Instradare gli eventi del log di controllo a Cloud Run

Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Un trigger Eventarc dichiara il tuo interesse per un determinato evento o set di eventi. Puoi configurare il routing degli eventi specificando filtri per il trigger, tra cui l'origine evento e il servizio Cloud Run di destinazione.

Queste istruzioni mostrano come configurare il routing al servizio Cloud Run che viene attivato quando viene creato un audit log che corrisponde ai criteri di filtro dell'attivatore. Per un elenco degli eventi del log di controllo supportati da Eventarc, inclusi i valori serviceName e methodName, consulta la pagina relativa ai tipi di eventi supportati da Eventarc.

Per ulteriori informazioni sull'acquisizione di eventi che vengono attivati quando viene creato un audit log che corrisponde ai criteri di filtro dell'attivatore, consulta Stabilire i filtri eventi per Cloud Audit Logs.

Preparati a creare un trigger

Prima di creare un trigger, completa questi prerequisiti:

Console

  1. Nella pagina del selettore dei progetti, nella console Google Cloud, seleziona o crea un progetto Google Cloud.

    Vai al selettore progetti

  2. Abilitare le API Cloud Logging, Eventarc ed Eventarc Publishing.

    Abilitare le API

  3. Se applicabile, abilita l'API relativa agli eventi diretti. Ad esempio, per gli eventi Cloud Functions, abilita cloudfunctions.googleapis.com.

  4. Se non ne hai già uno, crea un account di servizio gestito dall'utente, quindi assegnagli i ruoli e le autorizzazioni necessari in modo che Eventarc possa gestire gli eventi per il servizio di destinazione.

    1. Nella console Google Cloud, vai alla pagina Crea account di servizio.

      Vai a Crea account di servizio

    2. Seleziona il progetto.

    3. Inserisci un nome nel campo Service account name (Nome account di servizio). La console Google Cloud viene compilata nel campo ID account di servizio in base a questo nome.

      Nel campo Descrizione account di servizio, inserisci una descrizione. Ad esempio, Service account for event trigger.

    4. Fai clic su Crea e continua.

    5. Concedere le autorizzazioni o i ruoli IAM (Identity and Access Management) richiesti per le chiamate autenticate o non autenticate. Per ulteriori informazioni, consulta Autorizzazioni e ruoli Eventarc.

    6. Fai clic su Continua.

    7. Per completare la creazione dell'account, fai clic su Fine.

gcloud

  1. In Google Cloud Console, attiva Cloud Shell.

    Attiva Cloud Shell

    Nella parte inferiore di Google Cloud Console, viene avviata una sessione di Cloud Shell e viene visualizzato un prompt della riga di comando. Cloud Shell è un ambiente shell con Google Cloud CLI già installato e con valori già impostati per il progetto corrente. L'inizializzazione della sessione può richiedere alcuni secondi.

  2. Abilitare le API Cloud Logging, Eventarc ed Eventarc Publishing.

    gcloud services enable logging.googleapis.com \
      eventarc.googleapis.com \
      eventarcpublishing.googleapis.com
    
  3. Se applicabile, abilita l'API relativa agli eventi diretti. Ad esempio, per gli eventi Cloud Functions, abilita cloudfunctions.googleapis.com.

  4. Se non ne hai già uno, crea un account di servizio gestito dall'utente, quindi assegnagli i ruoli e le autorizzazioni necessari in modo che Eventarc possa gestire gli eventi per il servizio di destinazione.

    1. Crea l'account di servizio:

      gcloud iam service-accounts create SERVICE_ACCOUNT_NAME
      

      Sostituisci SERVICE_ACCOUNT_NAME con il nome dell'account di servizio. Deve essere compreso tra 6 e 30 caratteri e può contenere caratteri alfanumerici minuscoli e trattini. Dopo aver creato un account di servizio, non puoi modificarne il nome.

    2. Concedere le autorizzazioni o i ruoli IAM (Identity and Access Management) richiesti per le chiamate autenticate o non autenticate. Per ulteriori informazioni, consulta Autorizzazioni e ruoli Eventarc.

Crea un trigger

Puoi creare un trigger Eventarc utilizzando Google Cloud CLI o tramite la console Google Cloud.

Console

  1. Nella console Google Cloud, vai alla pagina Trigger di Eventarc.

    Vai a Trigger

  2. Fai clic su Crea trigger.
  3. Digita un Nome trigger.

    Si tratta dell'ID dell'attivatore e deve iniziare con una lettera. Può contenere fino a 63 lettere minuscole, numeri o trattini.

  4. Per Tipo di trigger, seleziona Origini Google.
  5. Seleziona un provider di eventi.

    Si tratta del servizio Google che ha dato origine agli eventi tramite gli audit log. Ad esempio, seleziona BigQuery.

  6. Nell'elenco Evento, in tramite Cloud Audit Logs, seleziona un evento.
  7. Seleziona una delle seguenti opzioni:
    • Qualsiasi risorsa: questa è l'impostazione predefinita e include le risorse create dinamicamente con gli identificatori generati al momento della creazione.
    • Risorsa specifica: devi fornire il nome completo della risorsa.
    • Pattern del percorso: puoi filtrare le risorse utilizzando un pattern del percorso. Ad esempio, digita projects/_/buckets/eventarc-bucket/objects/random.txt o digita projects/_/buckets/**/r*.txt.
  8. Nell'elenco Regione, seleziona una regione.

    Cloud Audit Logs per Eventarc sono disponibili in regioni specifiche e nella regione globale, ma non nelle località con due o più aree geografiche. Per evitare problemi di prestazioni e residenza dei dati causati da un trigger globale, Google consiglia che la località corrisponda a quella del servizio Google Cloud che genera eventi. Per ulteriori informazioni, consulta Località Eventarc.

    Se specifichi la località globale, riceverai eventi da tutte le località che restituiscono corrispondenze per i filtri degli eventi. Ad esempio, creando un trigger Eventarc globale, puoi ricevere eventi da risorse nell'UE e in più aree geografiche negli Stati Uniti.

    Tieni presente che esiste un problema noto con i trigger di Cloud Audit Logs per Compute Engine che genera eventi provenienti da una singola regione: us-central1. Questo avviene indipendentemente da dove si trova effettivamente l'istanza della macchina virtuale. Quando crei il trigger, impostane la posizione su us-central1 o global.

  9. Seleziona l'account di servizio che richiami il servizio o il flusso di lavoro.

    In alternativa, puoi creare un nuovo account di servizio.

    Specifica l'indirizzo email dell'account di servizio Identity and Access Management (IAM) associato al trigger e a cui in precedenza hai concesso ruoli specifici richiesti da Eventarc.

  10. Nell'elenco Destinazione evento, seleziona Cloud Run.
  11. Seleziona un servizio.

    Si tratta del nome del servizio che riceve gli eventi per il trigger. Il servizio deve trovarsi nello stesso progetto del trigger e riceverà gli eventi come richieste POST HTTP inviate al relativo percorso dell'URL principale (/), ogni volta che l'evento viene generato.

  12. Facoltativamente, puoi specificare il percorso dell'URL del servizio a cui inviare la richiesta in entrata.

    Si tratta del percorso relativo del servizio di destinazione a cui devono essere inviati gli eventi per il trigger. Ad esempio: /, /route, route, route/subroute.

  13. Fai clic su Crea.
  14. Una volta creato un attivatore, i filtri dell'origine evento non possono essere modificati. Crea invece un nuovo attivatore ed elimina quello precedente. Per saperne di più, consulta Gestire i trigger.

gcloud

Puoi creare un trigger eseguendo un comando gcloud eventarc triggers create insieme ai flag obbligatori e facoltativi.

gcloud eventarc triggers create TRIGGER \
    --location=LOCATION \
    --destination-run-service=DESTINATION_RUN_SERVICE \
    --destination-run-region=DESTINATION_RUN_REGION \
    --event-filters="type=google.cloud.audit.log.v1.written" \
    --event-filters="serviceName=SERVICE_NAME" \
    --event-filters="methodName=METHOD_NAME" \
    --service-account=SERVICE_ACCOUNT_NAME@PROJECT_ID.iam.gserviceaccount.com

Sostituisci quanto segue:

  • TRIGGER: l'ID del trigger o un identificatore completo.
  • LOCATION: la posizione del trigger Eventarc. In alternativa, puoi impostare la proprietà eventarc/location, ad esempio gcloud config set eventarc/location us-central1.

    Gli trigger di Cloud Audit Logs per Eventarc sono disponibili in regioni specifiche e nella regione globale, ma non in località con due o più regioni. Per evitare problemi di prestazioni e localizzazione dei dati causati da un trigger globale, Google consiglia che la località corrisponda a quella del servizio Google Cloud che genera eventi. Per ulteriori informazioni, consulta la pagina Località di Eventarc.

    Se specifichi la località globale, riceverai eventi da tutte le località che restituiscono corrispondenze per i filtri di eventi. Ad esempio, creando un trigger Eventarc globale, puoi ricevere eventi da risorse nell'UE e in più aree geografiche negli Stati Uniti.

    Tieni presente che esiste un problema noto con gli attivatori di Cloud Audit Logs per Compute Engine che genera eventi provenienti da una singola regione: us-central1. Questo avviene indipendentemente dal punto in cui si trova effettivamente l'istanza della macchina virtuale. Quando crei il trigger, imposta la località del trigger su us-central1 o global.

  • DESTINATION_RUN_SERVICE: il nome del servizio Cloud Run che riceve gli eventi per il trigger. Il servizio può trovarsi in una qualsiasi delle località supportate da Cloud Run e non deve trovarsi nella stessa località del trigger. Tuttavia, il servizio deve trovarsi nello stesso progetto del trigger e riceverà gli eventi come richieste POST HTTP inviate al relativo percorso dell'URL principale (/), ogni volta che viene generato l'evento.
  • DESTINATION_RUN_REGION: la regione in cui è disponibile il servizio Cloud Run di destinazione. Se non specificato, si presume che il servizio si trovi nella stessa regione del trigger.
  • SERVICE_NAME: l'identificatore del servizio Google Cloud
  • METHOD_NAME: identificatore dell'operazione
  • SERVICE_ACCOUNT_NAME: il nome dell'account di servizio gestito dall'utente.
  • PROJECT_ID: il tuo ID progetto Google Cloud.

Note:

  • Questi flag sono obbligatori:

    • --event-filters="type=google.cloud.audit.log.v1.written"
    • --event-filters="serviceName=VALUE"
    • --event-filters="methodName=VALUE"
  • Facoltativamente, puoi filtrare gli eventi per una risorsa specifica utilizzando il flag --event-filters="resourceName=VALUE" e specificando il percorso completo della risorsa. Ometti il flag per le risorse create dinamicamente con identificatori generati al momento della creazione. In alternativa, puoi filtrare gli eventi per un insieme di risorse utilizzando il flag --event-filters-path-pattern="resourceName=VALUE" e specificando il pattern del percorso delle risorse.

  • Ogni attivatore può avere più filtri eventi, delimitati da virgole in un flag --event-filters =ATTRIBUTE=VALUE,...] oppure puoi ripetere il flag per aggiungere altri filtri. Solo gli eventi che corrispondono a tutti i filtri vengono inviati alla destinazione. I caratteri jolly e le espressioni regolari non sono supportati.
  • Dopo aver creato un attivatore, il tipo di filtro dell'evento non può essere modificato. Per un tipo di evento diverso, devi creare un nuovo trigger.
  • Il flag --service-account viene utilizzato per specificare l'indirizzo email dell'account di servizio Identity and Access Management (IAM) associato al trigger.
  • Facoltativamente, specifica un percorso relativo nel servizio Cloud Run di destinazione a cui devono essere inviati gli eventi per il trigger utilizzando il flag --destination-run-path.

Esempio:

  gcloud eventarc triggers create helloworld-trigger \
      --location=us-central1 \
      --destination-run-service=helloworld-events \
      --destination-run-region=us-central1 \
      --event-filters="type=google.cloud.audit.log.v1.written" \
      --event-filters="serviceName=bigquery.googleapis.com" \
      --event-filters="methodName=google.cloud.bigquery.v2.JobService.InsertJob" \
      --service-account=${SERVICE_ACCOUNT_NAME}@${PROJECT_ID}.iam.gserviceaccount.com

Viene creato un trigger denominato helloworld-trigger per gli audit log scritti da bigquery.googleapis.com e per l'operazione identificata come google.cloud.bigquery.v2.JobService.InsertJob.

Elenca un attivatore

Puoi confermare la creazione di un trigger elencando i trigger Eventarc utilizzando Google Cloud CLI o tramite la console Google Cloud.

Console

  1. Nella console Google Cloud, vai alla pagina Trigger di Eventarc.

    Vai a Trigger

    Questa pagina elenca i tuoi trigger in tutte le località e include dettagli quali nomi, aree geografiche, provider di eventi, destinazioni e altro ancora.

  2. Per filtrare i trigger:

    1. Fai clic su Filtro o sul campo Filtra attivatori.
    2. Nell'elenco Proprietà, seleziona un'opzione per filtrare i trigger.

    Puoi selezionare una singola proprietà o utilizzare l'operatore logico OR per aggiungerne altre.

  3. Per ordinare gli attivatori, fai clic su Ordina accanto a qualsiasi intestazione di colonna supportata.

gcloud

Esegui il comando seguente per elencare i trigger:

gcloud eventarc triggers list --location=-

Questo comando elenca i tuoi trigger in tutte le località e include dettagli quali nomi, tipi, destinazioni e stati.

Passaggi successivi