Esta página foi traduzida pela API Cloud Translation.

Agrupe e armazene os registros da sua organização

Neste documento, descrevemos como gerenciar os registros gerados pelos recursos contidos na sua organização do Google Cloud usando um coletor agregado sem interceptação.

É possível configurar um coletor agregado para interceptar ou não, dependendo se você quer controlar quais registros podem ser consultados ou ser roteados pelos coletores em recursos filhos. Neste tutorial, você criará um coletor agregado que roteia os registros de auditoria da sua organização para um bucket de registros. É possível configurar o filtro do coletor para rotear outros tipos de entradas de registro. Para mais informações sobre coletores agregados, consulte Agrupar e rotear registros no nível da organização e da pasta para destinos compatíveis.

Neste tutorial, você vai executar as seguintes etapas:

Criação do bucket do Cloud Logging para armazenar os registros agregados.
Criar um coletor agregado sem interceptação no nível da organização para rotear os registros para o novo bucket de registros.
Configurar o acesso de leitura ao novo bucket de registros.
Consultar e visualizar os registros na página Análise de registros.

Antes de começar

Confirme os seguintes itens:

Para ter as permissões necessárias para criar buckets e coletores de registros agregados, peça ao administrador para conceder a você os seguintes papéis do IAM:
- Gravador de configuração de registros (roles/logging.configWriter) no projeto
- Gravador de configuração de registros (roles/logging.configWriter) na sua organização
Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.

Para ter as permissões necessárias para conceder os papéis de principais, peça ao administrador que conceda a você o papel do IAM de Proprietário (roles/owner) em um projeto.
Se você usa o VPC Service Controls, adicione uma regra de entrada ao perímetro de serviço. Para mais informações sobre as limitações do VPC Service Controls, consulte Coletores agregados e limitações do VPC Service Controls.

crie um bucket de registros

Os buckets de registros armazenam os registros roteados de outras pastas, organizações ou projetos do Google Cloud. Para mais informações, acesse Configurar buckets de registros.

Para criar o bucket de registros no projeto do Google Cloud em que você quer agregar registros, conclua as seguintes etapas:

Acesse o Console do Google Cloud:
Acessar o Console do Google Cloud
Em um terminal do Cloud Shell, execute o comando gcloud logging buckets create.

Antes de executar o comando a seguir, faça as seguintes substituições:
- BUCKET_NAME: o nome do bucket de registros.
- LOCATION: a localização do bucket de registros.
- PROJECT_ID: o identificador do projeto em que o bucket de registros será criado.
Execute o comando gcloud logging buckets create:
```
 gcloud logging buckets create BUCKET_NAME \
   --location=LOCATION --project=PROJECT_ID
```
Observação :depois de criar o bucket de registros, não é possível alterar a região dele.

Verifique se o bucket de registros foi criado:

gcloud logging buckets list --project=PROJECT_ID

Opcional: defina o período de armazenamento dos registros no bucket. Este exemplo estende a retenção de registros armazenados no bucket para 365 dias:
```
gcloud logging buckets update BUCKET_NAME \
  --location=LOCATION --project=PROJECT_ID \
  --retention-days=365
```

Criar o coletor agregado

Crie um coletor para rotear os registros para um bucket de registros. Um coletor inclui um filtro de inclusão, um filtro de exclusão opcional e um destino. Neste tutorial, o destino é o novo bucket de registros. Para mais informações sobre coletores, consulte Rotear registros para destinos compatíveis.

Configurar o coletor no nível da organização

Para criar um coletor agregado, siga estas etapas:

Execute o comando gcloud logging sinks create.

Antes de executar o comando a seguir, faça as seguintes substituições:
- SINK_NAME: o nome do coletor de registros.
- PROJECT_ID: o identificador do projeto que armazena o bucket de registros.
- LOCATION: a localização do bucket de registros.
- BUCKET_NAME: o nome do bucket de registros.
- ORGANIZATION_ID: o identificador da organização.
Execute o comando gcloud logging sinks create:
```
gcloud logging sinks create SINK_NAME \
logging.googleapis.com/projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME  \
  --log-filter='logName:cloudaudit.googleapis.com' \
  --description="Audit logs from my organization" \
  --organization=ORGANIZATION_ID \
  --include-children
```
A sinalização --include-children é importante para que os registros de todos os projetos do Google Cloud da sua organização também sejam incluídos. Para mais informações, consulte Agrupar e rotear registros no nível da organização para destinos compatíveis.

Observação: o coletor sem interceptação que você criou não redireciona as entradas de registro para o bucket de registros. Em vez disso, as entradas de registro são armazenadas no bucket de registros, mas também enviadas ao projeto de origem para roteamento por coletores no nível do projeto. Como resultado, uma entrada de registro pode ser armazenada em vários buckets. Para evitar o armazenamento de cópias duplicadas de registros, crie um coletor de interceptação ou adicione um filtro de exclusão ao coletor no nível do projeto.

Verifique se o coletor foi criado:

gcloud logging sinks list --organization=ORGANIZATION_ID

Consiga o nome da conta de serviço:

gcloud logging sinks describe SINK_NAME --organization=ORGANIZATION_ID

A resposta será semelhante a:

writerIdentity: serviceAccount:o1234567890-ORGANIZATION_ID@gcp-sa-logging.iam.gserviceaccount.com

Copie o valor do campo serviceAccount para a área de transferência.

Observação: para rotear registros a um recurso protegido por um perímetro de serviço, é preciso adicionar a conta de serviço desse coletor a um nível de acesso e atribuí-la ao perímetro de serviço de destino. Isso não é necessário para coletores não agregados. Para detalhes, consulte VPC Service Controls: Cloud Logging.

Permitir acesso ao coletor

Depois de criar o coletor, você precisa conceder permissão a ele para gravar no bucket de registros. É possível conceder permissão usando o console do Google Cloud ou editando a política do Identity and Access Management (IAM), conforme descrito em Definir permissões de destino.

Para conceder ao coletor permissão para gravar registros, faça o seguinte:

No console do Google Cloud, abra a página IAM.
Acessar o IAM

Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo IAM e administrador.
Selecione o projeto do Google Cloud que contém o bucket de registros.
Clique em CONCEDER ACESSO.
No campo Novos principais, adicione a conta de serviço sem o prefixo serviceAccount:.
No menu Selecionar um papel, escolha Gravador de bucket de registros.
Clique em Salvar.

Gerar registros para auxiliar na verificação do coletor

Para verificar se o coletor agregado está configurado corretamente, tente o seguinte:

Gere registros de auditoria que precisam ser roteados para o bucket de registros.
- Se você tiver muitos projetos do Google Cloud na sua organização, talvez tenha tráfego de registro de auditoria suficiente para fins de validação. Vá para a próxima etapa.
- Caso contrário, acesse um projeto diferente, crie uma instância de VM do Compute Engine e exclua a instância criada. Os registros de auditoria são gravados quando uma VM é criada, iniciada e excluída.
Siga o procedimento na seção Ver registros na página Análise de registros para ver os registros de auditoria. Selecione a visualização _AllLogs.

Configurar o acesso de leitura a um bucket de registros

Quando você cria um bucket de registros, o Cloud Logging cria automaticamente uma visualização de registros chamada _AllLogs. Essa visualização inclui todas as entrada de registro armazenadas no bucket de registros.

Para restringir um principal a ter acesso apenas a entradas de registro específicas, crie uma visualização de registros e siga um destes procedimentos:

Conceda a eles o papel de roles/logging.viewAccessor junto com uma condição do IAM que restringe a concessão à visualização de registro.
Na política do IAM associada à visualização de registros, conceda o acesso principal. Recomendamos essa abordagem ao criar um grande número de visualizações de registros.

Para mais informações sobre essas duas abordagens, consulte Controlar o acesso a uma visualização de registro.

Nas etapas a seguir, você concede ao principal o papel de roles/logging.viewAccessor junto com uma condição do IAM que restringe a concessão à visualização chamada _AllLogs:

No console do Google Cloud, abra a página IAM.
Acessar o IAM

Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo IAM e administrador.

Verifique se você selecionou o projeto do Google Cloud que está usando para agregar os registros.
Clique em Adicionar.
No campo Novo principal, adicione uma principal.
No menu Selecionar um papel, escolha Acessador de visualizações de registros.

Observação: se você não adicionar uma condição a esse papel, o principal terá acesso a todas as visualizações de registro em todos os buckets de registros definidos pelo usuário no projeto do Google Cloud.
Adicione uma condição do IAM à vinculação:
1. Clique em Adicionar condição e digite um título e uma descrição.
2. No menu Tipo de condição, role até Recurso e selecione Nome.
3. No menu Operador, selecione Termina com.
4. No campo Value, digite o nome completo da visualização de registro:
```
locations/LOCATION/buckets/BUCKET_NAME/views/_AllLogs
```
5. Clique em Salvar para salvar a condição.
Clique em Salvar para armazenar a vinculação.

Acessar os registros na página "Análise de registros"

Para acessar os registros no bucket de registros, faça o seguinte:

No console do Google Cloud, acesse a página Análise de registros:
Acessar a Análise de registros

Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo Geração de registros.
Selecione Refinar escopo.
No painel Refinar escopo, selecione Escopo por armazenamento.
Selecione a visualização de registros com as entradas que você quer conferir. Por exemplo, para conferir todos os registros, selecione a visualização chamada _AllLogs.
Clique em Aplicar.

A Análise de registros é atualizada para mostrar os registros do bucket de registros.

Para informações sobre como usar a Análise de registros, consulte Como usar a Análise de registros.