Cloud Run-Logs erfassen

Unterstützt in:

In diesem Leitfaden wird beschrieben, wie Sie Cloud Run-Logs mit Cloud Storage in Google Security Operations exportieren. Der Parser extrahiert Felder aus JSON-Logs und wandelt sie in das einheitliche Datenmodell (Unified Data Model, UDM) um. Er verarbeitet verschiedene Logformate, einschließlich HTTP-Anfragedaten und Systemaudit-Logs, ordnet relevante Felder dem UDM zu und ergänzt die Daten mit Labels und Metadaten, die spezifisch für Cloud Run sind.

Vorbereitung

Prüfen Sie, ob folgende Voraussetzungen erfüllt sind:

  • Google SecOps-Instanz
  • Cloud Run ist in Ihrer Google Cloud Umgebung eingerichtet und aktiv.
  • Privilegierter Zugriff auf Google Cloud.

Google Cloud Storage-Bucket erstellen

  1. Melden Sie sich in der Google Cloud Console an.

  2. Rufen Sie die Seite Cloud Storage-Buckets auf.

    Buckets aufrufen

  3. Klicken Sie auf Erstellen.

  4. Geben Sie auf der Seite Bucket erstellen die Bucket-Informationen ein. Klicken Sie nach jedem der folgenden Schritte auf Weiter, um mit dem nächsten Schritt fortzufahren:

    1. Führen Sie im Abschnitt Einstieg die folgenden Schritte aus:

      1. Geben Sie einen eindeutigen Namen ein, der die Anforderungen an Bucket-Namen erfüllt, z. B. cloudrun-logs.

      2. Wenn Sie den hierarchischen Namespace aktivieren möchten, klicken Sie auf den Maximierungspfeil , um den Bereich Für dateiorientierte und datenintensive Arbeitslasten optimieren zu maximieren, und wählen Sie dann Hierarchischen Namespace für diesen Bucket aktivieren aus.

      3. Wenn Sie ein Bucket-Label hinzufügen möchten, klicken Sie auf den Maximierungspfeil , um den Bereich Labels zu maximieren.

      4. Klicken Sie auf Label hinzufügen und geben Sie einen Schlüssel und einen Wert für das Label an.

    2. Gehen Sie im Bereich Speicherort für Daten auswählen so vor:

      1. Wählen Sie einen Standorttyp aus.

      2. Wählen Sie im Menü für den Standorttyp einen Standort aus, an dem die Objektdaten in Ihrem Bucket dauerhaft gespeichert werden sollen.

      3. Wenn Sie die Bucket-übergreifende Replikation einrichten möchten, maximieren Sie den Bereich Bucket-übergreifende Replikation einrichten.

    3. Im Abschnitt Speicherklasse für Ihre Daten auswählen wählen Sie entweder Standardspeicherklasse für den Bucket oder Autoclass zur automatischen Verwaltung der Speicherklassen Ihrer Bucket-Daten aus.

    4. Wählen Sie im Abschnitt Zugriff auf Objekte steuern die Option nicht aus, um die Verhinderung des öffentlichen Zugriffs zu erzwingen, und wählen Sie ein Zugriffssteuerungsmodell für die Objekte Ihres Buckets aus.

    5. Gehen Sie im Bereich Auswählen, wie Objektdaten geschützt werden so vor:

      1. Wählen Sie eine der Optionen unter Datenschutz aus, die Sie für Ihren Bucket festlegen möchten.
      2. Um auszuwählen, wie Ihre Objektdaten verschlüsselt werden, klicken Sie auf den Maximierungspfeil mit dem Label Datenverschlüsselung und wählen Sie eine Methode für die Datenverschlüsselung aus.

  5. Klicken Sie auf Erstellen.

Logexport in Cloud Run konfigurieren

  1. Klicken Sie auf der Seite Google Cloud Willkommen auf das Symbol Cloud Run.
  2. Suchen Sie oben in der Suchleiste nach Logging und drücken Sie die Eingabetaste.
  3. Filtern Sie in Log-Explorer die Logs, indem Sie unter Logname die Option Cloud Run auswählen und auf Anwenden klicken.
  4. Klicken Sie im Menü auf Weitere Aktionen > Senke erstellen.
  5. Geben Sie die folgenden Konfigurationen an:
    1. Senkendetails: Geben Sie einen Namen und eine Beschreibung ein.
    2. Klicken Sie auf Weiter.
    3. Senkenziel: Wählen Sie Cloud Storage-Bucket aus.
    4. Cloud Storage-Bucket: Wählen Sie den zuvor erstellten Bucket aus oder erstellen Sie einen neuen Bucket.
    5. Klicken Sie auf Weiter.
    6. In Senke einzuschließende Logs auswählen: Wenn Sie eine Option in Cloud Storage-Bucket auswählen, wird ein Standardlog eingefügt.
    7. Klicken Sie auf Weiter.
    8. Optional: Aus der Senke zu filternde Logs auswählen: Wählen Sie die Logs aus, die Sie nicht in die Senke aufnehmen möchten.
  6. Klicken Sie auf Senke erstellen.

Feeds einrichten

So konfigurieren Sie einen Feed:

  1. Rufen Sie die SIEM-Einstellungen > Feeds auf.
  2. Klicken Sie auf Neuen Feed hinzufügen.
  3. Klicken Sie auf der nächsten Seite auf Einzelnen Feed konfigurieren.
  4. Geben Sie im Feld Feedname einen Namen für den Feed ein, z. B. Cloud Run-Logs.
  5. Wählen Sie Google Cloud Storage V2 als Quelltyp aus.
  6. Wählen Sie GCP Cloud Run als Logtyp aus.
  7. Klicken Sie unter Chronicle-Dienstkonto auf Dienstkonto abrufen.
  8. Klicken Sie auf Weiter.

  9. Geben Sie Werte für die folgenden Eingabeparameter an:

    • Storage-Bucket-URI: Google Cloud Storage-Bucket-URL im gs://my-bucket/<value>/ Format. Diese URL muss mit einem nachgestellten Schrägstrich (/) enden.

    • Optionen für das Löschen der Quelle: Wählen Sie die gewünschte Löschoption aus.

    • Maximale Dateialter: Schließt Dateien ein, die in den letzten Tagen geändert wurden. Die Standardeinstellung ist 180 Tage.

  10. Klicken Sie auf Weiter.

  11. Prüfen Sie die Konfiguration des neuen Feeds auf dem Bildschirm Abschließen und klicken Sie dann auf Senden.

UDM-Zuordnungstabelle

Logfeld UDM-Zuordnung Logik
httpRequest.latency target.resource.attribute.labels.[] Der Wert von httpRequest.latency aus dem Rohlog wird als Wert für ein Label mit dem Schlüssel http_request_latency in target.resource.attribute.labels verwendet.
httpRequest.protocol network.application_protocol Wenn httpRequest.protocol HTTP enthält, wird das UDM-Feld auf HTTP gesetzt.
httpRequest.remoteIp principal.asset.ip Der Wert von httpRequest.remoteIp aus dem Rohlog wird verwendet.
httpRequest.remoteIp principal.ip Der Wert von httpRequest.remoteIp aus dem Rohlog wird verwendet.
httpRequest.requestMethod network.http.method Der Wert von httpRequest.requestMethod aus dem Rohlog wird verwendet.
httpRequest.requestSize network.sent_bytes Der Wert von httpRequest.requestSize aus dem Rohlog wird in eine vorzeichenlose Ganzzahl umgewandelt und verwendet.
httpRequest.requestUrl target.url Der Wert von httpRequest.requestUrl aus dem Rohlog wird verwendet.
httpRequest.responseSize network.received_bytes Der Wert von httpRequest.responseSize aus dem Rohlog wird in eine vorzeichenlose Ganzzahl umgewandelt und verwendet.
httpRequest.serverIp target.asset.ip Der Wert von httpRequest.serverIp aus dem Rohlog wird verwendet.
httpRequest.serverIp target.ip Der Wert von httpRequest.serverIp aus dem Rohlog wird verwendet.
httpRequest.status network.http.response_code Der Wert von httpRequest.status aus dem Rohlog wird in eine Ganzzahl umgewandelt und verwendet.
httpRequest.userAgent network.http.parsed_user_agent Der Wert von httpRequest.userAgent aus dem Rohlog wird als User-Agent-String geparst.
httpRequest.userAgent network.http.user_agent Der Wert von httpRequest.userAgent aus dem Rohlog wird verwendet.
insertId metadata.product_log_id Der Wert von insertId aus dem Rohlog wird verwendet.
labels.instanceId additional.fields.[] Der Wert von labels.instanceId wird als Wert für ein Label mit dem Schlüssel instanceId in additional.fields verwendet.
labels.run.googleapis.com_execution_name additional.fields.[] Der Wert von labels.run.googleapis.com_execution_name wird als Wert für ein Label mit dem Schlüssel execution_name in additional.fields verwendet.
labels.run.googleapis.com_task_attempt additional.fields.[] Der Wert von labels.run.googleapis.com_task_attempt wird als Wert für ein Label mit dem Schlüssel task_attempt in additional.fields verwendet.
labels.run.googleapis.com_task_index additional.fields.[] Der Wert von labels.run.googleapis.com_task_index wird als Wert für ein Label mit dem Schlüssel task_index in additional.fields verwendet.
logName metadata.product_event_type Der Wert von logName aus dem Rohlog wird verwendet.
resource.labels.configuration_name target.resource.attribute.labels.[] Der Wert von resource.labels.configuration_name wird als Wert für ein Label mit dem Schlüssel configuration_name in target.resource.attribute.labels verwendet.
resource.labels.job_name additional.fields.[] Der Wert von resource.labels.job_name wird als Wert für ein Label mit dem Schlüssel job_name in additional.fields verwendet.
resource.labels.location target.location.name Der Wert von resource.labels.location aus dem Rohlog wird verwendet.
resource.labels.project_id target.resource.attribute.labels.[] Der Wert von resource.labels.project_id wird als Wert für ein Label mit dem Schlüssel project_id in target.resource.attribute.labels verwendet.
resource.labels.revision_name target.resource.attribute.labels.[] Der Wert von resource.labels.revision_name wird als Wert für ein Label mit dem Schlüssel revision_name in target.resource.attribute.labels verwendet.
resource.labels.service_name target.resource.attribute.labels.[] Der Wert von resource.labels.service_name wird als Wert für ein Label mit dem Schlüssel service_name in target.resource.attribute.labels verwendet.
resource.type target.resource.resource_subtype Der Wert von resource.type aus dem Rohlog wird verwendet.
severity security_result.severity Wenn der Wert von severity mit Info übereinstimmt (Groß-/Kleinschreibung wird nicht berücksichtigt), wird das UDM-Feld auf INFORMATIONAL gesetzt.
textPayload additional.fields.[] Der Wert von textPayload wird als Wert für ein Label mit dem Schlüssel Textpayload in additional.fields verwendet.
timestamp metadata.event_timestamp Der Wert von timestamp aus dem Rohlog wird als Zeitstempel geparst.
timestamp timestamp Der Wert von timestamp aus dem Rohlog wird als Zeitstempel geparst. Wird durch die Parserlogik anhand des Vorhandenseins bestimmter Felder bestimmt. Die Standardeinstellung ist GENERIC_EVENT. Wenn has_principal_ip, has_target_ip und httpRequest.protocol mit HTTP übereinstimmen, wird es auf NETWORK_HTTP gesetzt. Fest codiert auf GCP_RUN. Fest codiert auf GCP_RUN. Fest codiert auf Google Cloud Platform. Fest codiert auf GOOGLE_CLOUD_PLATFORM.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten