Exportações agregadas

Você pode criar um coletor de exportação agregado capaz de exportar entradas de registro de todos os projetos, pastas e contas de faturamento da organização. Como exemplo, você pode usar esse recurso para exportar entradas de registro de auditoria dos projetos da organização para um local central.

Conceito

Sem o recurso de exportação agregado, um coletor de exportação limita-se a exportar entradas de registro do recurso exato em que o coletor foi criado: um projeto, uma organização, pasta ou conta de faturamento.

Com o recurso de exportação agregada, se você criar um coletor em uma organização ou pasta e definir o parâmetro includeChildren como True, esse coletor poderá exportar entradas de registro da organização ou pasta. Além disso, poderá exportar também (recursivamente) de qualquer pasta, conta de faturamento ou projeto contidos. Você pode usar o filtro do coletor para escolher entradas de registro de projetos, tipos de recursos ou registros específicos.

Para ver informações sobre como exportar e criar coletores, consulte Como exportar registros na API e Como usar a ferramenta de linha de comando para criar coletores.

Como criar o destino da exportação

O destino de exportação dos coletores de registros precisa ter sido criado antes do coletor, por meio do Cloud SDK, do Console do Cloud ou das APIs Cloud.

Os destinos compatíveis pelos coletores de exportação são estes:

O destino de exportação pode ser criado em qualquer projeto do GCP, em qualquer organização, desde que a conta de serviço do coletor de registros tenha permissões para gravar no destino de exportação.

Como criar um coletor de exportação agregado

Para criar um coletor de exportação agregado em pastas, contas de faturamento ou organizações, é possível usar o Google Cloud Endpoints ou a ferramenta de linha de comando gcloud.

API Logging

Para criar um coletor de geração de registros, use organizations.sinks.create, folders.sinks.create ou billingAccounts.sinks.create na API Stackdriver Logging. Prepare os argumentos para o método da seguinte maneira:

  1. Defina o parâmetro parent para ser a organização, a pasta ou a conta de faturamento em que você precisa criar o coletor. O pai precisa ser um dos seguintes parâmetros:

    organizations/[ORGANIZATION_ID]
    folders/[FOLDER_ID]
    billingAccounts/[BILLING_ACCOUNT_ID]
    

    Observações:

    • Você precisa ter o papel Gravador de configuração de registros do IAM para que o pai crie o coletor. Para saber mais informações sobre os papéis IAM do Stackdriver Logging, consulte o Guia de controle de acesso.
  2. No objeto LogSink no corpo da solicitação do método:

    • Defina includeChildren como verdadeiro.

    • Defina a propriedade filter, tendo em mente que as entradas de registro de todos os projetos serão comparadas com o filtro.

      Para ver alguns exemplos de filtros úteis, consulte Como usar filtros com exportações agregadas nesta página.

    • Defina os campos restantes do LogSink como faria para qualquer coletor. Para saber mais informações, consulte Como criar coletores.

  3. Chame organizations.sinks.create ou folders.sinks.create para criar o coletor.

  4. Recupere o nome da conta de serviço usado para criar o coletor com base na resposta de API.

  5. Dê permissão a essa conta de serviço para gravar no destino de exportação.

    Se você não tiver permissão para fazer essa alteração no destino de exportação, envie o nome da conta de serviço para alguém que possa fazê-la para você.

    Para mais informações sobre concessão de permissões a contas de serviço para recursos, consulte Como conceder papéis para contas de serviço.

Cloud SDK

Para criar um coletor de geração de registros, use o comando logging sinks create.

  1. Forneça o nome do coletor, o destino de exportação, o filtro de registros e o código da pasta, a conta de faturamento ou a organização.

    Por exemplo, configure uma exportação agregada no nível da pasta assim:

    gcloud logging sinks create [SINK_NAME]  \
    storage.googleapis.com/my-folder-bucket --include-children \
    --folder=[FOLDER_ID] --log-filter="logName:activity"
    

    Observações:

    • Para criar um coletor no nível da organização, substitua --folder=[FOLDER_ID] por --organization=[ORG_ID]. Para uma conta de faturamento, substitua por --billing-account=[BILLING_ACCOUNT_ID].

    • Para que o coletor inclua todos os projetos da organização, a sinalização --include-children precisa ser definida, mesmo quando a sinalização --organization for passada para create. Quando for definido como falso (padrão), um coletor exportará apenas registros do recurso host.

    • Você precisa ter o papel Gravador de configuração de registros do IAM para que o pai crie o coletor. Para saber mais informações sobre os papéis IAM do Stackdriver Logging, consulte o Guia de controle de acesso.

    • Para ver alguns exemplos de filtros úteis, consulte Como usar filtros com exportações agregadas nesta página.

  2. Recupere o nome da conta de serviço usado para criar o coletor com base na saída do comando.

  3. Dê permissão a essa conta de serviço para gravar no destino de exportação.

    Se você não tiver permissão para fazer essa alteração no destino de exportação, envie o nome da conta de serviço para alguém que possa fazê-la para você.

    Para mais informações sobre concessão de permissões a contas de serviço para recursos, consulte Como conceder papéis para contas de serviço.

Como usar filtros com exportações agregadas

Como qualquer coletor, o de exportação agregado contém um filtro que seleciona entradas de registro individuais. Veja a seguir alguns exemplos de comparações de filtros que são úteis ao usar o recurso de exportação agregado. Para mais detalhes sobre filtros, consulte Filtros de registros avançados. Alguns exemplos utilizam a seguinte notação:

  • : é o operador de substring. Não substitua o operador =.
  • ... representa qualquer comparação de filtros adicional.

Como selecionar registros de auditoria

Para exportar registros de auditoria, escolha uma das comparações de amostra a seguir. A primeira alternativa seleciona registros de auditoria de Atividade do administrador e de Acesso a dados:

logName:"/logs/cloudaudit.googleapis.com" AND ...
logName:"/logs/cloudaudit.googleapis.com%2Factivity" AND ...
logName:"/logs/cloudaudit.googleapis.com%2Fdata_access" AND ...

Para mais informações sobre registros de auditoria, consulte Geração de registros de auditoria do Cloud.

Como selecionar projetos

Para exportar registros de pastas, organizações ou projetos específicos, use uma das seguintes comparações de amostra:

logName:"projects/[PROJECT_ID]/logs/" AND ...
logName:("projects/[PROJ_A]/logs/" OR "projects/[PROJ_B]/logs/") AND ...
logName:"folders/[FOLDER_ID]/logs/" AND ...
logName:"organizations/[ORGANIZATION_ID]/logs/" AND ...

Como selecionar recursos

Para exportar registros a partir de apenas um recurso específico em um projeto, use várias comparações para especificar o recurso de maneira exata:

logName:"projects/[PROJECT_ID]/logs" AND
  resource.type=[RESOURCE_TYPE] AND
  resource.labels.instance_id=[INSTANCE_ID]

Para ver uma lista de tipos de recursos, consulte Lista de recursos monitorados.

Amostragem de entradas de registro

Para exportar uma amostra aleatória de entradas de registro, adicione a função incorporada sample. Por exemplo, para exportar apenas 10% das entradas de registro correspondentes ao seu filtro atual, use esta adição:

sample(insertId, 0.10) AND ...

Para mais informações, consulte a Função de amostra.

Para mais informações sobre filtros do Stackdriver Logging, consulte Filtros de registro avançados.

Esta página foi útil? Conte sua opinião sobre:

Enviar comentários sobre…

Stackdriver Logging
Precisa de ajuda? Acesse nossa página de suporte.