Sentry 로그 수집
다음에서 지원:
Google secops
SIEM
이 문서에서는 Google Cloud Storage를 사용하여 Google Security Operations에 Sentry 로그를 수집하는 방법을 설명합니다. Sentry는 이벤트, 문제, 성능 모니터링 데이터, 오류 추적 정보의 형태로 운영 데이터를 생성합니다. 이 통합을 사용하면 이러한 로그를 Google SecOps로 전송하여 분석 및 모니터링할 수 있으므로 Sentry에서 모니터링하는 애플리케이션 내의 애플리케이션 오류, 성능 문제, 사용자 상호작용을 파악할 수 있습니다.
시작하기 전에
다음 기본 요건이 충족되었는지 확인합니다.
- Google SecOps 인스턴스
- Cloud Storage API가 사용 설정된 GCP 프로젝트
- GCS 버킷을 만들고 관리할 수 있는 권한
- GCS 버킷의 IAM 정책을 관리할 수 있는 권한
- Cloud Run 함수, Pub/Sub 주제, Cloud Scheduler 작업을 만들 수 있는 권한
- Sentry 테넌트에 대한 권한 액세스 (API 범위가 있는 인증 토큰)
Sentry 기본 요건 (ID, API 키, 조직 ID, 토큰) 수집
- Sentry에 로그인합니다.
- 조직 슬러그를 찾습니다.
- 설정 > 조직 > 설정 > 조직 ID로 이동합니다 (슬러그는 조직 이름 옆에 표시됨).
- 인증 토큰을 만듭니다.
- 설정 > 개발자 설정 > 개인 토큰으로 이동합니다.
- 새 토큰 만들기를 클릭합니다.
- 범위 (최소):
org:read,project:read,event:read - 토큰 만들기를 클릭합니다.
- 토큰 값을 복사합니다 (한 번 표시됨).
Authorization: Bearer <token>와 같이 사용됩니다.
(자체 호스팅인 경우) 기본 URL (예:
https://<your-domain>)을 기록합니다. 그렇지 않으면https://sentry.io을 사용합니다.
Google Cloud Storage 버킷 만들기
- Google Cloud Console로 이동합니다.
- 프로젝트를 선택하거나 새 프로젝트를 만듭니다.
- 탐색 메뉴에서 Cloud Storage> 버킷으로 이동합니다.
- 버킷 만들기를 클릭합니다.
다음 구성 세부정보를 제공합니다.
설정 값 버킷 이름 지정 전역적으로 고유한 이름 (예: sentry-logs)을 입력합니다.위치 유형 필요에 따라 선택 (리전, 이중 리전, 멀티 리전) 위치 위치를 선택합니다 (예: us-central1).스토리지 클래스 Standard (자주 액세스하는 로그에 권장) 액세스 제어 균일 (권장) 보호 도구 선택사항: 객체 버전 관리 또는 보관 정책 사용 설정 만들기를 클릭합니다.
Cloud Run 함수의 서비스 계정 만들기
Cloud Run 함수에는 GCS 버킷에 쓸 수 있고 Pub/Sub에서 호출할 수 있는 권한이 있는 서비스 계정이 필요합니다.
서비스 계정 만들기
- GCP 콘솔에서 IAM 및 관리자 > 서비스 계정으로 이동합니다.
- 서비스 계정 만들기를 클릭합니다.
- 다음 구성 세부정보를 제공합니다.
- 서비스 계정 이름:
sentry-logs-collector-sa을 입력합니다. - 서비스 계정 설명:
Service account for Cloud Run function to collect Sentry logs을 입력합니다.
- 서비스 계정 이름:
- 만들고 계속하기를 클릭합니다.
- 이 서비스 계정에 프로젝트에 대한 액세스 권한 부여 섹션에서 다음 역할을 추가합니다.
- 역할 선택을 클릭합니다.
- 스토리지 객체 관리자를 검색하여 선택합니다.
- + 다른 역할 추가를 클릭합니다.
- Cloud Run 호출자를 검색하여 선택합니다.
- + 다른 역할 추가를 클릭합니다.
- Cloud Functions 호출자를 검색하여 선택합니다.
- 계속을 클릭합니다.
- 완료를 클릭합니다.
이러한 역할은 다음 작업에 필요합니다.
- 스토리지 객체 관리자: GCS 버킷에 로그를 쓰고 상태 파일을 관리합니다.
- Cloud Run 호출자: Pub/Sub가 함수를 호출하도록 허용
- Cloud Functions 호출자: 함수 호출 허용
GCS 버킷에 대한 IAM 권한 부여
GCS 버킷에 대한 쓰기 권한을 서비스 계정에 부여합니다.
- Cloud Storage> 버킷으로 이동합니다.
- 버킷 이름을 클릭합니다.
- 권한 탭으로 이동합니다.
- 액세스 권한 부여를 클릭합니다.
- 다음 구성 세부정보를 제공합니다.
- 주 구성원 추가: 서비스 계정 이메일 (예:
sentry-logs-collector-sa@PROJECT_ID.iam.gserviceaccount.com)을 입력합니다. - 역할 할당: 스토리지 객체 관리자를 선택합니다.
- 주 구성원 추가: 서비스 계정 이메일 (예:
- 저장을 클릭합니다.
게시/구독 주제 만들기
Cloud Scheduler가 게시하고 Cloud Run 함수가 구독할 Pub/Sub 주제를 만듭니다.
- GCP Console에서 Pub/Sub > 주제로 이동합니다.
- 주제 만들기를 클릭합니다.
- 다음 구성 세부정보를 제공합니다.
- 주제 ID:
sentry-logs-trigger를 입력합니다. - 다른 설정은 기본값으로 둡니다.
- 주제 ID:
- 만들기를 클릭합니다.
로그를 수집하는 Cloud Run 함수 만들기
Cloud Run 함수는 Cloud Scheduler의 Pub/Sub 메시지에 의해 트리거되어 Sentry API에서 로그를 가져오고 GCS에 작성합니다.
- GCP 콘솔에서 Cloud Run으로 이동합니다.
- 서비스 만들기를 클릭합니다.
- 함수를 선택합니다 (인라인 편집기를 사용하여 함수 만들기).
구성 섹션에서 다음 구성 세부정보를 제공합니다.
설정 값 서비스 이름 sentry-logs-collector리전 GCS 버킷과 일치하는 리전을 선택합니다 (예: us-central1).런타임 Python 3.12 이상 선택 트리거 (선택사항) 섹션에서 다음을 수행합니다.
- + 트리거 추가를 클릭합니다.
- Cloud Pub/Sub를 선택합니다.
- Cloud Pub/Sub 주제 선택에서 주제 (
sentry-logs-trigger)를 선택합니다. - 저장을 클릭합니다.
인증 섹션에서 다음을 구성합니다.
- 인증 필요를 선택합니다.
- ID 및 액세스 관리 (IAM)를 확인합니다.
아래로 스크롤하고 컨테이너, 네트워킹, 보안을 펼칩니다.
보안 탭으로 이동합니다.
- 서비스 계정: 서비스 계정 (
sentry-logs-collector-sa)을 선택합니다.
- 서비스 계정: 서비스 계정 (
컨테이너 탭으로 이동합니다.
- 변수 및 보안 비밀을 클릭합니다.
- 각 환경 변수에 대해 + 변수 추가를 클릭합니다.
변수 이름 예시 값 설명 GCS_BUCKETsentry-logs데이터가 저장될 GCS 버킷 이름입니다. GCS_PREFIXsentry/events/객체의 선택적 GCS 접두사 (하위 폴더)입니다. STATE_KEYsentry/events/state.json선택적 상태/체크포인트 파일 키입니다. SENTRY_ORGyour-org-slugSentry 조직 슬러그입니다. SENTRY_AUTH_TOKENsntrys_************************org:read, project:read, event:read 권한이 있는 Sentry 인증 토큰 SENTRY_API_BASEhttps://sentry.ioSentry API 기본 URL (자체 호스팅: https://<your-domain>)MAX_PROJECTS100처리할 최대 프로젝트 수입니다. MAX_PAGES_PER_PROJECT5실행당 프로젝트별 최대 페이지 수입니다. 변수 및 보안 비밀 탭에서 요청까지 아래로 스크롤합니다.
- 요청 제한 시간:
600초 (10분)를 입력합니다.
- 요청 제한 시간:
컨테이너의 설정 탭으로 이동합니다.
- 리소스 섹션에서 다음을 수행합니다.
- 메모리: 512MiB 이상을 선택합니다.
- CPU: 1을 선택합니다.
- 완료를 클릭합니다.
- 리소스 섹션에서 다음을 수행합니다.
실행 환경으로 스크롤합니다.
- 기본을 선택합니다 (권장).
버전 확장 섹션에서 다음을 수행합니다.
- 최소 인스턴스 수:
0를 입력합니다. - 최대 인스턴스 수:
100을 입력합니다 (또는 예상 부하에 따라 조정).
- 최소 인스턴스 수:
만들기를 클릭합니다.
서비스가 생성될 때까지 기다립니다 (1~2분).
서비스가 생성되면 인라인 코드 편집기가 자동으로 열립니다.
함수 코드 추가
- 함수 진입점에 main을 입력합니다.
인라인 코드 편집기에서 다음 두 파일을 만듭니다.
- 첫 번째 파일: main.py:
import functions_framework from google.cloud import storage import json import os import urllib3 from datetime import datetime, timezone import time # Initialize HTTP client http = urllib3.PoolManager() # Initialize Storage client storage_client = storage.Client() @functions_framework.cloud_event def main(cloud_event): """ Cloud Run function triggered by Pub/Sub to fetch Sentry events and write to GCS. Args: cloud_event: CloudEvent object containing Pub/Sub message """ # Get environment variables bucket_name = os.environ.get('GCS_BUCKET') prefix = os.environ.get('GCS_PREFIX', 'sentry/events/') state_key = os.environ.get('STATE_KEY', 'sentry/events/state.json') org = os.environ.get('SENTRY_ORG', '').strip() token = os.environ.get('SENTRY_AUTH_TOKEN', '').strip() api_base = os.environ.get('SENTRY_API_BASE', 'https://sentry.io').rstrip('/') max_projects = int(os.environ.get('MAX_PROJECTS', '100')) max_pages_per_project = int(os.environ.get('MAX_PAGES_PER_PROJECT', '5')) if not all([bucket_name, org, token]): print('Error: Missing required environment variables') return try: # Get GCS bucket bucket = storage_client.bucket(bucket_name) # Load state state = load_state(bucket, state_key) state.setdefault('projects', {}) # Get list of projects projects = list_projects(api_base, org, token, max_projects) print(f'Found {len(projects)} projects') summary = [] # Process each project for slug in projects: start_prev = state['projects'].get(slug, {}).get('prev_cursor') res = fetch_project_events( api_base, org, token, slug, start_prev, max_pages_per_project, bucket, prefix ) if res.get('store_prev_cursor'): state['projects'][slug] = {'prev_cursor': res['store_prev_cursor']} summary.append(res) # Save state save_state(bucket, state_key, state) print(f'Successfully processed {len(projects)} projects') print(f'Summary: {json.dumps(summary)}') except Exception as e: print(f'Error processing logs: {str(e)}') raise def load_state(bucket, key): """Load state from GCS.""" try: blob = bucket.blob(key) if blob.exists(): state_data = blob.download_as_text() return json.loads(state_data) if state_data else {'projects': {}} except Exception as e: print(f'Warning: Could not load state: {str(e)}') return {'projects': {}} def save_state(bucket, key, state): """Save state to GCS.""" try: blob = bucket.blob(key) blob.upload_from_string( json.dumps(state, separators=(',', ':')), content_type='application/json' ) except Exception as e: print(f'Warning: Could not save state: {str(e)}') def sentry_request(api_base, token, path, params=None): """Make request to Sentry API.""" url = f"{api_base}{path}" if params: url = f"{url}?{urllib3.request.urlencode(params)}" headers = { 'Authorization': f'Bearer {token}', 'Accept': 'application/json', 'User-Agent': 'chronicle-gcs-sentry-function/1.0' } response = http.request('GET', url, headers=headers, timeout=60.0) data = json.loads(response.data.decode('utf-8')) link = response.headers.get('Link') return data, link def parse_link_header(link_header): """Parse Link header to extract cursors.""" if not link_header: return None, False, None, False prev_cursor, next_cursor = None, None prev_more, next_more = False, False parts = [p.strip() for p in link_header.split(',')] for p in parts: if '<' not in p or '>' not in p: continue url = p.split('<', 1)[1].split('>', 1)[0] rel = 'previous' if 'rel="previous"' in p else ('next' if 'rel="next"' in p else None) has_more = 'results="true"' in p try: from urllib.parse import urlparse, parse_qs q = urlparse(url).query cur = parse_qs(q).get('cursor', [None])[0] except Exception: cur = None if rel == 'previous': prev_cursor, prev_more = cur, has_more elif rel == 'next': next_cursor, next_more = cur, has_more return prev_cursor, prev_more, next_cursor, next_more def write_page(bucket, prefix, project_slug, payload, page_idx): """Write page of events to GCS.""" ts = time.gmtime() key = f"{prefix.rstrip('/')}/{time.strftime('%Y/%m/%d', ts)}/sentry-{project_slug}-{page_idx:05d}.json" blob = bucket.blob(key) blob.upload_from_string( json.dumps(payload, separators=(',', ':')), content_type='application/json' ) return key def list_projects(api_base, org, token, max_projects): """List Sentry projects.""" projects, cursor = [], None while len(projects) < max_projects: params = {'cursor': cursor} if cursor else {} data, link = sentry_request(api_base, token, f'/api/0/organizations/{org}/projects/', params) for p in data: slug = p.get('slug') if slug: projects.append(slug) if len(projects) >= max_projects: break _, _, next_cursor, next_more = parse_link_header(link) cursor = next_cursor if next_more else None if not next_more: break return projects def fetch_project_events(api_base, org, token, project_slug, start_prev_cursor, max_pages, bucket, prefix): """Fetch events for a project.""" pages = 0 total = 0 latest_prev_cursor_to_store = None def fetch_one(cursor): nonlocal pages, total, latest_prev_cursor_to_store params = {'cursor': cursor} if cursor else {} data, link = sentry_request(api_base, token, f'/api/0/projects/{org}/{project_slug}/events/', params) write_page(bucket, prefix, project_slug, data, pages) total += len(data) if isinstance(data, list) else 0 prev_c, prev_more, next_c, next_more = parse_link_header(link) latest_prev_cursor_to_store = prev_c or latest_prev_cursor_to_store pages += 1 return prev_c, prev_more, next_c, next_more if start_prev_cursor: # Poll new pages toward "previous" until no more cur = start_prev_cursor while pages < max_pages: prev_c, prev_more, _, _ = fetch_one(cur) if not prev_more: break cur = prev_c else: # First run: start at newest, then backfill older pages prev_c, _, next_c, next_more = fetch_one(None) cur = next_c while next_more and pages < max_pages: _, _, next_c, next_more = fetch_one(cur) cur = next_c return { 'project': project_slug, 'pages': pages, 'written': total, 'store_prev_cursor': latest_prev_cursor_to_store } ``` * Second file: **requirements.txt:**functions-framework3.* google-cloud-storage2.* urllib3>=2.0.0 ```
배포를 클릭하여 함수를 저장하고 배포합니다.
배포가 완료될 때까지 기다립니다 (2~3분).
Cloud Scheduler 작업 만들기
Cloud Scheduler는 일정 간격으로 Pub/Sub 주제에 메시지를 게시하여 Cloud Run 함수를 트리거합니다.
- GCP Console에서 Cloud Scheduler로 이동합니다.
- 작업 만들기를 클릭합니다.
다음 구성 세부정보를 제공합니다.
설정 값 이름 sentry-logs-collector-hourly리전 Cloud Run 함수와 동일한 리전 선택 주파수 0 * * * *(매시간 정각)시간대 시간대 선택 (UTC 권장) 타겟 유형 Pub/Sub 주제 주제 선택 ( sentry-logs-trigger)메일 본문 {}(빈 JSON 객체)만들기를 클릭합니다.
일정 빈도 옵션
로그 볼륨 및 지연 시간 요구사항에 따라 빈도를 선택합니다.
빈도 크론 표현식 사용 사례 5분마다 */5 * * * *대용량, 저지연 15분마다 */15 * * * *검색량 보통 1시간마다 0 * * * *일반(권장) 6시간마다 0 */6 * * *양이 적은 일괄 처리 매일 0 0 * * *이전 데이터 수집
스케줄러 작업 테스트
- Cloud Scheduler 콘솔에서 작업을 찾습니다.
- 강제 실행을 클릭하여 수동으로 트리거합니다.
- 몇 초간 기다린 후 Cloud Run > 서비스 > sentry-logs-collector > 로그로 이동합니다.
- 함수가 성공적으로 실행되었는지 확인합니다.
- GCS 버킷을 확인하여 로그가 작성되었는지 확인합니다.
Google SecOps 서비스 계정 가져오기
Google SecOps는 고유한 서비스 계정을 사용하여 GCS 버킷에서 데이터를 읽습니다. 이 서비스 계정에 버킷에 대한 액세스 권한을 부여해야 합니다.
서비스 계정 이메일 가져오기
- SIEM 설정> 피드로 이동합니다.
- 새 피드 추가를 클릭합니다.
- 단일 피드 구성을 클릭합니다.
- 피드 이름 필드에 피드 이름을 입력합니다(예:
Sentry Logs). - 소스 유형으로 Google Cloud Storage V2를 선택합니다.
- 로그 유형으로 Sentry를 선택합니다.
서비스 계정 가져오기를 클릭합니다. 고유한 서비스 계정 이메일이 표시됩니다. 예를 들면 다음과 같습니다.
chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com다음 단계에서 사용할 수 있도록 이 이메일 주소를 복사합니다.
Google SecOps 서비스 계정에 IAM 권한 부여
Google SecOps 서비스 계정에는 GCS 버킷에 대한 스토리지 객체 뷰어 역할이 필요합니다.
- Cloud Storage> 버킷으로 이동합니다.
- 버킷 이름을 클릭합니다.
- 권한 탭으로 이동합니다.
- 액세스 권한 부여를 클릭합니다.
- 다음 구성 세부정보를 제공합니다.
- 주 구성원 추가: Google SecOps 서비스 계정 이메일을 붙여넣습니다.
- 역할 할당: 스토리지 객체 뷰어를 선택합니다.
저장을 클릭합니다.
Sentry 로그를 수집하도록 Google SecOps에서 피드 구성
- SIEM 설정> 피드로 이동합니다.
- 새 피드 추가를 클릭합니다.
- 단일 피드 구성을 클릭합니다.
- 피드 이름 필드에 피드 이름을 입력합니다(예:
Sentry Logs). - 소스 유형으로 Google Cloud Storage V2를 선택합니다.
- 로그 유형으로 Sentry를 선택합니다.
- 다음을 클릭합니다.
다음 입력 매개변수의 값을 지정합니다.
스토리지 버킷 URL: 다음 접두사 경로를 사용하여 GCS 버킷 URI를 입력합니다.
gs://sentry-logs/sentry/events/다음과 같이 바꿉니다.
sentry-logs: GCS 버킷 이름입니다.sentry/events/: 로그가 저장되는 선택적 접두사/폴더 경로입니다 (루트의 경우 비워 둠).
예:
- 루트 버킷:
gs://company-logs/ - 접두사 사용:
gs://company-logs/sentry-logs/ - 하위 폴더 사용:
gs://company-logs/sentry/events/
- 루트 버킷:
소스 삭제 옵션: 환경설정에 따라 삭제 옵션을 선택합니다.
- 삭제 안함: 전송 후 파일을 삭제하지 않습니다 (테스트에 권장).
- 전송된 파일 삭제: 전송이 완료되면 파일을 삭제합니다.
전송된 파일 및 빈 디렉터리 삭제: 전송이 완료되면 파일과 빈 디렉터리를 삭제합니다.
최대 파일 기간: 지난 일수 동안 수정된 파일을 포함합니다. 기본값은 180일입니다.
애셋 네임스페이스: 애셋 네임스페이스입니다.
수집 라벨: 이 피드의 이벤트에 적용할 라벨입니다.
다음을 클릭합니다.
확정 화면에서 새 피드 구성을 검토한 다음 제출을 클릭합니다.
도움이 더 필요한가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.