Collecter les journaux d'audit Harness IO

Compatible avec :

Google SecOps SIEM

Ce document explique comment ingérer les journaux d'audit Harness IO dans Google Security Operations à l'aide de Google Cloud Storage. Harness est une plate-forme de livraison continue et DevOps qui fournit des outils pour la livraison de logiciels, les feature flags, la gestion des coûts cloud et les tests de sécurité.

Avant de commencer

Assurez-vous de remplir les conditions suivantes :

Une instance Google SecOps
Un projet GCP avec l'API Cloud Storage activée
Autorisations pour créer et gérer des buckets GCS
Autorisations permettant de gérer les stratégies IAM sur les buckets GCS
Autorisations permettant de créer des services Cloud Run, des sujets Pub/Sub et des tâches Cloud Scheduler
Accès privilégié à Harness avec les autorisations suivantes :
- Créer des clés API
- Accéder aux journaux d'audit
- Afficher les paramètres du compte

Collecter les identifiants de l'API Harness

Créer une clé API dans Harness

Connectez-vous à la plate-forme Harness.
Cliquez sur votre profil utilisateur.
Accédez à Mes clés API.
Cliquez sur + Clé API.
Fournissez les informations de configuration suivantes :
- Nom : saisissez un nom descriptif (par exemple, Google SecOps Integration).
- Description : description facultative.
Cliquez sur Enregistrer.
Cliquez sur + Jeton pour créer un jeton.
Fournissez les informations de configuration suivantes :
- Nom : saisissez Chronicle Feed Token.
- Définir une expiration : sélectionnez une durée d'expiration appropriée ou Aucune expiration (pour une utilisation en production).
Cliquez sur Générer un jeton.
Copiez et enregistrez la valeur du jeton de manière sécurisée. Ce jeton sera utilisé comme valeur d'en-tête x-api-key.

Remarque : Le jeton n'est affiché qu'une seule fois. Si vous le perdez, vous devrez en générer un autre.
Remarque : Le jeton API doit disposer de l'autorisation core_audit_view pour accéder aux journaux d'audit. Cette autorisation est généralement accordée par le biais d'attributions de rôles dans Harness.

Obtenir l'ID de compte Harness

Dans la plate-forme Harness, notez l'ID de compte de l'URL.

Exemple d'URL : https://app.harness.io/ng/account/YOUR_ACCOUNT_ID/.... La partie YOUR_ACCOUNT_ID correspond à l'identifiant de votre compte.

Vous pouvez également accéder à Paramètres du compte> Aperçu pour afficher votre identifiant de compte.

Copiez et enregistrez l'ID de compte pour l'utiliser dans la fonction Cloud Run.

Remarque : L'ID de compte est requis pour toutes les requêtes API adressées à Harness.

Créer un bucket Google Cloud Storage

Accédez à la console Google Cloud.
Sélectionnez votre projet ou créez-en un.
Dans le menu de navigation, accédez à Cloud Storage> Buckets.
Cliquez sur Créer un bucket.

Fournissez les informations de configuration suivantes :

Paramètre	Valeur
Nommer votre bucket	Saisissez un nom unique (par exemple, `harness-io-logs`).
Type d'emplacement	Choisissez en fonction de vos besoins (région, birégion ou multirégion).
Emplacement	Sélectionnez l'emplacement (par exemple, `us-central1`).
Classe de stockage	Standard (recommandé pour les journaux auxquels vous accédez fréquemment)
Access control (Contrôle des accès)	Uniforme (recommandé)
Outils de protection	Facultatif : Activer la gestion des versions des objets ou la règle de conservation

Cliquez sur Créer.

Créer un compte de service pour la fonction Cloud Run

La fonction Cloud Run a besoin d'un compte de service disposant des autorisations nécessaires pour écrire dans le bucket GCS et être appelée par Pub/Sub.

Créer un compte de service

Dans la console GCP, accédez à IAM et administration > Comptes de service.
Cliquez sur Créer un compte de service.
Fournissez les informations de configuration suivantes :
- Nom du compte de service : saisissez harness-audit-collector-sa.
- Description du compte de service : saisissez Service account for Cloud Run function to collect Harness IO audit logs.
Cliquez sur Créer et continuer.
Dans la section Autoriser ce compte de service à accéder au projet, ajoutez les rôles suivants :
1. Cliquez sur Sélectionner un rôle.
2. Recherchez et sélectionnez Administrateur des objets de l'espace de stockage.
3. Cliquez sur + Ajouter un autre rôle.
4. Recherchez et sélectionnez Demandeur Cloud Run.
5. Cliquez sur + Ajouter un autre rôle.
6. Recherchez et sélectionnez Demandeur Cloud Functions.
Cliquez sur Continuer.
Cliquez sur OK.

Ces rôles sont requis pour :

Administrateur des objets Storage : écrire des journaux dans le bucket GCS et gérer les fichiers d'état
Demandeur Cloud Run : autorise Pub/Sub à appeler la fonction
Demandeur Cloud Functions : autorise l'appel de fonctions

Accorder des autorisations IAM sur un bucket GCS

Accordez au compte de service des autorisations d'écriture sur le bucket GCS :

Accédez à Cloud Storage > Buckets.
Cliquez sur le nom de votre bucket.
Accédez à l'onglet Autorisations.
Cliquez sur Accorder l'accès.
Fournissez les informations de configuration suivantes :
- Ajouter des comptes principaux : saisissez l'adresse e-mail du compte de service (par exemple, harness-audit-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
- Attribuer des rôles : sélectionnez Administrateur des objets Storage.
Cliquez sur Enregistrer.

Créer un sujet Pub/Sub

Créez un sujet Pub/Sub auquel Cloud Scheduler publiera des messages et auquel la fonction Cloud Run s'abonnera.

Dans la console GCP, accédez à Pub/Sub > Sujets.
Cliquez sur Create topic (Créer un sujet).
Fournissez les informations de configuration suivantes :
- ID du sujet : saisissez harness-audit-trigger.
- Conservez les valeurs par défaut des autres paramètres.
Cliquez sur Créer.

Créer une fonction Cloud Run pour collecter les journaux

La fonction Cloud Run est déclenchée par des messages Pub/Sub provenant de Cloud Scheduler pour extraire les journaux de l'API Harness et les écrire dans GCS.

Dans la console GCP, accédez à Cloud Run.
Cliquez sur Créer un service.
Sélectionnez Fonction (utilisez un éditeur intégré pour créer une fonction).

Dans la section Configurer, fournissez les informations de configuration suivantes :

Paramètre	Valeur
Nom du service	`harness-audit-collector`
Région	Sélectionnez la région correspondant à votre bucket GCS (par exemple, `us-central1`).
Runtime (durée d'exécution)	Sélectionnez Python 3.12 ou version ultérieure.

Dans la section Déclencheur (facultatif) :
1. Cliquez sur + Ajouter un déclencheur.
2. Sélectionnez Cloud Pub/Sub.
3. Dans Sélectionner un sujet Cloud Pub/Sub, choisissez le sujet Pub/Sub (harness-audit-trigger).
4. Cliquez sur Enregistrer.
Dans la section Authentification :
1. Sélectionnez Exiger l'authentification.
2. Consultez Identity and Access Management (IAM).
Remarque : Pub/Sub gère automatiquement l'authentification lors de l'appel de la fonction.
Faites défiler la page vers le bas, puis développez Conteneurs, mise en réseau, sécurité.
Accédez à l'onglet Sécurité :
- Compte de service : sélectionnez le compte de service (harness-audit-collector-sa).

Accédez à l'onglet Conteneurs :

Cliquez sur Variables et secrets.
Cliquez sur + Ajouter une variable pour chaque variable d'environnement :

Nom de la variable	Exemple de valeur	Description
`HARNESS_ACCOUNT_ID`	ID de votre compte Harness	Identifiant de compte Harness
`HARNESS_API_KEY`	Votre jeton de clé API	Jeton avec autorisations audit:read
`GCS_BUCKET`	`harness-io-logs`	Nom du bucket GCS
`GCS_PREFIX`	`harness/audit`	Préfixe pour les objets GCS
`STATE_KEY`	`harness/audit/state.json`	Chemin d'accès au fichier d'état dans GCS

Variables d'environnement facultatives :

Nom de la variable	Valeur par défaut	Description
`HARNESS_API_BASE`	`https://app.harness.io`	URL de base de l'API Harness (remplacement pour les instances auto-hébergées)
`PAGE_SIZE`	`50`	Événements par page (100 max.)
`START_MINUTES_BACK`	`60`	Période d'analyse initiale en minutes
`FILTER_MODULES`	Aucun	Modules séparés par une virgule (par exemple, `CD,CI,CE`)
`FILTER_ACTIONS`	Aucun	Actions séparées par une virgule (par exemple, `CREATE,UPDATE,DELETE`)
`STATIC_FILTER`	Aucun	Filtre prédéfini : `EXCLUDE_LOGIN_EVENTS` ou `EXCLUDE_SYSTEM_EVENTS`
`MAX_RETRIES`	`3`	Nombre maximal de nouvelles tentatives pour la limitation du débit

Dans l'onglet Variables et secrets, faites défiler la page jusqu'à Requêtes :
- Délai avant expiration de la requête : saisissez 600 secondes (10 minutes).
Accédez à l'onglet Paramètres dans Conteneurs :
- Dans la section Ressources :
  - Mémoire : sélectionnez 512 Mio ou plus.
  - CPU : sélectionnez 1.
- Cliquez sur OK.
Faites défiler la page jusqu'à Environnement d'exécution :
- Sélectionnez Par défaut (recommandé).
Dans la section Scaling de révision :
- Nombre minimal d'instances : saisissez 0.
- Nombre maximal d'instances : saisissez 100 (ou ajustez en fonction de la charge attendue).
Cliquez sur Créer.
Attendez que le service soit créé (1 à 2 minutes).
Une fois le service créé, l'éditeur de code intégré s'ouvre automatiquement.

Ajouter un code de fonction

Saisissez main dans Point d'entrée de la fonction.

Dans l'éditeur de code intégré, créez deux fichiers :

Premier fichier : main.py:

import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timedelta, timezone
import time

# Initialize HTTP client
http = urllib3.PoolManager()

# Initialize Storage client
storage_client = storage.Client()

# Configuration from Environment Variables
API_BASE = os.environ.get("HARNESS_API_BASE", "https://app.harness.io").rstrip("/")
ACCOUNT_ID = os.environ["HARNESS_ACCOUNT_ID"]
API_KEY = os.environ["HARNESS_API_KEY"]
BUCKET = os.environ["GCS_BUCKET"]
PREFIX = os.environ.get("GCS_PREFIX", "harness/audit").strip("/")
STATE_KEY = os.environ.get("STATE_KEY", "harness/audit/state.json")
PAGE_SIZE = min(int(os.environ.get("PAGE_SIZE", "50")), 100)
START_MINUTES_BACK = int(os.environ.get("START_MINUTES_BACK", "60"))

# Optional filters
FILTER_MODULES = os.environ.get("FILTER_MODULES", "").split(",") if os.environ.get("FILTER_MODULES") else None
FILTER_ACTIONS = os.environ.get("FILTER_ACTIONS", "").split(",") if os.environ.get("FILTER_ACTIONS") else None
STATIC_FILTER = os.environ.get("STATIC_FILTER")
MAX_RETRIES = int(os.environ.get("MAX_RETRIES", "3"))

# HTTP headers for Harness API
HDRS = {
    "x-api-key": API_KEY,
    "Content-Type": "application/json",
    "Accept": "application/json",
}

def read_state(bucket):
    """Read checkpoint state from GCS."""
    try:
        blob = bucket.blob(STATE_KEY)
        if blob.exists():
            state_data = blob.download_as_text()
            state = json.loads(state_data)
            since_ms = state.get("since")
            page_token = state.get("pageToken")
            print(f"State loaded: since={since_ms}, pageToken={page_token}")
            return since_ms, page_token
    except Exception as e:
        print(f"Warning: Could not load state: {e}")

    print("No state file found, starting fresh collection")
    start_time = datetime.now(timezone.utc) - timedelta(minutes=START_MINUTES_BACK)
    since_ms = int(start_time.timestamp() * 1000)
    print(f"Initial since timestamp: {since_ms} ({start_time.isoformat()})")
    return since_ms, None

def write_state(bucket, since_ms, page_token=None):
    """Write checkpoint state to GCS."""
    state = {
        "since": since_ms,
        "pageToken": page_token,
        "lastRun": int(time.time() * 1000),
        "lastRunISO": datetime.now(timezone.utc).isoformat()
    }
    try:
        blob = bucket.blob(STATE_KEY)
        blob.upload_from_string(
            json.dumps(state, indent=2),
            content_type="application/json"
        )
        print(f"State saved: since={since_ms}, pageToken={page_token}")
    except Exception as e:
        print(f"Error writing state: {e}")
        raise

def fetch_harness_audits(since_ms, page_token=None, retry_count=0):
    """
    Fetch audit logs from Harness API with retry logic.
    API Endpoint: POST /audit/api/audits/listV2
    """
    try:
        # Build URL with query parameters
        url = (
            f"{API_BASE}/audit/api/audits/listV2"
            f"?accountIdentifier={ACCOUNT_ID}"
            f"&pageSize={PAGE_SIZE}"
        )
        if page_token:
            url += f"&pageToken={page_token}"

        print(f"Fetching from: {url[:100]}...")

        # Build request body with time filter and optional filters
        body_data = {
            "startTime": since_ms,
            "endTime": int(time.time() * 1000),
            "filterType": "Audit"
        }

        if FILTER_MODULES:
            body_data["modules"] = [m.strip() for m in FILTER_MODULES if m.strip()]
            print(f"Applying module filter: {body_data['modules']}")

        if FILTER_ACTIONS:
            body_data["actions"] = [a.strip() for a in FILTER_ACTIONS if a.strip()]
            print(f"Applying action filter: {body_data['actions']}")

        if STATIC_FILTER:
            body_data["staticFilter"] = STATIC_FILTER
            print(f"Applying static filter: {STATIC_FILTER}")

        # Make POST request
        response = http.request(
            'POST',
            url,
            body=json.dumps(body_data).encode('utf-8'),
            headers=HDRS,
            timeout=30.0
        )

        resp_data = json.loads(response.data.decode('utf-8'))

        if "status" not in resp_data:
            print(f"Response missing 'status' field: {response.data[:200]}")

        # Check response status
        if resp_data.get("status") != "SUCCESS":
            error_msg = resp_data.get("message", "Unknown error")
            raise Exception(f"API returned status: {resp_data.get('status')} - {error_msg}")

        # Extract data from response structure
        data_obj = resp_data.get("data", {})
        if not data_obj:
            print("Response 'data' object is empty or missing")

        events = data_obj.get("content", [])
        has_next = data_obj.get("hasNext", False)
        next_token = data_obj.get("pageToken")

        print(f"API response: {len(events)} events, hasNext={has_next}, pageToken={next_token}")

        if not events and data_obj:
            print(f"Empty events but data present. Data keys: {list(data_obj.keys())}")

        return {
            "events": events,
            "hasNext": has_next,
            "pageToken": next_token
        }

    except Exception as e:
        if hasattr(e, 'status') and e.status == 429:
            retry_after = 60
            print(f"Rate limit exceeded. Retry after {retry_after} seconds (attempt {retry_count + 1}/{MAX_RETRIES})")
            if retry_count < MAX_RETRIES:
                print(f"Waiting {retry_after} seconds before retry...")
                time.sleep(retry_after)
                print(f"Retrying request (attempt {retry_count + 2}/{MAX_RETRIES})")
                return fetch_harness_audits(since_ms, page_token, retry_count + 1)
            else:
                raise Exception(f"Max retries ({MAX_RETRIES}) exceeded for rate limiting")
        print(f"Error in fetch_harness_audits: {e}")
        raise

def upload_to_gcs(bucket, events):
    """Upload audit events to GCS in JSONL format."""
    if not events:
        print("No events to upload")
        return None

    try:
        # Create JSONL content (one JSON object per line)
        jsonl_lines = [json.dumps(event) for event in events]
        jsonl_content = "\n".join(jsonl_lines)

        # Generate GCS key with timestamp
        timestamp = datetime.now(timezone.utc)
        key = (
            f"{PREFIX}/"
            f"{timestamp:%Y/%m/%d}/"
            f"harness-audit-{timestamp:%Y%m%d-%H%M%S}.jsonl"
        )

        # Upload to GCS
        blob = bucket.blob(key)
        blob.upload_from_string(
            jsonl_content,
            content_type="application/x-ndjson"
        )
        blob.metadata = {
            "event-count": str(len(events)),
            "source": "harness-audit-function",
            "collection-time": timestamp.isoformat()
        }
        blob.patch()

        print(f"Uploaded {len(events)} events to gs://{BUCKET}/{key}")
        return key

    except Exception as e:
        print(f"Error uploading to GCS: {e}")
        raise

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch Harness audit logs and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """
    print("=== Harness Audit Collection Started ===")
    print(f"Configuration: API_BASE={API_BASE}, ACCOUNT_ID={ACCOUNT_ID[:8]}..., PAGE_SIZE={PAGE_SIZE}")

    if FILTER_MODULES:
        print(f"Module filter enabled: {FILTER_MODULES}")
    if FILTER_ACTIONS:
        print(f"Action filter enabled: {FILTER_ACTIONS}")
    if STATIC_FILTER:
        print(f"Static filter enabled: {STATIC_FILTER}")

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(BUCKET)

        # Step 1: Read checkpoint state
        since_ms, page_token = read_state(bucket)

        if page_token:
            print("Resuming pagination from saved pageToken")
        else:
            since_dt = datetime.fromtimestamp(since_ms / 1000, tz=timezone.utc)
            print(f"Starting new collection from: {since_dt.isoformat()}")

        # Step 2: Collect all events with pagination
        all_events = []
        current_page_token = page_token
        page_count = 0
        max_pages = 100
        has_next = True

        while has_next and page_count < max_pages:
            page_count += 1
            print(f"--- Fetching page {page_count} ---")

            # Fetch one page of results
            result = fetch_harness_audits(since_ms, current_page_token)

            # Extract events
            events = result.get("events", [])
            all_events.extend(events)
            print(f"Page {page_count}: {len(events)} events (total: {len(all_events)})")

            # Check pagination status
            has_next = result.get("hasNext", False)
            current_page_token = result.get("pageToken")

            if not has_next:
                print("Pagination complete (hasNext=False)")
                break

            if not current_page_token:
                print("hasNext=True but no pageToken, stopping pagination")
                break

            # Small delay between pages to avoid rate limiting
            time.sleep(0.5)

        if page_count >= max_pages:
            print(f"Reached max pages limit ({max_pages}), stopping")

        # Step 3: Upload collected events to GCS
        if all_events:
            gcs_key = upload_to_gcs(bucket, all_events)
            print(f"Successfully uploaded {len(all_events)} total events")
        else:
            print("No new events to upload")
            gcs_key = None

        # Step 4: Update checkpoint state
        if not has_next:
            # Pagination complete - update since to current time for next run
            new_since = int(time.time() * 1000)
            write_state(bucket, new_since, None)
            print(f"Pagination complete, state updated with new since={new_since}")
        else:
            # Pagination incomplete - save pageToken for continuation
            write_state(bucket, since_ms, current_page_token)
            print("Pagination incomplete, saved pageToken for next run")

        # Step 5: Log result
        result = {
            "status": "Success",
            "eventsCollected": len(all_events),
            "pagesProcessed": page_count,
            "paginationComplete": not has_next,
            "gcsKey": gcs_key,
            "filters": {
                "modules": FILTER_MODULES,
                "actions": FILTER_ACTIONS,
                "staticFilter": STATIC_FILTER
            }
        }
        print(f"Collection completed: {json.dumps(result)}")

    except Exception as e:
        print(f"Collection failed: {e}")
        raise
    finally:
        print("=== Harness Audit Collection Finished ===")

Deuxième fichier : requirements.txt:

functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

Cliquez sur Déployer pour enregistrer et déployer la fonction.
Attendez la fin du déploiement (deux à trois minutes).

Remarque : La configuration du déclencheur Pub/Sub crée automatiquement les abonnements et les autorisations nécessaires.

Créer une tâche Cloud Scheduler

Cloud Scheduler publie des messages sur le sujet Pub/Sub à intervalles réguliers, ce qui déclenche la fonction Cloud Run.

Dans la console GCP, accédez à Cloud Scheduler.
Cliquez sur Créer une tâche.

Fournissez les informations de configuration suivantes :

Paramètre	Valeur
Nom	`harness-audit-hourly`
Région	Sélectionnez la même région que la fonction Cloud Run.
Fréquence	`0 * * * *` (toutes les heures)
Fuseau horaire	Sélectionnez un fuseau horaire (UTC recommandé).
Type de cible	Pub/Sub
Topic	Sélectionnez le sujet Pub/Sub (`harness-audit-trigger`).
Corps du message	`{}` (objet JSON vide)

Cliquez sur Créer.

Options de fréquence de planification

Choisissez la fréquence en fonction du volume de journaux et des exigences de latence :

Fréquence	Expression Cron	Cas d'utilisation
Toutes les 5 minutes	`/5 * * *`	Volume élevé, faible latence
Toutes les 15 minutes	`/15 * * *`	Volume moyen
Toutes les heures	`0 * * * *`	Standard (recommandé)
Toutes les 6 heures	`0 /6 * *`	Traitement par lot à faible volume
Tous les jours	`0 0 * * *`	Collecte de données historiques

Tester l'intégration

Dans la console Cloud Scheduler, recherchez votre job.
Cliquez sur Exécuter de force pour déclencher le job manuellement.
Patientez pendant quelques secondes.
Accédez à Cloud Run > Services.
Cliquez sur le nom de votre fonction (harness-audit-collector).
Cliquez sur l'onglet Journaux.

Vérifiez que la fonction s'est exécutée correctement. Recherchez les éléments suivants :

=== Harness Audit Collection Started ===
State loaded: since=... or No state file found, starting fresh collection
--- Fetching page 1 ---
API response: X events, hasNext=...
Uploaded X events to gs://harness-io-logs/harness/audit/...
Successfully processed X records
=== Harness Audit Collection Finished ===

Accédez à Cloud Storage > Buckets.
Cliquez sur le nom de votre bucket.
Accédez au dossier de préfixe (harness/audit/).
Vérifiez qu'un fichier .jsonl a été créé avec le code temporel actuel.

Si vous constatez des erreurs dans les journaux :

HTTP 401 : vérifiez les identifiants de l'API dans les variables d'environnement
HTTP 403 : vérifiez que le compte dispose des autorisations requises.
HTTP 429 : limitation du débit. La fonction effectuera automatiquement une nouvelle tentative avec un intervalle de temps.
Variables d'environnement manquantes : vérifiez que toutes les variables requises sont définies.

Remarque : La fonction Cloud Run s'exécute désormais automatiquement toutes les heures pour collecter les nouveaux journaux d'audit.

Récupérer le compte de service Google SecOps

Google SecOps utilise un compte de service unique pour lire les données de votre bucket GCS. Vous devez accorder à ce compte de service l'accès à votre bucket.

Obtenir l'adresse e-mail du compte de service

Accédez à Paramètres SIEM> Flux.
Cliquez sur Add New Feed (Ajouter un flux).
Cliquez sur Configurer un flux unique.
Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Harness Audit Logs).
Sélectionnez Google Cloud Storage V2 comme Type de source.
Sélectionnez Harness IO comme type de journal.
Cliquez sur Obtenir un compte de service. Une adresse e-mail unique pour le compte de service s'affiche, par exemple :
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Copiez cette adresse e-mail pour l'utiliser à l'étape suivante.

Remarque : Chaque instance Google SecOps possède un compte de service unique. N'utilisez pas de comptes de service provenant d'autres documents ou exemples.

Accorder des autorisations IAM au compte de service Google SecOps

Le compte de service Google SecOps a besoin du rôle Lecteur des objets Storage sur votre bucket GCS.

Accédez à Cloud Storage > Buckets.
Cliquez sur le nom de votre bucket.
Accédez à l'onglet Autorisations.
Cliquez sur Accorder l'accès.
Fournissez les informations de configuration suivantes :
- Ajouter des comptes principaux : collez l'adresse e-mail du compte de service Google SecOps.
- Attribuez des rôles : sélectionnez Lecteur des objets de l'espace de stockage.
Cliquez sur Enregistrer.

Remarque : Si vous prévoyez d'utiliser l'option de suppression "Supprimer les fichiers transférés" ou "Supprimer les fichiers transférés et les répertoires vides", accordez le rôle Administrateur des objets Storage au lieu de Lecteur des objets Storage.

Configurer un flux dans Google SecOps pour ingérer les journaux Harness IO

Accédez à Paramètres SIEM> Flux.
Cliquez sur Add New Feed (Ajouter un flux).
Cliquez sur Configurer un flux unique.
Dans le champ Nom du flux, saisissez un nom pour le flux (par exemple, Harness Audit Logs).
Sélectionnez Google Cloud Storage V2 comme Type de source.
Sélectionnez Harness IO comme type de journal.
Cliquez sur Suivant.
Spécifiez les valeurs des paramètres d'entrée suivants :
- URL du bucket Storage : saisissez l'URI du bucket GCS avec le préfixe du chemin d'accès :
```
gs://harness-io-logs/harness/audit/
```
  - Remplacez :
    - harness-io-logs : nom de votre bucket GCS.
    - harness/audit : préfixe/chemin d'accès au dossier dans lequel les journaux sont stockés.
  - Exemples :
    - Bucket racine : gs://company-logs/
    - Avec préfixe : gs://company-logs/harness-logs/
    - Avec un sous-dossier : gs://company-logs/harness/audit/
Remarque : Incluez toujours la barre oblique (/) à la fin de l'URI.
- Option de suppression de la source : sélectionnez l'option de suppression de votre choix :
  - Jamais : ne supprime jamais aucun fichier après les transferts (recommandé pour les tests).
  - Supprimer les fichiers transférés : supprime les fichiers après un transfert réussi.
  - Supprimer les fichiers transférés et les répertoires vides : supprime les fichiers et les répertoires vides après un transfert réussi.
    
    Remarque : Si vous sélectionnez une option de suppression, le compte de service doit disposer du rôle Administrateur des objets Storage au lieu de celui de lecteur. Mettez à jour les autorisations IAM en conséquence.
- Âge maximal des fichiers : incluez les fichiers modifiés au cours des derniers jours. La valeur par défaut est de 180 jours.
- Espace de noms de l'élément : espace de noms de l'élément. Saisissez harness.audit.
- Libellés d'ingestion : libellé à appliquer aux événements de ce flux.
Cliquez sur Suivant.
Vérifiez la configuration de votre nouveau flux sur l'écran Finaliser, puis cliquez sur Envoyer.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.