Questa pagina è stata tradotta dall'API Cloud Translation.

Aggrega e archivia i log dell'organizzazione

Questo documento descrive come gestire le voci di log generate dalle risorse contenuti nella tua organizzazione Google Cloud utilizzando un un sink aggregato.

Puoi configurare un sink aggregato in modo che venga intercettato o non intercetto, a seconda che tu voglia controllare le voci di log su cui è possibile eseguire query, o instradati tramite i sink nelle risorse figlio. In questo tutorial, creerai un sink aggregato che instrada gli audit log dell'organizzazione a un progetto Google Cloud, che quindi instrada gli audit log aggregati in un bucket di log.

Per ulteriori informazioni sui sink aggregati, consulta Facolta e instrada i log a livello di organizzazione e cartella verso le destinazioni supportate.

In questo tutorial, imparerai a:

Per iniziare, crea un bucket di log e un sink di log Progetto Google Cloud in cui archiviare le voci di log aggregate.
Quindi, creerai un sink aggregato non intercettato a livello di organizzazione per instradare le voci di log al progetto Google Cloud che contiene di log del bucket.
Quindi configurerai l'accesso in lettura per le visualizzazioni dei log nel nuovo bucket di log.
Infine, esegui una query e visualizza le voci di log dalla pagina Esplora log.

Prima di iniziare

Verifica quanto segue:

Per ottenere le autorizzazioni necessarie per configurare un sink aggregato, chiedi all'amministratore di concederti seguenti ruoli IAM nell'organizzazione:
- Per creare bucket di log e sink in un progetto: Writer configurazione log (roles/logging.configWriter) - il tuo progetto
- Per creare un sink aggregato: Writer configurazione log (roles/logging.configWriter) - la tua organizzazione
- Per concedere i ruoli alle entità: Proprietario (roles/owner) - il tuo progetto
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite la ruoli o altri ruoli predefiniti ruoli.

Se utilizzi Controlli di servizio VPC, devi aggiungere in entrata nel perimetro di servizio. Per ulteriori informazioni Limitazioni dei Controlli di servizio VPC; consulta Sink aggregati e limitazioni di Controlli di servizio VPC.

Crea un bucket di log

I bucket di log archiviano le voci di log instradate da altri Progetti, cartelle o organizzazioni di Google Cloud. Per ulteriori informazioni, vedi Configura i bucket di log.

Per creare il bucket di log nel progetto Google Cloud che vuoi e aggregare le voci di log, completa i seguenti passaggi:

Vai alla console Google Cloud:
Vai alla console Google Cloud
In un terminale Cloud Shell, esegui Comando gcloud logging buckets create.

Prima di eseguire questo comando, esegui le seguenti operazioni sostituzioni:
- BUCKET_NAME: il nome del bucket di log.
- LOCATION: la località del bucket di log. Dopo aver creato il bucket di log, non puoi cambiarne la posizione.
- PROJECT_ID: l'identificatore del progetto in cui creare di log del bucket.
Esegui gcloud logging buckets create. :
```
 gcloud logging buckets create BUCKET_NAME \
   --location=LOCATION --project=PROJECT_ID
```
Verifica che il bucket di log sia stato creato:
```
gcloud logging buckets list --project=PROJECT_ID
```
La risposta al comando è un elenco dei bucket di log progetto.
I bucket di log hanno periodi di conservazione configurabili. Se vuoi impostare il periodo di conservazione delle voci di log nel bucket di log, quindi usa il comando gcloud logging buckets update. Ad esempio, il comando estende la conservazione delle voci di log di 365 giorni:
```
gcloud logging buckets update BUCKET_NAME \
   --location=LOCATION --project=PROJECT_ID \
   --retention-days=365
```
Per ulteriori informazioni sulle opzioni, vedi gcloud logging buckets update

Crea il sink di log a livello di progetto

Puoi instradare le voci di log a un bucket di log creando un sink. Un lavello include un filtro di inclusione, i filtri di esclusione e una destinazione. In questo configuri un filtro di inclusione e la destinazione nel nuovo bucket di log. Il sink non contiene filtri di esclusione. Per ulteriori informazioni sui sink, consulta Esegui il routing dei log alle destinazioni supportate.

Per creare un sink che instrada le voci di log al bucket di log appena creato, esegui il comando gcloud logging sinks create.

Prima di eseguire questo comando, esegui le seguenti operazioni sostituzioni:

PROJECT_LEVEL_SINK_NAME: il nome dell'account a livello di progetto nel sink di log.
SINK_DESTINATION: il bucket di log in cui vengono instradate le voci di log. La per un bucket di log è il seguente:
```
logging.googleapis.com/projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME
```
PROJECT_ID: l'identificatore del progetto in cui creare nel sink di log. Imposta questa opzione sullo stesso progetto in cui hai creato il log di sincronizzare la directory di una VM con un bucket.
Includi le seguenti opzioni:
- --log-filter : utilizza questa opzione per impostare un filtro corrispondente al log da includere nel sink. In questo tutorial, il filtro viene impostata per selezionare tutte le voci di audit log. Se non imposti un filtro, tutti gli utenti le voci di log del tuo progetto Google Cloud vengono instradate alla destinazione.
- --description: utilizza questa opzione per descrivere lo scopo o il caso d'uso per nel lavandino.

Esegui la gcloud logging sinks create :

gcloud logging sinks create PROJECT_LEVEL_SINK_NAME SINK_DESTINATION
--project=PROJECT_ID
--log-filter='logName:cloudaudit.googleapis.com' \
--description="Audit logs from my organization" \

Crea il sink aggregato

I sink aggregati combinano e instradano voci di log dalle risorse contenute di un'organizzazione o una cartella in una destinazione.

In questo tutorial, creerai un sink aggregato non intercettazione. Questo significa che ogni voce di log instradata dal sink aggregato viene instradata anche nei sink nella risorsa in cui ha origine la voce di log. Ad esempio, un che ha origine in un progetto viene instradato dal sink aggregato in quel progetto. Pertanto, puoi archiviare più di una voce di log.

Puoi creare sink di intercettazione. Per ulteriori informazioni, vedi Facolta e instrada i log a livello di organizzazione e cartella verso le destinazioni supportate.

Configura il sink a livello di organizzazione

Creare un sink aggregato non intercettato e che instrada il log a un progetto, completa i seguenti passaggi:

Esegui l' gcloud logging sinks create .

Prima di eseguire questo comando, esegui le seguenti operazioni sostituzioni:
- SINK_NAME: il nome del sink di log. Non puoi modificare il nome di un sink dopo averlo creato.
- PROJECT_ID: l'identificatore del progetto in cui è archiviato il bucket di log.
- ORGANIZATION_ID: l'identificatore dell'organizzazione.
Esegui il comando gcloud logging sinks create:
```
gcloud logging sinks create SINK_NAME \
logging.googleapis.com/projects/PROJECT_ID  \
  --log-filter='logName:cloudaudit.googleapis.com' \
  --description="Audit logs from my organization" \
  --organization=ORGANIZATION_ID \
  --include-children
```
L'opzione --include-children è importante. Questa opzione assicura che le voci di log di tutti I progetti e le cartelle Google Cloud all'interno della tua organizzazione vengono instradati. Per ulteriori informazioni, vedi Facolta e instrada i log a livello di organizzazione verso le destinazioni supportate.

Verifica che il sink sia stato creato:

gcloud logging sinks list --organization=ORGANIZATION_ID

Ottieni il nome dell'account di servizio:

gcloud logging sinks describe SINK_NAME --organization=ORGANIZATION_ID

L'output è simile al seguente:

writerIdentity: serviceAccount:o1234567890-ORGANIZATION_ID@gcp-sa-logging.iam.gserviceaccount.com

Copia il valore del campo serviceAccount negli appunti.

Nota: per instradare le voci di log a una risorsa protetta da un perimetro di servizio, devi aggiungere l'account di servizio per quel sink a un livello di accesso, quindi e assegnarlo al perimetro di servizio di destinazione. Questa operazione non è necessaria per e i sink non aggregati. Per maggiori dettagli, vedi Controlli di servizio VPC: Cloud Logging.

Concedi l'accesso al sink

Dopo aver creato il sink aggregato, devi concedere l'autorizzazione affinché il sink e scrivere voci di log nel progetto impostato come destinazione. Puoi concedere l'autorizzazione usando la console Google Cloud oppure modificando il criterio Identity and Access Management (IAM), come descritto in Imposta le autorizzazioni della destinazione.

Per concedere al sink l'autorizzazione a scrivere voci di log, segui questi passaggi:

Nella console Google Cloud, vai alla pagina IAM:
Vai a IAM

Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo IAM e Console di amministrazione.
Seleziona il progetto Google Cloud che contiene il bucket di log.
Fai clic su Concedi l'accesso e aggiungi il account di servizio come nuova entità. Non includere il prefisso Includi il prefisso serviceAccount:.
Nel menu Seleziona un ruolo, scegli Writer log.
Fai clic su Salva.

Genera voci di log per facilitare la verifica del sink

Per verificare che il sink aggregato sia configurato correttamente, prova il seguenti:

Genera le voci degli audit log che devono essere instradate al bucket di log.
- Se nella tua organizzazione sono presenti molti progetti Google Cloud: è possibile che il traffico di audit log sia sufficiente crearne a scopo di convalida. Vai al passaggio successivo.
- Altrimenti, passa a un altro progetto e crea una VM di Compute Engine ed eliminare l'istanza che hai creato. Gli audit log vengono scritti quando viene creata, avviata ed eliminata una VM.
Segui la procedura descritta nella sezione intitolata Visualizza i log nella pagina Esplora log per visualizzare e gli audit log. Assicurati di selezionare la visualizzazione _AllLogs.

Configurare l'accesso in lettura a una visualizzazione del log su un bucket di log

Quando crei un bucket di log, Cloud Logging crea automaticamente un visualizzazione del log denominata _AllLogs. Questa vista include tutte le voce di log archiviate nel bucket di log.

Per limitare un'entità in modo che abbia accesso solo a voci di log specifiche, crea una visualizzazione log, quindi esegui una delle seguenti operazioni:

Concedigli il ruolo di roles/logging.viewAccessor insieme a un Condizione IAM che limita la concessione alla visualizzazione del log.
Nel criterio IAM associato alla visualizzazione del log, per concedere l'accesso a un'entità. Consigliamo questo approccio quando crei un numero elevato di visualizzazioni di log.

Per ulteriori informazioni su questi due approcci, vedi Controllare l'accesso a una visualizzazione del log.

Nei passaggi successivi, concedi a un'entità il ruolo roles/logging.viewAccessor e una condizione IAM che limita la concessione alla vista denominata _AllLogs:

Nella console Google Cloud, vai alla pagina IAM:
Vai a IAM

Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo IAM e Console di amministrazione.
Seleziona il progetto Google Cloud che contiene il bucket di log.
Fai clic su Aggiungi.
Aggiungi un'entità nel campo Nuova entità.
Nel menu Seleziona un ruolo, scegli Funzione di accesso delle viste log.

Se non aggiungi una condizione a questo ruolo, l'entità ha accesso a tutte le visualizzazioni dei log in tutti i bucket di log definiti dall'utente nel progetto Google Cloud.
Aggiungi una condizione IAM all'associazione:
1. Fai clic su Aggiungi condizione, inserisci un titolo e una descrizione.
2. Nel menu Tipo di condizione, scorri fino a Risorsa. Seleziona Nome.
3. Nel menu Operatore, seleziona Termina con.
4. Nel campo Valore, inserisci il nome completo della visualizzazione del log:
```
locations/LOCATION/buckets/BUCKET_NAME/views/_AllLogs
```
5. Fai clic su Salva per salvare la condizione.
Fai clic su Salva per salvare l'associazione.

Visualizza le voci di log nella pagina Esplora log

Per visualizzare le voci di log nel bucket di log, segui questi passaggi:

Nella console Google Cloud, vai alla pagina Esplora log:
Vai a Esplora log

Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.
Seleziona Perfeziona ambito.
Nel riquadro Perfeziona ambito, seleziona Ambito in base all'archiviazione.
Seleziona la visualizzazione del log o le visualizzazioni log per le quali vuoi visualizzare le voci di log. Ad esempio, per visualizzare tutte le voci di log, seleziona la visualizzazione denominata _AllLogs.
Fai clic su Applica.

Esplora log si aggiorna per mostrare le voci di log del bucket di log. Per informazioni sull'utilizzo di Esplora log, consulta Utilizzo di Esplora log.