Logs Ihrer Organisation zusammenfassen und speichern

In diesem Dokument wird beschrieben, wie Sie die Logs, die von den in Ihrer Google Cloud-Organisation enthaltenen Ressourcen generiert wurden, mithilfe einer aggregierten Senke verwalten, die nicht abfängt.

Sie können eine aggregierte Senke so konfigurieren, dass sie abfängt oder nicht abfängt, je nachdem, ob Sie steuern möchten, welche Logs abgefragt oder über die Senken in untergeordneten Ressourcen weitergeleitet werden können. In dieser Anleitung erstellen Sie eine aggregierte Senke, die die Audit-Logs Ihrer Organisation an einen Log-Bucket weiterleitet. Sie können den Filter der Senke so konfigurieren, dass andere Arten von Logeinträgen weitergeleitet werden. Weitere Informationen zu aggregierten Senken finden Sie unter Logs auf Organisations- und Ordnerebene sortieren und an unterstützte Ziele weiterleiten.

In dieser Anleitung führen Sie die folgenden Schritte aus:

Cloud Logging-Bucket zum Speichern der zusammengefassten Logs erstellen
Eine nicht abfangende aggregierte Senke auf Organisationsebene erstellen, um die Logs an den neuen Log-Bucket weiterzuleiten.
Lesezugriff auf den neuen Log-Bucket konfigurieren.
Logs über die Seite „Log-Explorer“ abfragen und ansehen.

Hinweise

Prüfen Sie dabei Folgendes:

Sie haben eine der folgenden IAM-Rollen für die Google Cloud-Organisation oder den Google Cloud-Ordner, von dem Sie Logs weiterleiten.
- Inhaber (roles/owner)
- Logging-Administrator (roles/logging.admin)
- Autor von Log-Konfigurationen (roles/logging.configWriter)
Mit den in diesen Rollen enthaltenen Berechtigungen können Sie Senken erstellen, löschen oder ändern. Informationen zum Festlegen von IAM-Rollen finden Sie in der Anleitung zur Zugriffssteuerung in Logging.
Wenn Sie VPC Service Controls verwenden, müssen Sie dem Dienstperimeter eine Regel für eingehenden Traffic hinzufügen. Weitere Informationen zu den Einschränkungen von VPC Service Controls finden Sie unter Aggregierte Senken und Einschränkungen von VPC Service Controls.

Log-Bucket erstellen

Log-Buckets speichern von anderen Google Cloud-Projekten, Ordnern oder Organisationen weitergeleitete Logs. Weitere Informationen finden Sie unter Log-Buckets konfigurieren.

So erstellen Sie den Log-Bucket im Google Cloud-Projekt, in dem Sie Logs aggregieren möchten:

Rufen Sie die Google Cloud Console auf oder klicken Sie auf die folgende Schaltfläche:
Zur Google Cloud Console
Führen Sie in einem Cloud Shell-Terminal den folgenden Befehl aus, um einen Log-Bucket zu erstellen. Ersetzen Sie dabei die Variablen durch die entsprechenden Werte:
```
 gcloud logging buckets create all-audit-logs-bucket \
   --location=global \
   --project=logs-test-project
```
Hinweis: Nachdem Sie den Log-Bucket erstellt haben, können Sie die Region des Buckets nicht mehr ändern.

Prüfen Sie, ob der Log-Bucket erstellt wurde:

gcloud logging buckets list --project=logs-test-project

Optional: Legen Sie die Aufbewahrungsdauer für die Logs im Bucket fest. In diesem Beispiel wird die Aufbewahrung von im Bucket gespeicherten Logs auf 365 Tage verlängert:
```
gcloud logging buckets update all-audit-logs-bucket --location=global --project=logs-test-project --retention-days=365
```

Senke erstellen

Sie können Logs durch Erstellen einer Senke an einen Log-Bucket weiterleiten. Eine Senke enthält einen Einschlussfilter, einen optionalen Ausschlussfilter und ein Ziel. In dieser Anleitung ist das Ziel der Log-Bucket all-audit-logs-bucket. Weitere Informationen zu Senken finden Sie unter Logs an unterstützte Ziele weiterleiten.

Senke auf Organisationsebene einrichten

Führen Sie folgende Schritte aus, um eine Senke zu erstellen.

Führen Sie den folgenden Befehl aus und ersetzen Sie die Variablen durch die entsprechenden Werte:
```
gcloud logging sinks create all-audit-logs-sink \
logging.googleapis.com/projects/logs-test-project/locations/global/buckets/all-audit-logs-bucket \
  --log-filter='logName:cloudaudit.googleapis.com' \
  --description="All audit logs from my org log sink" \
  --organization=12345 \
  --include-children
```
Das Flag --include-children ist wichtig, damit Logs aus allen Google Cloud-Projekten innerhalb Ihrer Organisation berücksichtigt werden. Weitere Informationen finden Sie unter Logs auf Organisationsebene sortieren und an unterstützte Ziele weiterleiten.

Hinweis: Die von Ihnen erstellte Senke, die nicht abfängt, leitet Logeinträge nicht an den Log-Bucket weiter. Stattdessen werden die Logeinträge im Log-Bucket gespeichert, aber auch zum Routing durch Senken auf Projektebene an das ursprüngliche Projekt gesendet. Daher wird ein Logeintrag möglicherweise in mehreren Log-Buckets gespeichert. Damit keine Duplikate von Logs gespeichert werden, können Sie entweder eine abfangende Senke erstellen oder der Senke auf Projektebene einen Ausschlussfilter hinzufügen.

Prüfen Sie, ob die Senke erstellt wurde:

gcloud logging sinks list --organization=12345

Rufen Sie den Namen des Dienstkontos ab:

gcloud logging sinks describe all-audit-logs-sink --organization=12345

Die Ausgabe sieht dann ungefähr so aus:

writerIdentity: serviceAccount:o1234567890-12345@gcp-sa-logging.iam.gserviceaccount.com

Kopieren Sie den gesamten String für writerIdentity ab serviceAccount:.

Hinweis: Zum Weiterleiten von Logs an eine Ressource, die durch einen Dienstperimeter geschützt ist, müssen Sie das Dienstkonto für diese Senke einer Zugriffsebene hinzufügen und es dann dem Zieldienstperimeter zuweisen. Dies ist für nicht aggregierte Senken nicht erforderlich. Weitere Informationen finden Sie unter VPC Service Controls: Cloud Logging.

Zugriff auf die Senke gewähren

Nachdem Sie die Senke erstellt haben, müssen Sie ihr die Berechtigung zum Schreiben in den Log-Bucket erteilen. Dazu können Sie entweder die Google Cloud Console oder die IAM-Richtlinie (Identity and Access Management) manuell bearbeiten, wie unter Zielberechtigungen festlegen beschrieben.

In dieser Anleitung legen wir die Berechtigungen über die Google Cloud Console mithilfe der folgenden Schritte fest.

Wählen Sie im Navigationsbereich der Google Cloud Console IAM aus:
Zu IAM
Sie müssen das Google Cloud-Zielprojekt ausgewählt haben, das den Bucket auf Organisationsebene enthält, mit dem Sie die Logs aggregieren.
Klicken Sie auf Zugriff erlauben.
Fügen Sie im Feld Neue Hauptkonten das Dienstkonto ohne das Präfix serviceAccount: hinzu.
Wählen Sie im Menü Rolle auswählen die Option Log-Bucket-Autor aus.
Klicken Sie auf Speichern.

Generieren Sie Logs, um die Senkenprüfung zu unterstützen

Wenn die Senke Audit-Logs verwendet, können Sie prüfen, ob die Senke Logs korrekt weiterleitet, indem Sie eine VM in einem anderen Google Cloud-Projekt starten und dann die VM herunterfahren, um zu sehen, ob dieses Ereignis in den Logs erscheint.

Wenn Sie bereits viele Google Cloud-Projekte in Ihrer Organisation haben, haben Sie möglicherweise genügend Audit-Log-Traffic, sodass dieser Schritt nicht erforderlich ist.

Lesezugriff auf den neuen Log-Bucket konfigurieren

Da die Senke jetzt Logs von Ihrer gesamten Organisation an Ihren Log-Bucket weiterleitet, können Sie in allen diesen Logs suchen. Mithilfe von Logansichten können Sie einschränken, wer Zugriff auf die Logs in Ihren Log-Buckets hat. Dazu erstellen Sie eine Logansicht und weisen Hauptkonten die IAM-Rolle roles/logging.viewAccessor zu.

In dieser Anleitung legen wir die Berechtigungen über die Google Cloud Console mithilfe der folgenden Schritte fest.

Wählen Sie im Navigationsbereich der Google Cloud Console IAM aus:
Zu IAM

Achten Sie darauf, dass Sie das Google Cloud-Projekt ausgewählt haben, das Sie zum Zusammenfassen der Logs verwenden.
Klicken Sie auf Hinzufügen.
Geben Sie im Feld Neues Hauptkonto Ihr E-Mail-Konto ein.
Wählen Sie im Menü Rolle auswählen die Option Zugriffsfunktion für Logansichten aus.

Diese Rolle bietet einem Hauptkonto Lesezugriff auf Logansichten in Log-Buckets im Google Cloud-Projekt. Wenn Sie den Zugriff eines Nutzers einschränken möchten, erstellen Sie eine Logansicht oder wählen Sie eine vorhandene aus. Fügen Sie dann eine Bedingung hinzu, mit der der Nutzer nur aus dem neuen Log-Bucket lesen kann:
1. Klicken Sie auf Bedingung hinzufügen.
2. Geben Sie für die Bedingung einen Titel und eineBeschreibung ein.
3. Wählen Sie im Menü Bedingungstyp die Option Ressource und dann Name aus.
4. Wählen Sie im Menü Operator die Option Endet mit aus.
5. Geben Sie im Feld Wert den Namen der Logansicht ein. Informationen zu Logansichten finden Sie unter Logansichten für einen Log-Bucket konfigurieren.
  
  Der Name einer Logansicht hat das folgende Format:
```
locations/global/buckets/all-audit-logs-bucket/views/view_id
```
6. Klicken Sie auf Speichern, um die Bedingung hinzuzufügen.
Klicken Sie auf Speichern, um die Berechtigungen festzulegen.

Logs über die Log-Explorer-Seite suchen

Nachdem Sie die Berechtigungen im vorherigen Abschnitt festgelegt haben, rufen Sie die Google Cloud Console auf und führen Sie die folgenden Schritte aus:

Wählen Sie im Navigationsbereich der Google Cloud Console Logging und anschließend Log-Explorer aus:
Zum Log-Explorer
Wählen Sie Bereich eingrenzen aus.
Wählen Sie unter Bereich eingrenzen die Option Bereich nach Speicher aus.
Wählen Sie all-audit-logs-bucket aus.
Klicken Sie auf Anwenden.

Der Log-Explorer wird aktualisiert und zeigt Logs aus dem Log-Bucket an.

Informationen zur Verwendung des Log-Explorers finden Sie unter Log-Explorer verwenden.