_info.short_name == \"windows\""
            }
          }
         }' \
     https://cloudasset.googleapis.com/v1/SCOPE/feeds

Forneça os valores a seguir:

  • BILLING_PROJECT_ID: opcional. O ID do projeto em que o agente de serviço padrão do Inventário de recursos do Cloud está e que tem permissões para gerenciar seu tópico do Pub/Sub. Leia mais sobre projetos de faturamento.

  • FEED_ID: um identificador exclusivo de feed de recursos.

  • PROJECT_ID: o ID do projeto em que o tópico do Pub/Sub está localizado.

  • TOPIC_ID: o ID do tópico do Pub/Sub em que as notificações serão publicadas.

  • CONDITION_TITLE: opcional. O título da condição a ser aplicada ao feed.

  • CONDITION_DESCRIPTION: opcional. A descrição da condição a ser aplicada ao feed.

  • SCOPE: um escopo pode ser um projeto, uma pasta ou uma organização.

    Os valores permitidos são:

    • projects/PROJECT_ID

    • projects/PROJECT_NUMBER

      Como encontrar um número de projeto do Google Cloud

      Console

      Para encontrar um número de projeto do Google Cloud, siga estas etapas:

      1. Acesse a página Painel no console do Google Cloud.

        Ir para o painel

      2. Clique na caixa do seletor na barra de menus.
      3. Escolha a organização na caixa Selecionar de e pesquise o nome do projeto.
      4. Clique no nome do projeto para alternar para ele. O número do projeto é mostrado no card Informações do projeto.

      CLI da gcloud

      É possível recuperar um número de projeto do Google Cloud com o seguinte comando:

      gcloud projects describe PROJECT_ID --format="value(projectNumber)"

    • folders/FOLDER_ID

      Como encontrar um ID de pasta do Google Cloud

      Console

      Para encontrar um ID da pasta do Google Cloud, siga estas etapas:

      1. Acesse o console do Google Cloud.

        Acesse o console do Google Cloud

      2. Clique na caixa do seletor na barra de menus.
      3. Clique na caixa Selecionar de e escolha sua organização.
      4. Pesquise o nome da pasta. O ID é exibido ao lado do nome da pasta.

      CLI da gcloud

      Para recuperar um ID de pasta do Google Cloud localizado no nível da organização, use o seguinte comando:

      gcloud resource-manager folders list \
    --organization=$(gcloud organizations describe ORGANIZATION_NAME \
      --format="value(name.segment(1))") \
    --filter='"DISPLAY_NAME":"TOP_LEVEL_FOLDER_NAME"' \
    --format="value(ID)"

      Em que TOP_LEVEL_FOLDER_NAME pode ser uma correspondência de string completa ou parcial. Remova a opção --format para ver mais informações sobre as pastas encontradas.

      Para obter o ID de uma pasta dentro de outra pasta, liste as subpastas:

      gcloud resource-manager folders list --folder=FOLDER_ID

    • organizations/ORGANIZATION_ID

      Como encontrar um ID da organização do Google Cloud

      Console

      Para encontrar um ID da organização do Google Cloud, siga estas etapas:

      1. Acesse o console do Google Cloud.

        Acesse o console do Google Cloud

      2. Clique na caixa do seletor na barra de menus.
      3. Clique na caixa Selecionar de e escolha sua organização.
      4. Selecione a guia Todos. O ID é exibido ao lado do nome da organização.

      CLI da gcloud

      É possível recuperar um ID da organização do Google Cloud com o seguinte comando:

      gcloud organizations describe ORGANIZATION_NAME --format="value(name.segment(1))"

Para criar um feed e monitorar os dados de vulnerabilidade da VM, execute o seguinte comando:

curl -X POST \
     -H "X-Goog-User-Project: BILLING_PROJECT_ID" \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json" \
     -d '{
          "feedId": "FEED_ID",
          "feed": {
            "assetTypes": ["osconfig.googleapis.com/VulnerabilityReport"],
            "contentType": "RESOURCE",
            "feedOutputConfig": {
              "pubsubDestination": {
                "topic": "projects/PROJECT_ID/topics/TOPIC_ID"
              }
            }
          }
         }' \
     https://cloudasset.googleapis.com/v1/SCOPE/feeds

Consulte Como monitorar alterações de recursos para mais detalhes.