收集 Cloud Run 記錄

支援的國家/地區:

本指南說明如何使用 Cloud Storage,將 Cloud Run 記錄匯出至 Google Security Operations。剖析器會從 JSON 記錄中擷取欄位,並轉換為統一資料模型 (UDM)。可處理各種記錄格式,包括 HTTP 要求資料和系統稽核記錄,同時將相關欄位對應至 UDM,並使用 Cloud Run 專屬的標籤和中繼資料擴充資料。

事前準備

請確認您已完成下列事前準備事項:

  • Google SecOps 執行個體。
  • Cloud Run 已在您的 Google Cloud 環境中設定並啟用。
  • Google Cloud的特殊存取權。

建立 Google Cloud Storage bucket

  1. 登入Google Cloud 控制台

  2. 前往「Cloud Storage Buckets」(Cloud Storage bucket) 頁面。

    前往「Buckets」(值區) 頁面

  3. 點選「建立」

  4. 在「建立 bucket」頁面中,輸入 bucket 資訊。完成下列每個步驟後,請按一下「繼續」前往下一個步驟:

    1. 在「開始使用」部分,執行下列操作:

      1. 輸入符合值區名稱規定的專屬名稱,例如 cloudrun-logs

      2. 如要啟用階層命名空間,請按一下展開箭頭,展開「為檔案導向和資料密集型工作負載提供最理想的儲存空間」部分,然後選取「為這個值區啟用階層結構式命名空間」

      3. 如要新增值區標籤,請按一下展開箭頭,展開「標籤」部分。

      4. 按一下「新增標籤」,然後指定標籤的鍵和值。

    2. 在「Choose where to store your data」(選擇資料的儲存位置) 專區中,執行下列操作:

      1. 選取「位置類型」

      2. 使用位置類型選單選取位置,永久儲存 bucket 中的物件資料。

      3. 如要設定跨 bucket 複製作業,請展開「設定跨 bucket 複製作業」部分。

    3. 在「Choose a storage class for your data」(為資料選擇儲存空間級別) 專區中,選取 bucket 的預設儲存空間級別,或選取「Autoclass」(自動分類),讓系統自動管理 bucket 資料的儲存空間級別。

    4. 在「選取如何控制物件的存取權」部分,選取「否」以強制禁止公開存取,並為值區物件選取存取權控管模型

    5. 在「選擇保護物件資料的方式」部分,請執行下列操作:

      1. 選取「資料保護」下方的任何選項,為 bucket 設定資料保護措施。
      2. 如要選擇物件資料的加密方式,請按一下標示為「資料加密」的展開箭頭,然後選取「資料加密方法」

  5. 點選「建立」

在 Cloud Run 中設定記錄匯出功能

  1. 在「Welcome」(歡迎使用) Google Cloud 頁面中,按一下「Cloud Run」圖示。
  2. 在頂端的搜尋列中搜尋「Logging」,然後按一下 Enter 鍵。
  3. 在「記錄檔探索工具」中,選擇「記錄檔名稱」中的「Cloud Run」,然後按一下「套用」,即可篩選記錄。
  4. 依序點選選單中的「更多動作」>「建立接收器」
  5. 提供下列設定:
    1. 「接收器詳細資料」:輸入名稱和說明。
    2. 點選「下一步」
    3. 「Sink Destination」(接收器目標位置):選取「Cloud Storage Bucket」(Cloud Storage 值區)
    4. Cloud Storage bucket:選取先前建立的 bucket,或建立新的 bucket。
    5. 點選「下一步」
    6. 選擇要納入接收器的記錄檔:在 Cloud Storage 值區中選取選項時,系統會填入預設記錄檔。
    7. 點選「下一步」
    8. 選用:選擇要從接收器排除的記錄檔:選取不想接收的記錄檔。
  6. 按一下「建立接收器」

設定動態饋給

如要設定動態消息,請按照下列步驟操作:

  1. 依序前往「SIEM 設定」>「動態消息」
  2. 按一下「新增動態消息」
  3. 在下一個頁面中,按一下「設定單一動態饋給」
  4. 在「Feed name」(動態消息名稱) 欄位中,輸入動態消息的名稱,例如「Cloud Run Logs」(Cloud Run 記錄)
  5. 選取「Google Cloud Storage V2」做為「來源類型」
  6. 選取「GCP Cloud Run」做為「記錄類型」
  7. 按一下「Chronicle 服務帳戶」的「取得服務帳戶」
  8. 點選「下一步」

  9. 指定下列輸入參數的值:

    • 儲存空間值區 URI: Google Cloud gs://my-bucket/<value> 格式的儲存空間值區 URL。

    • 來源刪除選項:根據偏好設定選取刪除選項。

    • 檔案存在時間上限:包含在過去天數內修改的檔案。預設值為 180 天。

  10. 點選「下一步」

  11. 在「Finalize」畫面上檢查新的動態饋給設定,然後按一下「Submit」

UDM 對應表

記錄欄位 UDM 對應 邏輯
httpRequest.latency target.resource.attribute.labels.[] 原始記錄中的 httpRequest.latency 值會做為 target.resource.attribute.labels 中鍵為 http_request_latency 的標籤值。
httpRequest.protocol network.application_protocol 如果 httpRequest.protocol 包含 HTTP,UDM 欄位會設為 HTTP
httpRequest.remoteIp principal.asset.ip 系統會使用原始記錄中的 httpRequest.remoteIp 值。
httpRequest.remoteIp principal.ip 系統會使用原始記錄中的 httpRequest.remoteIp 值。
httpRequest.requestMethod network.http.method 系統會使用原始記錄中的 httpRequest.requestMethod 值。
httpRequest.requestSize network.sent_bytes 系統會將原始記錄中的 httpRequest.requestSize 值轉換為無正負號整數,並使用該值。
httpRequest.requestUrl target.url 系統會使用原始記錄中的 httpRequest.requestUrl 值。
httpRequest.responseSize network.received_bytes 系統會將原始記錄中的 httpRequest.responseSize 值轉換為無正負號整數,並使用該值。
httpRequest.serverIp target.asset.ip 系統會使用原始記錄中的 httpRequest.serverIp 值。
httpRequest.serverIp target.ip 系統會使用原始記錄中的 httpRequest.serverIp 值。
httpRequest.status network.http.response_code 系統會將原始記錄中的 httpRequest.status 值轉換為整數並使用。
httpRequest.userAgent network.http.parsed_user_agent 原始記錄中的 httpRequest.userAgent 值會剖析為使用者代理程式字串。
httpRequest.userAgent network.http.user_agent 系統會使用原始記錄中的 httpRequest.userAgent 值。
insertId metadata.product_log_id 系統會使用原始記錄中的 insertId 值。
labels.instanceId additional.fields.[] labels.instanceId 的值會做為 additional.fields 中鍵為 instanceId 的標籤值。
labels.run.googleapis.com_execution_name additional.fields.[] labels.run.googleapis.com_execution_name 的值會做為 additional.fields 中鍵為 execution_name 的標籤值。
labels.run.googleapis.com_task_attempt additional.fields.[] labels.run.googleapis.com_task_attempt 的值會做為 additional.fields 中鍵為 task_attempt 的標籤值。
labels.run.googleapis.com_task_index additional.fields.[] labels.run.googleapis.com_task_index 的值會做為 additional.fields 中鍵為 task_index 的標籤值。
logName metadata.product_event_type 系統會使用原始記錄中的 logName 值。
resource.labels.configuration_name target.resource.attribute.labels.[] resource.labels.configuration_name 的值會做為 target.resource.attribute.labels 中鍵為 configuration_name 的標籤值。
resource.labels.job_name additional.fields.[] resource.labels.job_name 的值會做為 additional.fields 中鍵為 job_name 的標籤值。
resource.labels.location target.location.name 系統會使用原始記錄中的 resource.labels.location 值。
resource.labels.project_id target.resource.attribute.labels.[] resource.labels.project_id 的值會做為 target.resource.attribute.labels 中鍵為 project_id 的標籤值。
resource.labels.revision_name target.resource.attribute.labels.[] resource.labels.revision_name 的值會做為 target.resource.attribute.labels 中鍵為 revision_name 的標籤值。
resource.labels.service_name target.resource.attribute.labels.[] resource.labels.service_name 的值會做為 target.resource.attribute.labels 中鍵為 service_name 的標籤值。
resource.type target.resource.resource_subtype 系統會使用原始記錄中的 resource.type 值。
severity security_result.severity 如果 severity 的值與 Info 相符 (不區分大小寫),UDM 欄位會設為 INFORMATIONAL
textPayload additional.fields.[] textPayload 的值會做為 additional.fields 中鍵為 Textpayload 的標籤值。
timestamp metadata.event_timestamp 系統會將原始記錄中的 timestamp 值剖析為時間戳記。
timestamp timestamp 系統會將原始記錄中的 timestamp 值剖析為時間戳記。系統會根據特定欄位是否存在,透過剖析器邏輯判斷。預設值為 GENERIC_EVENT。如果 has_principal_iphas_target_iphttpRequest.protocolHTTP 相符,則會設為 NETWORK_HTTP。硬式編碼為 GCP_RUN。硬式編碼為 GCP_RUN。硬式編碼為 Google Cloud Platform。硬式編碼為 GOOGLE_CLOUD_PLATFORM

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。