Agregar e armazenar os registros da sua organização

Para gerenciar os registros do Google Cloud da sua organização, é possível agregá-los de toda sua organização em um único bucket do Cloud Logging.

Neste documento, você verá a descrição do processo, usando o exemplo de agregação dos registros de auditoria de uma organização.

Esse processo envolve as seguintes etapas:

  1. Criação do bucket do Cloud Logging para armazenar os registros agregados.

  2. Criação do coletor no nível da organização para encaminhar os registros para o novo bucket.

  3. Configuração do acesso de leitura para o novo bucket.

  4. Como pesquisar registros na página do Explorador de registros.

Antes de começar

Para concluir as etapas deste guia, você precisa saber o seguinte:

  • O projeto do Google Cloud em que você quer agregar os registros. No exemplo deste guia, usamos um projeto do Google Cloud chamado logs-test-project.

  • O nome e o local do bucket do Logging em que os registros serão agregados. Neste exemplo, o nome do bucket é all-audit-logs-bucket e o local é global.

  • Os registros que você quer incluir. Neste exemplo, incluímos todos os registros de auditoria, logName:cloudaudit.googleapis.com.

  • O nome do coletor que roteia esses registros. Neste exemplo, o nome do coletor é all-audit-logs-sink.

  • O número da organização do seu projeto. Neste exemplo, o número da organização é 12345.

  • O ID da visualização de registro. Neste exemplo, o ID da vista é view_id.

  • Se você usa o VPC Service Controls, adicione uma regra de entrada ao perímetro de serviço. Para mais informações sobre as limitações do VPC Service Controls, consulte Coletores agregados e limitações do VPC Service Controls.

Crie um bucket

Os buckets do Cloud Logging armazenam os registros roteados de outros projetos, pastas ou organizações do Google Cloud. Para mais informações, acesse Configurar buckets de registros.

Para criar o bucket no projeto do Google Cloud em que você quer agregar registros, siga estas etapas:

  1. Navegue até o console do Google Cloud ou clique no botão a seguir:

    Acessar o Console do Google Cloud

  2. Em um terminal do Cloud Shell, execute o comando a seguir para criar um bucket, substituindo as variáveis pelos valores apropriados:

     gcloud logging buckets create all-audit-logs-bucket \
       --location=global \
       --project=logs-test-project
    
  3. Verifique se o bucket foi criado:

    gcloud logging buckets list --project=logs-test-project
    
  4. (Opcional) Defina o período de armazenamento dos registros no bucket. Este exemplo estende a retenção de registros armazenados no bucket para 365 dias:

    gcloud logging buckets update all-audit-logs-bucket --location=global --project=logs-test-project --retention-days=365
    

Criar o coletor

É possível rotear registros para um bucket criando um coletor. Um coletor inclui um filtro de inclusão, um filtro de exclusão opcional e um destino. Para mais informações sobre coletores, consulte Rotear registros para destinos compatíveis.

Neste guia, o destino é nosso bucket, all-audit-logs-bucket.

Configurar o coletor no nível da organização

Para criar um coletor, conclua os passos a seguir.

  1. Execute o comando a seguir, substituindo as variáveis pelos valores adequados:

    gcloud logging sinks create all-audit-logs-sink \
    logging.googleapis.com/projects/logs-test-project/locations/global/buckets/all-audit-logs-bucket \
      --log-filter='logName:cloudaudit.googleapis.com' \
      --description="All audit logs from my org log sink" \
      --organization=12345 \
      --include-children
    

    A sinalização --include-children é importante para que os registros de todos os projetos do Google Cloud da sua organização também sejam incluídos. Para mais informações, consulte Agrupar e rotear registros no nível da organização para destinos compatíveis.

  2. Verifique se o coletor foi criado:

    gcloud logging sinks list --organization=12345
    
  3. Consiga o nome da conta de serviço:

    gcloud logging sinks describe all-audit-logs-sink --organization=12345
    

    A resposta será semelhante a:

    writerIdentity: serviceAccount:o1234567890-12345@gcp-sa-logging.iam.gserviceaccount.com
    
  4. Copie toda a string para writerIdentity que começa com serviceAccount:.

Permitir acesso ao coletor

Depois de criar o coletor, será necessário conceder acesso ao coletor para gravar no bucket. É possível fazer isso pelo console do Google Cloud ou editando manualmente a política do Identity and Access Management (IAM), conforme descrito em Definir permissões de destino.

Neste guia, definimos as permissões por meio do console do Google Cloud usando as etapas a seguir.

  1. No painel de navegação do console do Google Cloud, selecione IAM:

    Acessar o IAM

  2. Verifique se você selecionou o projeto de destino do Google Cloud que contém o bucket no nível da organização que você está usando para agregar os registros.

  3. Clique em CONCEDER ACESSO.

  4. No campo Novos principais, adicione a conta de serviço sem o prefixo serviceAccount:.

  5. No menu suspenso Selecionar um papel, selecione Gravador do bucket de registros.

  6. Clique em Salvar.

Gerar registros para auxiliar na verificação do coletor

Se o coletor estiver usando registros de auditoria, uma maneira de validar se o coletor está roteando os registros corretamente é iniciar uma VM em um projeto diferente do Google Cloud e, em seguida, desativar essa VM para ver se esse evento aparece nos registros.

Se você já tiver muitos projetos do Google Cloud na sua organização, talvez tenha tráfego de registro de auditoria suficiente para que essa etapa não seja necessária.

Configurar o acesso de leitura para o novo bucket

Agora que o coletor encaminha registros de toda a organização para o bucket, é possível pesquisar em todos esses registros. Você precisa conceder acesso de leitura para ver as visualizações no novo bucket, especificamente adicionando o papel roles/logging.viewAccessor do IAM.

Neste guia, definimos as permissões por meio do console do Google Cloud seguindo as etapas a seguir.

  1. No painel de navegação do console do Google Cloud, selecione IAM:

    Acessar o IAM

    Verifique se você selecionou o projeto do Google Cloud que está usando para agregar os registros.

  2. Clique em Adicionar.

  3. No campo Novo principal, adicione sua conta de e-mail.

  4. No menu suspenso Selecionar um papel, selecione Acessador de visualizações de registros.

    Esse papel fornece ao principal recém-adicionado acesso de leitura a todas as visualizações de qualquer bucket no projeto do Google Cloud. Para limitar o acesso de um usuário, crie ou selecione uma visualização de registro atual e adicione uma condição que permita que o usuário leia apenas do novo bucket:

    1. Clique em Adicionar condição.

    2. Insira um Título e uma Descrição para a condição.

    3. No menu suspenso Tipo de condição, selecione Recurso > Nome.

    4. No menu suspenso Operador, selecione Encerra com.

    5. No campo Valor, insira o local do bucket, a parte do nome do bucket do ID do bucket e o código da visualização. Para encontrar o ID da visualização de registros, liste as visualizações. Para mais informações, consulte Listar visualizações de registros.

      Exemplo:

      locations/global/buckets/all-audit-logs-bucket/view/view_id
      
    6. Clique em Salvar para adicionar a condição.

  5. Clique em Salvar para definir as permissões.

Pesquisar registros na página do Explorador de registros

Depois de definir as permissões na seção anterior, acesse o console do Google Cloud e conclua as seguintes etapas:

  1. No painel de navegação do console do Google Cloud, selecione Logging e clique em Análise de registros:

    Acessar a Análise de registros

  2. Selecione Refinar escopo.

  3. No painel Refinar escopo, selecione Escopo por armazenamento.

  4. Selecione all-audit-logs-bucket.

  5. Clique em Aplicar.

  6. O Explorador de registros é atualizado para mostrar registros do bucket.

    Para informações sobre como usar o Explorador de registros, consulte Como usar o Explorador de registros.