Logs Ihrer Organisation zusammenfassen und speichern

Für die Verwaltung der Logs Ihrer Google Cloud-Organisation können Sie diese in Ihrer Organisation in einem einzigen Cloud Logging-Bucket zusammenfassen.

In diesem Dokument wird der Prozess anhand des Beispiels für das Zusammenfassen der Audit-Logs einer Organisation beschrieben.

Dieser Vorgang umfasst folgende Schritte:

Cloud Logging-Bucket zum Speichern der zusammengefassten Logs erstellen
Senke auf Organisationsebene erstellen, um Logs an den neuen Bucket weiterzuleiten
Lesezugriff für den neuen Bucket konfigurieren
Logs über die Logs-Explorer-Seite suchen

Hinweis

Zum Ausführen der Schritte in diesem Leitfaden muss Folgendes bekannt sein:

Das Cloud-Projekt, in dem Sie die Logs zusammenfassen möchten. Im Beispiel in dieser Anleitung verwenden wir ein Cloud-Projekt mit dem Namen logs-test-project.
Der Name und der Speicherort des Logging-Buckets, in dem Sie Logs zusammenfassen. In diesem Beispiel lautet der Bucket-Name all-audit-logs-bucket, der Standort ist global.
Die Logs, die Sie einschließen möchten. In diesem Beispiel berücksichtigen wir alle Audit-Logs, logName:cloudaudit.googleapis.com.
Der Name der Senke, die diese Logs weiterleitet. In diesem Beispiel ist der Name der Senke all-audit-logs-sink.
Die Organisationsnummer Ihres Projekts. In diesem Beispiel lautet die Organisationsnummer 12345.
Die ID der Protokollansicht. In diesem Beispiel lautet die ID der Datenansicht view_id.

Bucket erstellen

In Cloud Logging-Buckets werden die Logs gespeichert, die von anderen Cloud-Projekten, Ordnern oder Organisationen weitergeleitet werden. Weitere Informationen finden Sie unter Log-Buckets konfigurieren.

Führen Sie folgende Schritte aus, um den Bucket in dem Cloud-Projekt zu erstellen, in dem Sie Logs zusammenfassen möchten:

Öffnen Sie die Google Cloud Console in dem Cloud-Projekt, das Sie zum Aggregieren der Logs verwenden.

Zur Google Cloud Console
Führen Sie in einem Cloud Shell-Terminal folgenden Befehl aus, um einen Bucket zu erstellen. Ersetzen Sie dabei die Variablen durch die entsprechenden Werte:
```
 gcloud logging buckets create all-audit-logs-bucket \
   --location=global \
   --project=logs-test-project
```
Hinweis: Nachdem Sie den Bucket erstellt haben, können Sie die Region des Buckets nicht mehr ändern.

Prüfen Sie, ob der Bucket erstellt wurde:

gcloud logging buckets list --project=logs-test-project

(Optional) Legen Sie die Aufbewahrungsdauer der Logs im Bucket fest. In diesem Beispiel wird die Aufbewahrung von im Bucket gespeicherten Logs auf 365 Tage verlängert:
```
gcloud logging buckets update all-audit-logs-bucket --location=global --project=logs-test-project --retention-days=365
```

Senke erstellen

Um Logs zu einem Bucket zu leiten, können Sie eine Senke erstellen. Eine Senke enthält einen Einschlussfilter, einen optionalen Ausschlussfilter und ein Ziel. Weitere Informationen zu Senken finden Sie unter Logs an unterstützte Ziele weiterleiten.

In dieser Anleitung ist das Ziel unser Bucket mit Namen "all-audit-logs-bucket".

Senke auf Organisationsebene einrichten

Führen Sie folgende Schritte aus, um eine Senke zu erstellen.

Führen Sie den folgenden Befehl aus und ersetzen Sie die Variablen durch die entsprechenden Werte:
```
gcloud logging sinks create all-audit-logs-sink \
logging.googleapis.com/projects/logs-test-project/locations/global/buckets/all-audit-logs-bucket \
  --log-filter='logName:cloudaudit.googleapis.com' \
  --description="All audit logs from my org log sink" \
  --organization=12345 \
  --include-children
```
Das Flag --include-children ist wichtig, damit Logs aus allen Cloud-Projekten innerhalb Ihrer Organisation berücksichtigt werden. Weitere Informationen finden Sie unter Logs auf Organisationsebene verknüpfen und an unterstützte Ziele weiterleiten.

Hinweis: Wenn Sie Logs an diesen neuen Bucket leiten, bedeutet das nicht, dass Ihre Logs an den Bucket weitergeleitet werden. Stattdessen werden Ihre Logs zweimal gespeichert, im übergeordneten Cloud-Projekt und im Bucket. Um dieses doppelte Speichern von Logs zu vermeiden, fügen Sie einen Ausschlussfilter in der _Default-Senke jedes untergeordneten Cloud-Projekts in der Organisation hinzu.

Prüfen Sie, ob die Senke erstellt wurde:

gcloud logging sinks list --organization=12345

Rufen Sie den Namen des Dienstkontos ab:

gcloud logging sinks describe all-audit-logs-sink --organization=12345

Die Ausgabe sieht dann ungefähr so aus:

writerIdentity: serviceAccount:p1234567890-12345@gcp-sa-logging.iam.gserviceaccount.com

Kopieren Sie den gesamten String für writerIdentity ab serviceAccount:.

Hinweis: Wenn Sie Logs an eine Ressource weiterleiten möchten, die durch einen Dienstperimeter geschützt ist, müssen Sie das Dienstkonto für diese Senke einer Zugriffsebene hinzufügen und dann dem Zieldienstperimeter zuweisen. Dies ist für nicht aggregierte Senken nicht erforderlich. Weitere Informationen finden Sie unter VPC Service Controls: Cloud Logging.

Zugriff auf die Senke gewähren

Nachdem Sie die Senke erstellt haben, müssen Sie ihr Schreibzugriff auf den Bucket gewähren. Dazu können Sie entweder die Google Cloud Console verwenden oder die IAM-Richtlinie (Identity and Access Management) manuell bearbeiten, wie unter Zielberechtigungen festlegen beschrieben.

In diesem Leitfaden werden die Berechtigungen über die Google Cloud Console festgelegt. Dabei gehen Sie so vor:

Öffnen Sie in der Google Cloud Console die Seite „IAM“.

Zur Seite „IAM“
Achten Sie darauf, dass Sie das Cloud-Zielprojekt ausgewählt haben, das den Bucket auf Organisationsebene enthält, den Sie zum Aggregieren der Logs verwenden.
Klicken Sie auf Zugriff gewähren.
Fügen Sie im Feld Neue Hauptkonten das Dienstkonto ohne das Präfix serviceAccount: hinzu.
Wählen Sie im Drop-down-Menü Rolle auswählen die Option Log-Buckets-Autor.
Klicken Sie auf Speichern.

Generieren Sie Logs, um die Senkenprüfung zu unterstützen

Wenn Ihre Senke Audit-Logs nutzt, können Sie prüfen, ob die Senke die Logs korrekt weiterleitet. Starten Sie dazu z. B. eine VM in einem anderen Cloud-Projekt und fahren Sie diese dann herunter, um zu sehen, ob dieses Ereignis in den Logs auftaucht.

Wenn in Ihrer Organisation bereits viele Cloud-Projekte vorhanden sind, haben Sie möglicherweise genügend Audit-Log-Traffic, um diesen Schritt nicht ausführen zu müssen.

Lesezugriff für den neuen Bucket konfigurieren

Da Ihre Senke jetzt Logs aus Ihrer gesamten Organisation in Ihren Bucket weiterleitet, können Sie über alle diese Logs hinweg Suchen durchführen. Sie müssen Lesezugriff gewähren, um die Ansichten im neuen Bucket zu sehen, insbesondere durch Hinzufügen der IAM-Rolle roles/logging.viewAccessor.

In diesem Leitfaden werden die Berechtigungen in der Google Cloud Console anhand der folgenden Schritte festgelegt.

Öffnen Sie in der Google Cloud Console die Seite „IAM“.

Zur Seite „IAM“

Achten Sie darauf, dass Sie das Cloud-Projekt ausgewählt haben, das Sie zum Zusammenfassen der Logs verwenden.
Klicken Sie auf Hinzufügen.
Geben Sie im Feld Neues Hauptkonto Ihr E-Mail-Konto ein.
Wählen Sie im Drop-down-Menü Rolle auswählen die Option Logs-Ansicht-Zgriffsfunktion.

Diese Rolle gibt dem neu hinzugefügten Hauptkonto Lesezugriff auf alle Ansichten für alle Buckets im Cloud-Projekt. Wenn Sie den Zugriff eines Nutzers einschränken möchten, erstellen Sie eine Logansicht oder wählen Sie eine vorhandene aus und fügen Sie eine Bedingung hinzu, die dem Nutzer nur ermöglicht, aus dem neuen Bucket zu lesen:
1. Klicken Sie auf Bedingung hinzufügen.
2. Geben Sie für die Bedingung einen Titel und eineBeschreibung ein.
3. Wählen Sie im Drop-down-Menü Bedingungstyp die Option Ressource > Name.
4. Wählen Sie im Drop-down-Menü Operator die Option Endet mit.
5. Geben Sie im Feld Wert den Standort des Buckets, den Bucket-Namensteil der Bucket-ID und die Ansichts-ID ein. Sie finden die ID der Logansicht, wenn Sie sie auflisten. Weitere Informationen finden Sie unter Logansichten auflisten.
  
  Beispiel:
```
locations/global/buckets/all-audit-logs-bucket/view/view_id
```
6. Klicken Sie auf Speichern, um die Bedingung hinzuzufügen.
Klicken Sie auf Speichern, um die Berechtigungen festzulegen.

Logs über die Log-Explorer-Seite suchen

Nachdem Sie die Berechtigungen im vorherigen Abschnitt festgelegt haben, rufen Sie die Google Cloud Console auf und führen die folgenden Schritte aus:

Wählen Sie im Logging-Menü für das Cloud-Projekt, das Sie zum Zusammenfassen der Logs verwenden, die Option Log-Explorer aus.

Zum Log-Explorer
Wählen Sie Bereich eingrenzen aus.
Wählen Sie unter Bereich eingrenzen die Option Bereich nach Speicher aus.
Wählen Sie "all-audit-logs-bucket".
Klicken Sie auf Anwenden.
Der Log-Explorer wird aktualisiert und zeigt die Logs Ihres Buckets an.

Informationen zur Verwendung des Log-Explorers finden Sie unter Log-Explorer verwenden.