Agrupe e armazene os registros da sua organização

Neste documento, descrevemos como gerenciar os registros gerados pelos recursos contidos na sua organização do Google Cloud usando um coletor agregado sem interceptação.

É possível configurar um coletor agregado para interceptar ou não, dependendo se você quer controlar quais registros podem ser consultados ou ser roteados pelos coletores em recursos filhos. Neste tutorial, você criará um coletor agregado que roteia os registros de auditoria da sua organização para um bucket de registros. É possível configurar o filtro do coletor para rotear outros tipos de entradas de registro. Para mais informações sobre coletores agregados, consulte Agrupar e rotear registros no nível da organização e da pasta para destinos compatíveis.

Neste tutorial, você vai executar as seguintes etapas:

Criação do bucket do Cloud Logging para armazenar os registros agregados.
Criar um coletor agregado sem interceptação no nível da organização para rotear os registros para o novo bucket de registros.
Configurar o acesso de leitura ao novo bucket de registros.
Consultar e visualizar os registros na página Análise de registros.

Antes de começar

Confirme os seguintes itens:

Você tem um dos seguintes papéis do IAM para a organização ou pasta do Google Cloud a partir da qual está roteando registros.
- Proprietário (roles/owner)
- Administrador do Logging (roles/logging.admin)
- Gravador de configuração de registros (roles/logging.configWriter)
As permissões contidas nesses papéis permitem criar, excluir ou modificar coletores. Para informações sobre como definir papéis do IAM, consulte o Guia de controle de acesso do Logging.
Se você usa o VPC Service Controls, adicione uma regra de entrada ao perímetro de serviço. Para mais informações sobre as limitações do VPC Service Controls, consulte Coletores agregados e limitações do VPC Service Controls.

crie um bucket de registros

Os buckets de registros armazenam os registros roteados de outras pastas, organizações ou projetos do Google Cloud. Para mais informações, acesse Configurar buckets de registros.

Para criar o bucket de registros no projeto do Google Cloud em que você quer agregar registros, conclua as seguintes etapas:

Navegue até o console do Google Cloud ou clique no botão a seguir:
Acessar o Console do Google Cloud
Em um terminal do Cloud Shell, execute o seguinte comando para criar um bucket de registros, substituindo as variáveis pelos valores apropriados:
```
 gcloud logging buckets create all-audit-logs-bucket \
   --location=global \
   --project=logs-test-project
```
Observação: depois de criar o bucket de registros, não será possível alterar a região dele.

Verifique se o bucket de registros foi criado:

gcloud logging buckets list --project=logs-test-project

Opcional: defina o período de armazenamento dos registros no bucket. Este exemplo estende a retenção de registros armazenados no bucket para 365 dias:
```
gcloud logging buckets update all-audit-logs-bucket --location=global --project=logs-test-project --retention-days=365
```

Criar o coletor

Crie um coletor para rotear os registros para um bucket de registros. Um coletor inclui um filtro de inclusão, um filtro de exclusão opcional e um destino. Neste tutorial, o destino é um bucket de registros, all-audit-logs-bucket. Para mais informações sobre coletores, consulte Rotear registros para destinos compatíveis.

Configurar o coletor no nível da organização

Para criar um coletor, conclua os passos a seguir.

Execute o comando a seguir, substituindo as variáveis pelos valores adequados:
```
gcloud logging sinks create all-audit-logs-sink \
logging.googleapis.com/projects/logs-test-project/locations/global/buckets/all-audit-logs-bucket \
  --log-filter='logName:cloudaudit.googleapis.com' \
  --description="All audit logs from my org log sink" \
  --organization=12345 \
  --include-children
```
A sinalização --include-children é importante para que os registros de todos os projetos do Google Cloud da sua organização também sejam incluídos. Para mais informações, consulte Agrupar e rotear registros no nível da organização para destinos compatíveis.

Observação: o coletor sem interceptação que você criou não redireciona as entradas de registro para o bucket de registros. Em vez disso, as entradas de registro são armazenadas no bucket de registros, mas também enviadas ao projeto de origem para roteamento por coletores no nível do projeto. Como resultado, uma entrada de registro pode ser armazenada em vários buckets. Para evitar o armazenamento de cópias duplicadas de registros, crie um coletor de interceptação ou adicione um filtro de exclusão ao coletor no nível do projeto.

Verifique se o coletor foi criado:

gcloud logging sinks list --organization=12345

Consiga o nome da conta de serviço:

gcloud logging sinks describe all-audit-logs-sink --organization=12345

A resposta será semelhante a:

writerIdentity: serviceAccount:o1234567890-12345@gcp-sa-logging.iam.gserviceaccount.com

Copie toda a string para writerIdentity que começa com serviceAccount:.

Observação: para rotear registros a um recurso protegido por um perímetro de serviço, é preciso adicionar a conta de serviço desse coletor a um nível de acesso e atribuí-la ao perímetro de serviço de destino. Isso não é necessário para coletores não agregados. Para detalhes, consulte VPC Service Controls: Cloud Logging.

Permitir acesso ao coletor

Depois de criar o coletor, conceda a ele permissão para gravar no bucket de registros. É possível fazer isso pelo console do Google Cloud ou editando manualmente a política do Identity and Access Management (IAM), conforme descrito em Definir permissões de destino.

Neste tutorial, definimos as permissões por meio do console do Google Cloud usando as etapas a seguir.

No painel de navegação do console do Google Cloud, selecione IAM:
Acessar o IAM
Verifique se você selecionou o projeto de destino do Google Cloud que contém o bucket no nível da organização que você está usando para agregar os registros.
Clique em CONCEDER ACESSO.
No campo Novos principais, adicione a conta de serviço sem o prefixo serviceAccount:.
No menu Selecionar um papel, escolha Gravador de bucket de registros.
Clique em Salvar.

Gerar registros para auxiliar na verificação do coletor

Se o coletor estiver usando registros de auditoria, uma maneira de validar se o coletor está roteando os registros corretamente é iniciar uma VM em um projeto diferente do Google Cloud e, em seguida, desativar essa VM para ver se esse evento aparece nos registros.

Se você já tiver muitos projetos do Google Cloud na sua organização, talvez tenha tráfego de registro de auditoria suficiente para que essa etapa não seja necessária.

Configure o acesso de leitura ao novo bucket de registros

Agora que o coletor encaminha os registros de toda a organização para o bucket, você está pronto para pesquisar todos esses registros. Use as visualizações de registros para restringir quem tem acesso aos registros nos buckets, criando uma visualização de registro e concedendo aos principais o papel do IAM roles/logging.viewAccessor.

Neste tutorial, definimos as permissões por meio do console do Google Cloud usando as etapas a seguir.

No painel de navegação do console do Google Cloud, selecione IAM:
Acessar o IAM

Verifique se você selecionou o projeto do Google Cloud que está usando para agregar os registros.
Clique em Adicionar.
No campo Novo principal, adicione sua conta de e-mail.
No menu Selecionar um papel, escolha Acessador de visualizações de registros.

Esse papel fornece ao principal com acesso de leitura às visualizações de registros em buckets de registros no projeto do Google Cloud. Para limitar o acesso de um usuário, crie ou selecione uma visualização de registros atual e adicione uma condição que permita que o usuário leia apenas o novo bucket de registros:
1. Clique em Adicionar condição.
2. Insira um Título e uma Descrição para a condição.
3. No menu Tipo de condição, selecione Recurso e, em seguida, Nome.
4. No menu Operador, selecione Termina com.
5. No campo Valor, digite o nome da visualização de registro. Saiba mais sobre as visualizações de registros em Configurar visualizações de registros em um bucket de registros.
  
  O nome de uma visualização de registro tem o seguinte formato:
```
locations/global/buckets/all-audit-logs-bucket/views/view_id
```
6. Clique em Salvar para adicionar a condição.
Clique em Salvar para definir as permissões.

Pesquisar registros na página do Explorador de registros

Depois de definir as permissões na seção anterior, acesse o console do Google Cloud e conclua as seguintes etapas:

No painel de navegação do console do Google Cloud, selecione Logging e clique em Análise de registros:
Acessar a Análise de registros
Selecione Refinar escopo.
No painel Refinar escopo, selecione Escopo por armazenamento.
Selecione all-audit-logs-bucket.
Clique em Aplicar.

A Análise de registros é atualizada para mostrar os registros do bucket de registros.

Para informações sobre como usar o Explorador de registros, consulte Como usar o Explorador de registros.