Esta página foi traduzida pela API Cloud Translation.
Switch to English

Como armazenar registros da sua organização em um bucket de registros

Nesta página, descrevemos como armazenar seus registros em um único bucket de registros. Uma maneira comum de gerenciar os registros é agregá-los de toda a organização em um único bucket de registros. Este guia explica esse processo usando o exemplo de agregação de todos os registros de auditoria.

Esse processo envolve as seguintes etapas:

  1. Criar o bucket de registros para armazenar os registros agregados.

  2. Criação do coletor no nível da organização para encaminhar os registros para o novo bucket.

  3. Configurar o acesso de leitura para o novo bucket de registros.

  4. Como pesquisar registros na página do Explorador de registros.

Antes de começar

Para concluir as etapas deste guia, você precisa saber o seguinte:

  • Em qual projeto você quer agregar os registros? Neste exemplo, usamos um projeto chamado logs-test-project.

  • Qual é o nome e o local do bucket de registros para agregar registros? Neste exemplo, o nome do bucket é all-audit-logs-bucket e o local é global.

  • Quais registros você quer incluir? Neste exemplo, incluímos todos os registros de auditoria, logName:cloudaudit.googleapis.com.

  • Qual é o nome do coletor que coleta esses registros? Neste exemplo, o nome do coletor é all-audit-logs-sink.

  • Qual é o número da organização? Neste exemplo, o número da organização é 12345.

Como criar o bucket de registros

Os buckets de registros armazenam os registros encaminhados de outros projetos, pastas ou organizações. Para mais informações, consulte Buckets de registros.

Para criar o bucket no projeto em que você quer agregar registros, conclua as etapas a seguir:

  1. Abra o Console do Google Cloud no projeto que você está usando para agregar os registros.

    Ir para o Google Cloud Console

  2. Em um terminal do Cloud Shell, execute o seguinte comando para criar um bucket, substituindo as partes em negrito pelas suas próprias informações:

     gcloud logging buckets create all-audit-logs-bucket \
       --location=global \
       --project=logs-test-project
    
  3. Verifique se o bucket foi criado:

    gcloud logging buckets list --project=logs-test-project
    
  4. Também é possível definir o período de armazenamento dos registros no bucket. Este exemplo estende a retenção de registros armazenados no bucket para 365 dias:

    gcloud logging buckets update all-audit-logs-bucket --location=global --project=logs-test-project --retention-days=365
    

Como criar o coletor de registros

É possível rotear registros para um bucket de registros criando um coletor de registros. Um coletor inclui um filtro de registros, que seleciona quais entradas de registro serão exportadas por meio desse coletor e um destino. Neste guia, o destino de exportação é nosso bucket, all-audit-logs-bucket.

Como configurar o coletor no nível da organização

Para criar um coletor, conclua os passos a seguir.

  1. Execute o seguinte comando, substituindo as partes em negrito por suas próprias informações:

    gcloud logging sinks create all-audit-logs-sink \
    logging.googleapis.com/projects/logs-test-project/locations/global/buckets/all-audit-logs-bucket \
      --log-filter='logName:cloudaudit.googleapis.com' \
      --description="All audit logs from my org log sink" \
      --organization=12345 \
      --include-children
    

    A sinalização --include-children é importante para que os registros de todos os projetos da sua organização também sejam incluídos. Para mais informações, consulte o guia Coletores agregados.

  2. Verifique se o coletor foi criado:

    gcloud logging sinks list --organization=12345
    
  3. Consiga o nome da conta de serviço:

    gcloud logging sinks describe all-audit-logs-sink --organization=12345
    

    A resposta será semelhante a:

    writerIdentity: serviceAccount:p1234567890-12345@gcp-sa-logging.iam.gserviceaccount.com
    
  4. Copie toda a string para writerIdentity que começa com serviceAccount:.

Como definir permissões para o coletor

Depois de criar o coletor, será necessário conceder acesso ao coletor para gravar no bucket. Faça isso por meio do Console do Cloud ou edite a política de gerenciamento de identidade e acesso (IAM) manualmente, conforme descrito em Como gerenciar buckets de registros.

Neste guia, definimos as permissões por meio do Console do Cloud usando as etapas a seguir.

  1. No Console do Cloud, acesse a página IAM.

    Acessar a página do IAM

  2. Clique em Adicionar.

  3. No campo Novo membro, adicione a conta de serviço sem o prefixo serviceAccount:.

  4. No menu suspenso Selecionar um papel, selecione Gravador de buckets de registros.

  5. Clique em Save.

Gerar registros para auxiliar na verificação do coletor

Se seu coletor estiver usando registros de auditoria, uma maneira de validar se o coletor está encaminhando registros de forma correta é iniciar uma VM em um projeto diferente e depois desativar essa VM para ver se esse evento aparece nos registros. .

Se você já tiver muitos projetos na sua organização, talvez tenha o tráfego de registro de auditoria suficiente. Essa etapa não é necessária.

Como configurar o acesso de leitura no novo bucket de registros

Agora que você tem roteamento de registros de toda a organização no bucket, está pronto para pesquisar em todos esses registros. Você precisa conceder acesso de leitura para ver as visualizações no novo bucket, especificamente no papel logs views accessor.

Neste guia, definimos as permissões por meio do Console do Cloud usando as etapas a seguir.

  1. No Console do Cloud do projeto que você está usando para agregar os registros, acesse a página do IAM.

    Acessar a página do IAM

  2. Clique em Adicionar.

  3. No campo Novo membro, adicione sua conta de e-mail.

  4. No menu suspenso Selecionar um papel, selecione Acessador de visualizações de registros.

    Este papel fornece aos usuários acesso de leitura a todas as visualizações. Para limitar o acesso do usuário a um bucket específico, adicione uma condição com base no nome do recurso.

    1. Clique em Adicionar condição.

    2. Insira um Título e uma Descrição para a condição.

    3. No menu suspenso Tipo de condição, selecione Recurso > Nome.

    4. No menu suspenso Operador, selecione Encerra com.

    5. No campo Valor, insira o local e a parte do nome do ID do bucket.

      Exemplo:

      locations/global/buckets/all-audit-logs-bucket
      
    6. Clique em Salvar para adicionar a condição.

  5. Clique em Salvar para definir as permissões.

Como pesquisar registros na página do Explorador de registros

Depois de definir as permissões na seção anterior, acesse o Console do Cloud e conclua as etapas a seguir.

  1. No menu do Logging do projeto que você está usando para agregar os registros, selecione Explorador de registros.

    Acessar o Explorador de registros

  2. Selecione Refinar escopo.

  3. No painel Refinar escopo, selecione Escopo por armazenamento.

  1. Selecione all-audit-logs-bucket.

  2. Clique em Aplicar.

  3. O Explorador de registros é atualizado para mostrar registros do bucket.

    Para mais informações sobre o uso, consulte Como usar o Explorador de registros.