Esta página foi traduzida pela API Cloud Translation.

Agregar e armazenar os registros da sua organização

Neste documento, descrevemos como gerenciar as entradas de registro geradas pelos recursos na sua organização do Google Cloud usando um objeto coletor agregado.

É possível configurar um coletor agregado para interceptar ou não interceptar, dependendo de como você quer ter controle sobre quais entradas de registro podem ser consultadas ou roteadas pelos coletores em recursos filhos. Neste tutorial, você vai criar um coletor agregado que encaminha os registros de auditoria da organização para um no projeto do Google Cloud, que então encaminha agregou registros de auditoria a um bucket de registros.

Para mais informações sobre coletores agregados, consulte Agrupar e rotear registros de organização e pasta para destinos compatíveis.

Neste tutorial, você executará as seguintes etapas:

Crie um bucket de registros e um coletor de registros o projeto do Google Cloud em que você quer armazenar as entradas de registro agregadas.
Em seguida, crie um coletor agregado sem interceptação no nível da organização para rotear entradas de registro para o projeto do Google Cloud que contém as em um bucket de registros.
Em seguida, configure o acesso de leitura para visualizações de registros no novo bucket de registros.
Por fim, você vai consultar e visualizar as entradas de registro na página da Análise de registros.

Antes de começar

Confirme os seguintes itens:

Para ter as permissões necessárias para configurar um coletor agregado, peça ao administrador para conceder a você os seguintes papéis do IAM na organização:
- Para criar buckets e coletores de registros em um projeto: Gravador de configuração de registros (roles/logging.configWriter): seu projeto
- Para criar um coletor agregado: Gravador de configuração de registros (roles/logging.configWriter): sua organização
- Para conceder papéis aos principais: Proprietário (roles/owner): seu projeto
Para mais informações sobre como conceder papéis, consulte Gerenciar acesso.

Também é possível conseguir as permissões necessárias com papéis personalizados ou outros papéis predefinidos.

Se você usa o VPC Service Controls, precisa adicionar uma regra de entrada ao perímetro de serviço. Para mais informações sobre Limitações do VPC Service Controls. Consulte Coletores agregados e limitações do VPC Service Controls.

crie um bucket de registros

Os buckets de registros armazenam as entradas roteadas de outros projetos, pastas ou organizações do Google Cloud. Para mais informações, consulte Configure buckets de registros.

Para criar o bucket de registros no projeto do Google Cloud em que você quer agregar entradas de registro, siga estas etapas:

Acesse o Console do Google Cloud:
Acessar o Console do Google Cloud
Em um terminal do Cloud Shell, execute o comando comando gcloud logging buckets create.

Antes de executar o comando a seguir, faça o seguinte substitutos:
- BUCKET_NAME: o nome do bucket de registros.
- LOCATION: o local do bucket de registros. Depois de criar o bucket de registros, não será possível mudar a localização dele.
- PROJECT_ID: o identificador do projeto em que o em um bucket de registros.
Execute o gcloud logging buckets create. comando:
```
 gcloud logging buckets create BUCKET_NAME \
   --location=LOCATION --project=PROJECT_ID
```
Verifique se o bucket de registros foi criado:
```
gcloud logging buckets list --project=PROJECT_ID
```
A resposta do comando é uma lista dos buckets de registros projeto.
Os buckets de registros têm períodos de armazenamento configuráveis. Se você quiser definir o período de armazenamento das entradas de registro no bucket de registros e, em seguida, use o comando gcloud logging buckets update. Por exemplo, os seguintes estende a retenção das entradas de registro armazenadas no do bucket de registros para 365 dias:
```
gcloud logging buckets update BUCKET_NAME \
   --location=LOCATION --project=PROJECT_ID \
   --retention-days=365
```
Para mais informações sobre as opções, consulte gcloud logging buckets update

Criar o coletor de registros para envolvidos no projeto

Para rotear as entradas de registro para um bucket de registros, crie um coletor. Um coletor inclui e de exclusão e um destino. Neste de inclusão, você configura um filtro de inclusão e o destino para para o novo bucket de registros. Seu coletor não contém filtros de exclusão. Para saber mais sobre coletores, consulte Rotear registros para destinos compatíveis.

Para criar um coletor que roteie entradas de registro para o bucket de registros-criado, execute o comando gcloud logging sinks create.

Antes de executar o comando a seguir, faça o seguinte substitutos:

PROJECT_LEVEL_SINK_NAME: o nome do projeto coletor de registros.
SINK_DESTINATION: o bucket de registros para onde as entradas de registro são roteadas. A formato do caminho de destino para um bucket de registros é o seguinte:
```
logging.googleapis.com/projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME
```
PROJECT_ID: o identificador do projeto em que o coletor de registros. Defina essa opção como o mesmo projeto em que você criou o registro do Google Cloud.
Inclua as seguintes opções:
- --log-filter : use essa opção para definir um filter que corresponde ao registro as entradas que você quer incluir no coletor. Neste tutorial, o filtro é para selecionar todas as entradas de registro de auditoria. Se você não definir um filtro, todos as entradas de registro do seu projeto do Google Cloud são roteadas para o destino.
- --description: use essa opção para descrever a finalidade ou o caso de uso do na pia.

Execute o gcloud logging sinks create comando:

gcloud logging sinks create PROJECT_LEVEL_SINK_NAME SINK_DESTINATION
--project=PROJECT_ID
--log-filter='logName:cloudaudit.googleapis.com' \
--description="Audit logs from my organization" \

Criar o coletor agregado

Os coletores agregados combinam e encaminham as entradas de registro dos recursos uma organização ou pasta para um destino.

Neste tutorial, você cria um coletor agregado que não intercepta. Isso significa que cada entrada de registro roteada pelo coletor agregado também é os coletores no recurso de origem da entrada de registro. Por exemplo, uma registro de auditoria originado em um projeto é roteado pelo coletor agregado e pelo coletores desse projeto. Portanto, é possível armazenar diversos cópias de uma entrada de registro.

Você pode criar coletores de interceptação. Para mais informações, consulte Agrupar e rotear registros no nível da organização e da pasta para destinos compatíveis.

Configurar o coletor no nível da organização

Para criar um coletor agregado que não seja intercepto e que faça o registro de rotas entradas em um projeto, siga estas etapas:

Execute o comando gcloud logging sinks create.

Antes de executar o comando a seguir, faça o seguinte substitutos:
- SINK_NAME: o nome do coletor de registros. Não é possível alterar o nome de um coletor depois de criá-lo.
- PROJECT_ID: o identificador do projeto que armazena o bucket de registros.
- ORGANIZATION_ID: o identificador da organização.
Execute o comando gcloud logging sinks create:
```
gcloud logging sinks create SINK_NAME \
logging.googleapis.com/projects/PROJECT_ID  \
  --log-filter='logName:cloudaudit.googleapis.com' \
  --description="Audit logs from my organization" \
  --organization=ORGANIZATION_ID \
  --include-children
```
A opção --include-children é importante. Essa opção garante que entradas de registro de todos os Os projetos e as pastas do Google Cloud na sua organização são roteados. Para mais informações, consulte Agrupar e rotear registros no nível da organização para destinos compatíveis.

Verifique se o coletor foi criado:

gcloud logging sinks list --organization=ORGANIZATION_ID

Consiga o nome da conta de serviço:

gcloud logging sinks describe SINK_NAME --organization=ORGANIZATION_ID

A saída será assim:

writerIdentity: serviceAccount:o1234567890-ORGANIZATION_ID@gcp-sa-logging.iam.gserviceaccount.com

Copie o valor do campo serviceAccount para a área de transferência.

Observação: para rotear entradas de registro para um recurso protegido por uma perímetro de serviço, você precisa adicionar a conta de serviço desse coletor a um nível de acesso e, ao perímetro de serviço de destino. Isso não é necessário para coletores não agregados. Para mais detalhes, consulte VPC Service Controls: Cloud Logging.

Permitir acesso ao coletor

Depois de criar o coletor agregado, você deve conceder permissão para que o coletor gravar entradas de registro no projeto definido como destino. É possível conceder usando o console do Google Cloud ou editando a política do Identity and Access Management (IAM), conforme descrito no Defina permissões de destino.

Para conceder ao coletor permissão para gravar entradas de registro, faça o seguinte:

No console do Google Cloud, abra a página IAM.
Acesse o IAM

Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo IAM e administrador.
Selecione o projeto do Google Cloud que contém o bucket de registros.
Clique em Conceder acesso e adicione o como um novo principal. Não inclua o parâmetro inclua o prefixo serviceAccount:.
No menu Selecionar papel, escolha Gravador de registros.
Clique em Salvar.

Gerar entradas de registro para ajudar na verificação do coletor

Para verificar se o coletor agregado está configurado corretamente, tente o seguintes:

Gerar entradas de registro de auditoria que precisam ser roteadas para o bucket de registros.
- Se você tiver muitos projetos do Google Cloud na organização, talvez você tenha tráfego de registro de auditoria suficiente ou criar qualquer uma para fins de validação. Vá para a próxima etapa.
- Caso contrário, acesse outro projeto e crie uma VM do Compute Engine e depois a exclua. Os registros de auditoria são gravados quando uma VM é criada, iniciada e excluída.
Siga o procedimento na seção intitulada Veja os registros na página Análise de registros para consultar registros de auditoria. Selecione a visualização _AllLogs.

Configurar o acesso de leitura a uma visualização de registro em um bucket de registros

Quando você cria um bucket de registros, o Cloud Logging cria automaticamente visualização de registros chamada _AllLogs. Essa visualização inclui todas as entrada de registro armazenadas no bucket de registros.

Para restringir o acesso de um principal a entradas de registro específicas, crie uma visualização de registro e, em seguida, execute um dos seguintes procedimentos:

Conceda a eles o papel de roles/logging.viewAccessor junto com um Condição do IAM que restringe a concessão à visualização de registros.
Na política do IAM associada à visualização de registros, conceda o acesso principal. Recomendamos essa abordagem ao criar um grande número de visualizações de registros.

Para mais informações sobre essas duas abordagens, consulte Controlar o acesso a uma visualização de registros

Nas etapas a seguir, você concede a um principal o papel de roles/logging.viewAccessor junto com uma condição do IAM que restringe a concessão à visualização chamada _AllLogs:

No console do Google Cloud, abra a página IAM.
Acesse o IAM

Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo IAM e administrador.
Selecione o projeto do Google Cloud que contém o bucket de registros.
Clique em Adicionar.
No campo Novo principal, adicione um principal.
No menu Selecionar papel, selecione Acessor de visualizações de registros.

Se você não adicionar uma condição a esse papel, o principal terá acesso a todas as visualizações de registros em todos os buckets de registros definidos pelo usuário no projeto do Google Cloud.
Adicione uma condição do IAM à vinculação:
1. Clique em Adicionar condição e insira um título e uma descrição.
2. No menu Tipo de condição, role até Recurso e Selecione Nome.
3. No menu Operador, selecione Termina com.
4. No campo Valor, digite o nome completo da visualização de registros:
```
locations/LOCATION/buckets/BUCKET_NAME/views/_AllLogs
```
5. Clique em Salvar para salvar a condição.
Clique em Salvar para salvar a vinculação.

Ver entradas de registro na página da Análise de registros

Para ver as entradas de registro no bucket de registros, faça o seguinte:

No console do Google Cloud, acesse a página Análise de registros:
Acessar a Análise de registros

Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo Logging.
Selecione Refinar escopo.
No painel Refinar escopo, selecione Escopo por armazenamento.
Selecione a visualização de registros com as entradas que você quer ver. Por exemplo, para exibir todas as entradas de registro, selecione a visualização chamada _AllLogs.
Clique em Aplicar.

A Análise de registros é atualizada para mostrar as entradas do seu bucket de registros. Para informações sobre como usar a Análise de registros, consulte Como usar a Análise de registros.