Raccogliere i log di Sentry

Supportato in:

Google secops SIEM

Questo documento spiega come importare i log di Sentry in Google Security Operations utilizzando Google Cloud Storage. Sentry produce dati operativi sotto forma di eventi, problemi, dati di monitoraggio delle prestazioni e informazioni di monitoraggio degli errori. Questa integrazione ti consente di inviare questi log a Google SecOps per l'analisi e il monitoraggio, fornendo visibilità sugli errori delle applicazioni, sui problemi di prestazioni e sulle interazioni degli utenti all'interno delle applicazioni monitorate da Sentry.

Prima di iniziare

Assicurati di disporre dei seguenti prerequisiti:

Un'istanza Google SecOps
Un progetto GCP con l'API Cloud Storage abilitata
Autorizzazioni per creare e gestire bucket GCS
Autorizzazioni per gestire le policy IAM nei bucket GCS
Autorizzazioni per creare funzioni Cloud Run, argomenti Pub/Sub e job Cloud Scheduler
Accesso privilegiato al tenant Sentry (token di autenticazione con ambiti API)

Raccogli i prerequisiti di Sentry (ID, chiavi API, ID organizzazione, token)

Accedi a Sentry.
Trova lo slug dell'organizzazione:
- Vai a Impostazioni > Organizzazione > Impostazioni > ID organizzazione (lo slug viene visualizzato accanto al nome dell'organizzazione).
Crea un token di autenticazione:
1. Vai a Impostazioni > Impostazioni sviluppatore > Token personali.
2. Fai clic su Crea nuovo token.
3. Ambiti (minimo): org:read, project:read, event:read.
4. Fai clic su Crea token.
5. Copia il valore del token (mostrato una sola volta). Viene utilizzato come: Authorization: Bearer <token>.
(Se è self-hosted): annota l'URL di base (ad esempio https://<your-domain>); altrimenti utilizza https://sentry.io.

Nota :Sentry limita la frequenza di ogni richiesta API per evitare abusi, con limiti applicati a ogni combinazione univoca di chiamante ed endpoint e ogni endpoint ha il proprio numero massimo di richieste e dimensione della finestra. La funzione Cloud Run implementa il backoff esponenziale per gestire automaticamente la limitazione della frequenza.
Nota: i log degli errori vengono archiviati per 30 giorni nei piani Free e per 30 giorni nei piani Team/Business. Sentry conserva anche gli span e le transazioni campionati per 13 mesi nei piani Business. Ciò limita i dati storici disponibili per il backfill durante la prima configurazione dell'integrazione.

Creazione di un bucket Google Cloud Storage

Vai alla console Google Cloud.
Seleziona il tuo progetto o creane uno nuovo.
Nel menu di navigazione, vai a Cloud Storage > Bucket.
Fai clic su Crea bucket.

Fornisci i seguenti dettagli di configurazione:

Impostazione	Valore
Assegna un nome al bucket	Inserisci un nome univoco globale (ad esempio `sentry-logs`).
Tipo di località	Scegli in base alle tue esigenze (regione singola, doppia regione, più regioni)
Località	Seleziona la posizione (ad esempio, `us-central1`).
Classe di archiviazione	Standard (consigliato per i log a cui si accede di frequente)
Controllo dell'accesso	Uniforme (consigliato)
Strumenti di protezione	(Facoltativo) Attiva il controllo delle versioni degli oggetti o la policy di conservazione

Fai clic su Crea.

Crea un service account per la funzione Cloud Run

La funzione Cloud Run richiede un service account con autorizzazioni di scrittura nel bucket GCS e di invocazione da parte di Pub/Sub.

Crea service account

Nella console Google Cloud, vai a IAM e amministrazione > Service Accounts.
Fai clic su Crea service account.
Fornisci i seguenti dettagli di configurazione:
- Nome del service account: inserisci sentry-logs-collector-sa.
- Descrizione service account: inserisci Service account for Cloud Run function to collect Sentry logs.
Fai clic su Crea e continua.
Nella sezione Concedi a questo service account l'accesso al progetto, aggiungi i seguenti ruoli:
1. Fai clic su Seleziona un ruolo.
2. Cerca e seleziona Amministratore oggetti di archiviazione.
3. Fai clic su + Aggiungi un altro ruolo.
4. Cerca e seleziona Cloud Run Invoker.
5. Fai clic su + Aggiungi un altro ruolo.
6. Cerca e seleziona Invoker di Cloud Functions.
Fai clic su Continua.
Fai clic su Fine.

Questi ruoli sono necessari per:

Amministratore oggetti Storage: scrive i log nel bucket GCS e gestisce i file di stato
Cloud Run Invoker: consente a Pub/Sub di richiamare la funzione
Cloud Functions Invoker: consente la chiamata di funzioni

Concedi autorizzazioni IAM sul bucket GCS

Concedi al service account le autorizzazioni di scrittura sul bucket GCS:

Vai a Cloud Storage > Bucket.
Fai clic sul nome del bucket.
Vai alla scheda Autorizzazioni.
Fai clic su Concedi l'accesso.
Fornisci i seguenti dettagli di configurazione:
- Aggiungi entità: inserisci l'email del service account (ad es. sentry-logs-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
- Assegna i ruoli: seleziona Storage Object Admin.
Fai clic su Salva.

Crea argomento Pub/Sub

Crea un argomento Pub/Sub a cui Cloud Scheduler pubblicherà e a cui la funzione Cloud Run si iscriverà.

Nella console GCP, vai a Pub/Sub > Argomenti.
Fai clic su Crea argomento.
Fornisci i seguenti dettagli di configurazione:
- ID argomento: inserisci sentry-logs-trigger.
- Lascia le altre impostazioni sui valori predefiniti.
Fai clic su Crea.

Crea una funzione Cloud Run per raccogliere i log

La funzione Cloud Run viene attivata dai messaggi Pub/Sub di Cloud Scheduler per recuperare i log dall'API Sentry e li scrive in GCS.

Nella console GCP, vai a Cloud Run.
Fai clic su Crea servizio.
Seleziona Funzione (usa un editor in linea per creare una funzione).

Nella sezione Configura, fornisci i seguenti dettagli di configurazione:

Impostazione	Valore
Nome servizio	`sentry-logs-collector`
Regione	Seleziona la regione corrispondente al tuo bucket GCS (ad esempio `us-central1`)
Runtime	Seleziona Python 3.12 o versioni successive

Nella sezione Trigger (facoltativo):
1. Fai clic su + Aggiungi trigger.
2. Seleziona Cloud Pub/Sub.
3. In Seleziona un argomento Cloud Pub/Sub, scegli l'argomento (sentry-logs-trigger).
4. Fai clic su Salva.
Nella sezione Autenticazione:
1. Seleziona Richiedi autenticazione.
2. Controlla Identity and Access Management (IAM).
Nota: Pub/Sub gestisce automaticamente l'autenticazione quando richiama la funzione.
Scorri verso il basso ed espandi Container, networking, sicurezza.
Vai alla scheda Sicurezza:
- Service account: seleziona il service account (sentry-logs-collector-sa).

Vai alla scheda Container:

Fai clic su Variabili e secret.
Fai clic su + Aggiungi variabile per ogni variabile di ambiente:

Nome variabile	Valore di esempio	Descrizione
`GCS_BUCKET`	`sentry-logs`	Nome del bucket GCS in cui verranno archiviati i dati.
`GCS_PREFIX`	`sentry/events/`	Prefisso GCS (sottocartella) facoltativo per gli oggetti.
`STATE_KEY`	`sentry/events/state.json`	Chiave facoltativa del file di stato/checkpoint.
`SENTRY_ORG`	`your-org-slug`	Slug dell'organizzazione Sentry.
`SENTRY_AUTH_TOKEN`	`sntrys_************************`	Token di autenticazione Sentry con org:read, project:read, event:read.
`SENTRY_API_BASE`	`https://sentry.io`	URL di base dell'API Sentry (self-hosted: `https://<your-domain>`).
`MAX_PROJECTS`	`100`	Numero massimo di progetti da elaborare.
`MAX_PAGES_PER_PROJECT`	`5`	Numero massimo di pagine per progetto per esecuzione.

Scorri verso il basso nella scheda Variabili e secret fino a Richieste:
- Timeout richiesta: inserisci 600 secondi (10 minuti).
Vai alla scheda Impostazioni in Container:
- Nella sezione Risorse:
  - Memoria: seleziona 512 MiB o un valore superiore.
  - CPU: seleziona 1.
- Fai clic su Fine.
Scorri fino a Ambiente di esecuzione:
- Seleziona Predefinito (opzione consigliata).
Nella sezione Scalabilità della revisione:
- Numero minimo di istanze: inserisci 0.
- Numero massimo di istanze: inserisci 100 (o modifica in base al carico previsto).
Fai clic su Crea.
Attendi la creazione del servizio (1-2 minuti).
Dopo aver creato il servizio, si apre automaticamente l'editor di codice incorporato.

Aggiungi codice per la funzione

Inserisci main in Entry point della funzione

Nell'editor di codice incorporato, crea due file:

Primo file: main.py:

 import functions_framework
 from google.cloud import storage
 import json
 import os
 import urllib3
 from datetime import datetime, timezone
 import time

 # Initialize HTTP client
 http = urllib3.PoolManager()

 # Initialize Storage client
 storage_client = storage.Client()

 @functions_framework.cloud_event
 def main(cloud_event):
     """
     Cloud Run function triggered by Pub/Sub to fetch Sentry events and write to GCS.

     Args:
         cloud_event: CloudEvent object containing Pub/Sub message
     """

     # Get environment variables
     bucket_name = os.environ.get('GCS_BUCKET')
     prefix = os.environ.get('GCS_PREFIX', 'sentry/events/')
     state_key = os.environ.get('STATE_KEY', 'sentry/events/state.json')
     org = os.environ.get('SENTRY_ORG', '').strip()
     token = os.environ.get('SENTRY_AUTH_TOKEN', '').strip()
     api_base = os.environ.get('SENTRY_API_BASE', 'https://sentry.io').rstrip('/')
     max_projects = int(os.environ.get('MAX_PROJECTS', '100'))
     max_pages_per_project = int(os.environ.get('MAX_PAGES_PER_PROJECT', '5'))

     if not all([bucket_name, org, token]):
         print('Error: Missing required environment variables')
         return

     try:
         # Get GCS bucket
         bucket = storage_client.bucket(bucket_name)

         # Load state
         state = load_state(bucket, state_key)
         state.setdefault('projects', {})

         # Get list of projects
         projects = list_projects(api_base, org, token, max_projects)
         print(f'Found {len(projects)} projects')

         summary = []

         # Process each project
         for slug in projects:
             start_prev = state['projects'].get(slug, {}).get('prev_cursor')
             res = fetch_project_events(
                 api_base, org, token, slug, start_prev, 
                 max_pages_per_project, bucket, prefix
             )

             if res.get('store_prev_cursor'):
                 state['projects'][slug] = {'prev_cursor': res['store_prev_cursor']}

             summary.append(res)

         # Save state
         save_state(bucket, state_key, state)

         print(f'Successfully processed {len(projects)} projects')
         print(f'Summary: {json.dumps(summary)}')

     except Exception as e:
         print(f'Error processing logs: {str(e)}')
         raise

 def load_state(bucket, key):
     """Load state from GCS."""
     try:
         blob = bucket.blob(key)
         if blob.exists():
             state_data = blob.download_as_text()
             return json.loads(state_data) if state_data else {'projects': {}}
     except Exception as e:
         print(f'Warning: Could not load state: {str(e)}')
     return {'projects': {}}

 def save_state(bucket, key, state):
     """Save state to GCS."""
     try:
         blob = bucket.blob(key)
         blob.upload_from_string(
             json.dumps(state, separators=(',', ':')),
             content_type='application/json'
         )
     except Exception as e:
         print(f'Warning: Could not save state: {str(e)}')

 def sentry_request(api_base, token, path, params=None):
     """Make request to Sentry API."""
     url = f"{api_base}{path}"
     if params:
         url = f"{url}?{urllib3.request.urlencode(params)}"

     headers = {
         'Authorization': f'Bearer {token}',
         'Accept': 'application/json',
         'User-Agent': 'chronicle-gcs-sentry-function/1.0'
     }

     response = http.request('GET', url, headers=headers, timeout=60.0)
     data = json.loads(response.data.decode('utf-8'))
     link = response.headers.get('Link')

     return data, link

 def parse_link_header(link_header):
     """Parse Link header to extract cursors."""
     if not link_header:
         return None, False, None, False

     prev_cursor, next_cursor = None, None
     prev_more, next_more = False, False

     parts = [p.strip() for p in link_header.split(',')]
     for p in parts:
         if '<' not in p or '>' not in p:
             continue

         url = p.split('<', 1)[1].split('>', 1)[0]
         rel = 'previous' if 'rel="previous"' in p else ('next' if 'rel="next"' in p else None)
         has_more = 'results="true"' in p

         try:
             from urllib.parse import urlparse, parse_qs
             q = urlparse(url).query
             cur = parse_qs(q).get('cursor', [None])[0]
         except Exception:
             cur = None

         if rel == 'previous':
             prev_cursor, prev_more = cur, has_more
         elif rel == 'next':
             next_cursor, next_more = cur, has_more

     return prev_cursor, prev_more, next_cursor, next_more

 def write_page(bucket, prefix, project_slug, payload, page_idx):
     """Write page of events to GCS."""
     ts = time.gmtime()
     key = f"{prefix.rstrip('/')}/{time.strftime('%Y/%m/%d', ts)}/sentry-{project_slug}-{page_idx:05d}.json"

     blob = bucket.blob(key)
     blob.upload_from_string(
         json.dumps(payload, separators=(',', ':')),
         content_type='application/json'
     )

     return key

 def list_projects(api_base, org, token, max_projects):
     """List Sentry projects."""
     projects, cursor = [], None

     while len(projects) < max_projects:
         params = {'cursor': cursor} if cursor else {}
         data, link = sentry_request(api_base, token, f'/api/0/organizations/{org}/projects/', params)

         for p in data:
             slug = p.get('slug')
             if slug:
                 projects.append(slug)
             if len(projects) >= max_projects:
                 break

         _, _, next_cursor, next_more = parse_link_header(link)
         cursor = next_cursor if next_more else None
         if not next_more:
             break

     return projects

 def fetch_project_events(api_base, org, token, project_slug, start_prev_cursor, max_pages, bucket, prefix):
     """Fetch events for a project."""
     pages = 0
     total = 0
     latest_prev_cursor_to_store = None

     def fetch_one(cursor):
         nonlocal pages, total, latest_prev_cursor_to_store

         params = {'cursor': cursor} if cursor else {}
         data, link = sentry_request(api_base, token, f'/api/0/projects/{org}/{project_slug}/events/', params)

         write_page(bucket, prefix, project_slug, data, pages)
         total += len(data) if isinstance(data, list) else 0

         prev_c, prev_more, next_c, next_more = parse_link_header(link)
         latest_prev_cursor_to_store = prev_c or latest_prev_cursor_to_store
         pages += 1

         return prev_c, prev_more, next_c, next_more

     if start_prev_cursor:
         # Poll new pages toward "previous" until no more
         cur = start_prev_cursor
         while pages < max_pages:
             prev_c, prev_more, _, _ = fetch_one(cur)
             if not prev_more:
                 break
             cur = prev_c
     else:
         # First run: start at newest, then backfill older pages
         prev_c, _, next_c, next_more = fetch_one(None)
         cur = next_c
         while next_more and pages < max_pages:
             _, _, next_c, next_more = fetch_one(cur)
             cur = next_c

     return {
         'project': project_slug,
         'pages': pages,
         'written': total,
         'store_prev_cursor': latest_prev_cursor_to_store
     }
 ```

* Second file: **requirements.txt:**

functions-framework3.* google-cloud-storage2.* urllib3>=2.0.0 ```

Fai clic su Esegui il deployment per salvare la funzione ed eseguirne il deployment.
Attendi il completamento del deployment (2-3 minuti).

Nota :la configurazione del trigger Pub/Sub crea automaticamente le sottoscrizioni e le autorizzazioni necessarie.

Crea job Cloud Scheduler

Cloud Scheduler pubblica messaggi nell'argomento Pub/Sub a intervalli regolari, attivando la funzione Cloud Run.

Nella console di GCP, vai a Cloud Scheduler.
Fai clic su Crea job.

Fornisci i seguenti dettagli di configurazione:

Impostazione	Valore
Nome	`sentry-logs-collector-hourly`
Regione	Seleziona la stessa regione della funzione Cloud Run
Frequenza	`0 * * * *` (ogni ora, all'ora)
Fuso orario	Seleziona il fuso orario (UTC consigliato)
Tipo di target	Pub/Sub
Argomento	Seleziona l'argomento (`sentry-logs-trigger`)
Corpo del messaggio	`{}` (oggetto JSON vuoto)

Fai clic su Crea.

Opzioni di frequenza di pianificazione

Scegli la frequenza in base al volume dei log e ai requisiti di latenza:

Frequenza	Espressione cron	Caso d'uso
Ogni 5 minuti	`/5 * * *`	Volume elevato, bassa latenza
Ogni 15 minuti	`/15 * * *`	Volume medio
Ogni ora	`0 * * * *`	Standard (consigliato)
Ogni 6 ore	`0 /6 * *`	Volume basso, elaborazione batch
Ogni giorno	`0 0 * * *`	Raccolta dei dati storici

Testa il job di pianificazione

Nella console Cloud Scheduler, trova il job.
Fai clic su Forza esecuzione per attivare manualmente.
Attendi qualche secondo e vai a Cloud Run > Servizi > sentry-logs-collector > Log.
Verifica che la funzione sia stata eseguita correttamente.
Controlla il bucket GCS per verificare che i log siano stati scritti.

Recuperare il service account Google SecOps

Google SecOps utilizza un service account univoco per leggere i dati dal tuo bucket GCS. Devi concedere a questo service account l'accesso al tuo bucket.

Recuperare l'email del service account

Vai a Impostazioni SIEM > Feed.
Fai clic su Aggiungi nuovo feed.
Fai clic su Configura un singolo feed.
Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Sentry Logs).
Seleziona Google Cloud Storage V2 come Tipo di origine.
Seleziona Sentry come Tipo di log.
Fai clic su Ottieni service account. Viene visualizzata un'email del service account univoca, ad esempio:
```
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com
```
Copia questo indirizzo email per utilizzarlo nel passaggio successivo.

Nota: ogni istanza di Google SecOps ha un service account univoco. Non utilizzare service account di altre documentazioni o esempi.

Concedi le autorizzazioni IAM al service account Google SecOps

Il service account Google SecOps deve avere il ruolo Visualizzatore oggetti Storage nel bucket GCS.

Vai a Cloud Storage > Bucket.
Fai clic sul nome del bucket.
Vai alla scheda Autorizzazioni.
Fai clic su Concedi l'accesso.
Fornisci i seguenti dettagli di configurazione:
- Aggiungi entità: incolla l'email del service account Google SecOps.
- Assegna i ruoli: seleziona Visualizzatore oggetti Storage.
Fai clic su Salva.

Nota: se prevedi di utilizzare l'opzione di eliminazione "Elimina i file trasferiti" o "Elimina i file trasferiti e le directory vuote", assegna il ruolo Storage Object Admin anziché Storage Object Viewer.

Configura un feed in Google SecOps per importare i log di Sentry

Vai a Impostazioni SIEM > Feed.
Fai clic su Aggiungi nuovo feed.
Fai clic su Configura un singolo feed.
Nel campo Nome feed, inserisci un nome per il feed (ad esempio, Sentry Logs).
Seleziona Google Cloud Storage V2 come Tipo di origine.
Seleziona Sentry come Tipo di log.
Fai clic su Avanti.
Specifica i valori per i seguenti parametri di input:
- URL del bucket di archiviazione: inserisci l'URI del bucket GCS con il percorso del prefisso:
```
gs://sentry-logs/sentry/events/
```
  - Sostituisci:
    - sentry-logs: il nome del bucket GCS.
    - sentry/events/: (Facoltativo) prefisso/percorso della cartella in cui vengono archiviati i log (lascia vuoto per la radice).
  - Esempi:
    - Bucket radice: gs://company-logs/
    - Con prefisso: gs://company-logs/sentry-logs/
    - Con sottocartella: gs://company-logs/sentry/events/
  Nota: includi sempre la barra finale (/) alla fine dell'URI.
- Opzione di eliminazione dell'origine: seleziona l'opzione di eliminazione in base alle tue preferenze:
  - Mai: non elimina mai i file dopo i trasferimenti (opzione consigliata per i test).
  - Elimina file trasferiti: elimina i file dopo il trasferimento riuscito.
  - Elimina file trasferiti e directory vuote: elimina i file e le directory vuote dopo il trasferimento riuscito.
    
    Nota :se selezioni un'opzione di eliminazione, il service account deve disporre del ruolo Storage Object Admin anziché di Storage Object Viewer. Aggiorna le autorizzazioni IAM di conseguenza.
- Età massima del file: includi i file modificati nell'ultimo numero di giorni. Il valore predefinito è 180 giorni.
- Spazio dei nomi dell'asset: lo spazio dei nomi dell'asset.
- Etichette di importazione: l'etichetta da applicare agli eventi di questo feed.
Fai clic su Avanti.
Controlla la nuova configurazione del feed nella schermata Finalizza e poi fai clic su Invia.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.