Coletar registros da plataforma Swimlane

Compatível com:

Este documento explica como ingerir registros da plataforma Swimlane no Google Security Operations usando o Google Cloud Storage. A plataforma Swimlane é uma plataforma de orquestração, automação e resposta de segurança (SOAR) que oferece recursos de registro de auditoria para rastrear atividades do usuário, mudanças de configuração e eventos do sistema em contas e locatários.

Antes de começar

Verifique se você atende os seguintes pré-requisitos:

  • Uma instância do Google SecOps
  • Um projeto do GCP com a API Cloud Storage ativada
  • Permissões para criar e gerenciar buckets do GCS
  • Permissões para gerenciar políticas do IAM em buckets do GCS
  • Permissões para criar serviços do Cloud Run, tópicos do Pub/Sub e jobs do Cloud Scheduler
  • Acesso privilegiado à plataforma Swimlane com permissões de administrador da conta para acessar registros de auditoria
  • URL da instância da plataforma Swimlane e credenciais da conta

Coletar credenciais da plataforma Swimlane

Acessar o URL da instância da plataforma Swimlane

  1. Faça login na sua instância da plataforma Swimlane.
  2. Anote o URL da instância na barra de endereço do navegador.
    • Formato: https://<region>.swimlane.app (por exemplo, https://us.swimlane.app ou https://eu.swimlane.app)
    • Exemplo: se você acessar o Swimlane em https://us.swimlane.app/workspace, o URL base será https://us.swimlane.app.

Criar token de acesso pessoal

  1. Faça login na plataforma Swimlane como administrador da conta.
  2. Acesse Opções de perfil.
  3. Clique em Perfil para abrir o editor de perfil.
  4. Navegue até a seção Token de acesso pessoal.
  5. Clique em Gerar token para criar um novo token de acesso pessoal.
  6. Copie o token imediatamente e armazene-o com segurança. Ele não será mostrado novamente.

Receber ID da conta

Entre em contato com o administrador do Swimlane se você não souber seu ID da conta. O ID da conta é obrigatório para o caminho da API Audit Log.

Registre os seguintes detalhes da integração:

  • Token de acesso pessoal (PAT): usado no cabeçalho Private-Token para chamadas de API.
  • ID da conta: obrigatório para o caminho da API Audit Log /api/public/audit/account/{ACCOUNT_ID}/auditlogs.
  • URL base: seu domínio do Swimlane (por exemplo, https://eu.swimlane.app, https://us.swimlane.app).

Verifique as permissões

Para verificar se sua conta tem as permissões necessárias para acessar os registros de auditoria:

  1. Faça login na plataforma Swimlane.
  2. Confirme se você tem acesso de administrador da conta.

  3. Entre em contato com o administrador do Swimlane se não for possível acessar os recursos de registro de auditoria.

Testar o acesso à API

  • Antes de prosseguir com a integração, verifique se as credenciais da API funcionam corretamente:

    # Replace with your actual credentials
SWIMLANE_BASE_URL="https://<region>.swimlane.app"
SWIMLANE_ACCOUNT_ID="<your-account-id>"
SWIMLANE_PAT_TOKEN="<your-personal-access-token>"

# Test API access
curl -v -X GET "${SWIMLANE_BASE_URL}/api/public/audit/account/${SWIMLANE_ACCOUNT_ID}/auditlogs?pageNumber=1&pageSize=10" \
  -H "Private-Token: ${SWIMLANE_PAT_TOKEN}" \
  -H "Accept: application/json"

Resposta esperada: HTTP 200 com JSON contendo registros de auditoria.

Se você receber erros:

  • HTTP 401: verifique se o token de acesso pessoal está correto
  • HTTP 403: verifique se sua conta tem permissões de administrador da conta
  • HTTP 404: verifique se o ID da conta e o URL base estão corretos.

Criar um bucket do Google Cloud Storage

  1. Acesse o Console do Google Cloud.
  2. Selecione seu projeto ou crie um novo.
  3. No menu de navegação, acesse Cloud Storage > Buckets.
  4. Clique em Criar bucket.

  5. Informe os seguintes detalhes de configuração:

    Configuração Valor
    Nomeie seu bucket Insira um nome exclusivo globalmente, por exemplo, swimlane-audit.
    Tipo de local Escolha com base nas suas necessidades (região, birregional, multirregional)
    Local Selecione o local (por exemplo, us-central1).
    Classe de armazenamento Padrão (recomendado para registros acessados com frequência)
    Controle de acesso Uniforme (recomendado)
    Ferramentas de proteção Opcional: ativar o controle de versões de objetos ou a política de retenção

  6. Clique em Criar.

Criar uma conta de serviço para a função do Cloud Run

A função do Cloud Run precisa de uma conta de serviço com permissões para gravar no bucket do GCS e ser invocada pelo Pub/Sub.

Criar conta de serviço

  1. No Console do GCP, acesse IAM e administrador > Contas de serviço.
  2. Clique em Criar conta de serviço.
  3. Informe os seguintes detalhes de configuração:
    • Nome da conta de serviço: insira swimlane-audit-collector-sa.
    • Descrição da conta de serviço: insira Service account for Cloud Run function to collect Swimlane Platform logs.
  4. Clique em Criar e continuar.
  5. Na seção Conceder acesso a essa conta de serviço ao projeto, adicione os seguintes papéis:
    1. Clique em Selecionar papel.
    2. Pesquise e selecione Administrador de objetos do Storage.
    3. Clique em + Adicionar outro papel.
    4. Pesquise e selecione Invocador do Cloud Run.
    5. Clique em + Adicionar outro papel.
    6. Pesquise e selecione Invocador do Cloud Functions.
  6. Clique em Continuar.
  7. Clique em Concluído.

Esses papéis são necessários para:

  • Administrador de objetos do Storage: grava registros em um bucket do GCS e gerencia arquivos de estado.
  • Invocador do Cloud Run: permite que o Pub/Sub invoque a função
  • Invocador do Cloud Functions: permite a invocação de funções

Conceder permissões do IAM no bucket do GCS

Conceda permissões de gravação à conta de serviço no bucket do GCS:

  1. Acesse Cloud Storage > Buckets.
  2. Clique no nome do bucket.
  3. Acesse a guia Permissões.
  4. Clique em Conceder acesso.
  5. Informe os seguintes detalhes de configuração:
    • Adicionar principais: insira o e-mail da conta de serviço (por exemplo, swimlane-audit-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
    • Atribuir papéis: selecione Administrador de objetos do Storage.
  6. Clique em Salvar.

Criar tópico Pub/Sub

Crie um tópico do Pub/Sub em que o Cloud Scheduler vai publicar e a função do Cloud Run vai se inscrever.

  1. No Console do GCP, acesse Pub/Sub > Tópicos.
  2. Selecione Criar tópico.
  3. Informe os seguintes detalhes de configuração:
    • ID do tópico: insira swimlane-audit-trigger.
    • Não altere as outras configurações.
  4. Clique em Criar.

Criar uma função do Cloud Run para coletar registros

A função do Cloud Run é acionada por mensagens do Pub/Sub do Cloud Scheduler para buscar registros da API da plataforma Swimlane e gravá-los no GCS.

  1. No console do GCP, acesse o Cloud Run.
  2. Clique em Criar serviço.
  3. Selecione Função (use um editor in-line para criar uma função).

  4. Na seção Configurar, forneça os seguintes detalhes de configuração:

    Configuração Valor
    Nome do serviço swimlane-audit-collector
    Região Selecione a região que corresponde ao seu bucket do GCS (por exemplo, us-central1).
    Ambiente de execução Selecione Python 3.12 ou uma versão mais recente.

  5. Na seção Acionador (opcional):

    1. Clique em + Adicionar gatilho.
    2. Selecione Cloud Pub/Sub.
    3. Em Selecionar um tópico do Cloud Pub/Sub, escolha o tópico do Pub/Sub (swimlane-audit-trigger).
    4. Clique em Salvar.

  6. Na seção Autenticação:

    1. Selecione Exigir autenticação.
    2. Confira o Identity and Access Management (IAM).

  7. Role a tela para baixo e abra Contêineres, rede, segurança.

  8. Acesse a guia Segurança:

    • Conta de serviço: selecione a conta de serviço (swimlane-audit-collector-sa).

  9. Acesse a guia Contêineres:

    1. Clique em Variáveis e secrets.
    2. Clique em + Adicionar variável para cada variável de ambiente:
    Nome da variável Valor de exemplo Descrição
    GCS_BUCKET swimlane-audit Nome do bucket do GCS
    GCS_PREFIX swimlane/audit/ Prefixo para arquivos de registro
    STATE_KEY swimlane/audit/state.json Caminho do arquivo de estado
    SWIMLANE_BASE_URL https://us.swimlane.app URL base da plataforma Swimlane
    SWIMLANE_PAT_TOKEN your-personal-access-token Token de acesso pessoal da faixa
    SWIMLANE_ACCOUNT_ID your-account-id Identificador da conta de faixa
    SWIMLANE_TENANT_LIST `` IDs de locatários separados por vírgulas (opcional, deixe em branco para todos os locatários)
    INCLUDE_ACCOUNT true Incluir registros no nível da conta (verdadeiro/falso)
    PAGE_SIZE 100 Registros por página (máximo de 100)
    LOOKBACK_HOURS 24 Período de lookback inicial
    TIMEOUT 30 Tempo limite de solicitação de API em segundos

  10. Na seção Variáveis e secrets, role a tela para baixo até Solicitações:

    • Tempo limite da solicitação: insira 600 segundos (10 minutos).

  11. Acesse a guia Configurações:

    • Na seção Recursos:
      • Memória: selecione 512 MiB ou mais.
      • CPU: selecione 1.

  12. Na seção Escalonamento de revisão:

    • Número mínimo de instâncias: insira 0.
    • Número máximo de instâncias: insira 100 ou ajuste com base na carga esperada.

  13. Clique em Criar.

  14. Aguarde a criação do serviço (1 a 2 minutos).

  15. Depois que o serviço é criado, o editor de código inline é aberto automaticamente.

Adicionar código da função

  1. Insira main em Ponto de entrada da função.

  2. No editor de código em linha, crie dois arquivos:

    • Primeiro arquivo: main.py::
    import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone, timedelta
import time
import uuid
import gzip
import io

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

# Environment variables
GCS_BUCKET = os.environ.get('GCS_BUCKET')
GCS_PREFIX = os.environ.get('GCS_PREFIX', 'swimlane/audit/')
STATE_KEY = os.environ.get('STATE_KEY', 'swimlane/audit/state.json')
SWIMLANE_BASE_URL = os.environ.get('SWIMLANE_BASE_URL', '').rstrip('/')
SWIMLANE_PAT_TOKEN = os.environ.get('SWIMLANE_PAT_TOKEN')
SWIMLANE_ACCOUNT_ID = os.environ.get('SWIMLANE_ACCOUNT_ID')
SWIMLANE_TENANT_LIST = os.environ.get('SWIMLANE_TENANT_LIST', '')
INCLUDE_ACCOUNT = os.environ.get('INCLUDE_ACCOUNT', 'true').lower() == 'true'
PAGE_SIZE = int(os.environ.get('PAGE_SIZE', '100'))
LOOKBACK_HOURS = int(os.environ.get('LOOKBACK_HOURS', '24'))
TIMEOUT = int(os.environ.get('TIMEOUT', '30'))

def parse_datetime(value: str) -> datetime:
    """Parse ISO datetime string to datetime object."""
    if value.endswith("Z"):
        value = value[:-1] + "+00:00"
    return datetime.fromisoformat(value)

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch Swimlane Platform logs and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    if not all([GCS_BUCKET, SWIMLANE_BASE_URL, SWIMLANE_PAT_TOKEN, SWIMLANE_ACCOUNT_ID]):
        print('Error: Missing required environment variables (GCS_BUCKET, SWIMLANE_BASE_URL, SWIMLANE_PAT_TOKEN, SWIMLANE_ACCOUNT_ID)')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(GCS_BUCKET)

        # Load state
        state = load_state(bucket, STATE_KEY)

        # Determine time window
        now = datetime.now(timezone.utc)
        last_time = None

        if isinstance(state, dict) and state.get("last_event_time"):
            try:
                last_time = parse_datetime(state["last_event_time"])
                # Overlap by 2 minutes to catch any delayed events
                last_time = last_time - timedelta(minutes=2)
            except Exception as e:
                print(f"Warning: Could not parse last_event_time: {e}")

        if last_time is None:
            last_time = now - timedelta(hours=LOOKBACK_HOURS)

        print(f"Fetching logs from {last_time.isoformat()} to {now.isoformat()}")

        # Fetch logs
        records, newest_event_time = fetch_logs(
            base_url=SWIMLANE_BASE_URL,
            pat_token=SWIMLANE_PAT_TOKEN,
            account_id=SWIMLANE_ACCOUNT_ID,
            tenant_list=SWIMLANE_TENANT_LIST,
            include_account=INCLUDE_ACCOUNT,
            start_time=last_time,
            end_time=now,
            page_size=PAGE_SIZE,
        )

        if not records:
            print("No new log records found.")
            save_state(bucket, STATE_KEY, now.isoformat())
            return

        # Write to GCS as gzipped NDJSON
        timestamp = now.strftime('%Y%m%d_%H%M%S')
        object_key = f"{GCS_PREFIX}{now:%Y/%m/%d}/swimlane-audit-{uuid.uuid4()}.json.gz"

        buf = io.BytesIO()
        with gzip.GzipFile(fileobj=buf, mode='w') as gz:
            for record in records:
                gz.write((json.dumps(record, ensure_ascii=False) + '\n').encode())

        buf.seek(0)
        blob = bucket.blob(object_key)
        blob.upload_from_file(buf, content_type='application/gzip')

        print(f"Wrote {len(records)} records to gs://{GCS_BUCKET}/{object_key}")

        # Update state with newest event time
        if newest_event_time:
            save_state(bucket, STATE_KEY, newest_event_time)
        else:
            save_state(bucket, STATE_KEY, now.isoformat())

        print(f"Successfully processed {len(records)} records")

    except Exception as e:
        print(f'Error processing logs: {str(e)}')
        raise

def load_state(bucket, key):
    """Load state from GCS."""
    try:
        blob = bucket.blob(key)
        if blob.exists():
            state_data = blob.download_as_text()
            return json.loads(state_data)
    except Exception as e:
        print(f"Warning: Could not load state: {e}")

    return {}

def save_state(bucket, key, last_event_time_iso: str):
    """Save the last event timestamp to GCS state file."""
    try:
        state = {
            'last_event_time': last_event_time_iso,
            'updated_at': datetime.now(timezone.utc).isoformat() + 'Z'
        }
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(state, indent=2),
            content_type='application/json'
        )
        print(f"Saved state: last_event_time={last_event_time_iso}")
    except Exception as e:
        print(f"Warning: Could not save state: {e}")

def fetch_logs(base_url: str, pat_token: str, account_id: str, tenant_list: str, include_account: bool, start_time: datetime, end_time: datetime, page_size: int):
    """
    Fetch logs from Swimlane Platform API with pagination and rate limiting.

    Args:
        base_url: Swimlane Platform base URL
        pat_token: Personal Access Token
        account_id: Swimlane account identifier
        tenant_list: Comma-separated tenant IDs (optional)
        include_account: Include account-level logs
        start_time: Start time for log query
        end_time: End time for log query
        page_size: Number of records per page (max 100)

    Returns:
        Tuple of (records list, newest_event_time ISO string)
    """

    endpoint = f"{base_url}/api/public/audit/account/{account_id}/auditlogs"

    headers = {
        'Private-Token': pat_token,
        'Accept': 'application/json',
        'Content-Type': 'application/json',
        'User-Agent': 'GoogleSecOps-SwimlaneCollector/1.0'
    }

    records = []
    newest_time = None
    page_num = 1
    backoff = 1.0

    while True:
        params = []
        params.append(f"pageNumber={page_num}")
        params.append(f"pageSize={min(page_size, 100)}")
        params.append(f"fromdate={start_time.isoformat()}")
        params.append(f"todate={end_time.isoformat()}")

        if tenant_list:
            params.append(f"tenantList={tenant_list}")

        params.append(f"includeAccount={'true' if include_account else 'false'}")

        url = f"{endpoint}?{'&'.join(params)}"

        try:
            response = http.request('GET', url, headers=headers, timeout=TIMEOUT)

            # Handle rate limiting with exponential backoff
            if response.status == 429:
                retry_after = int(response.headers.get('Retry-After', str(int(backoff))))
                print(f"Rate limited (429). Retrying after {retry_after}s...")
                time.sleep(retry_after)
                backoff = min(backoff * 2, 30.0)
                continue

            backoff = 1.0

            if response.status == 401:
                print(f"Authentication failed (401). Verify SWIMLANE_PAT_TOKEN is correct.")
                return [], None

            if response.status == 403:
                print(f"Access forbidden (403). Verify account has Account Admin permissions to access audit logs.")
                return [], None

            if response.status == 400:
                print(f"Bad request (400). Verify account_id and query parameters are correct.")
                response_text = response.data.decode('utf-8')
                print(f"Response body: {response_text}")
                return [], None

            if response.status != 200:
                print(f"HTTP Error: {response.status}")
                response_text = response.data.decode('utf-8')
                print(f"Response body: {response_text}")
                return [], None

            data = json.loads(response.data.decode('utf-8'))

            page_results = data.get('auditlogs', [])

            if not page_results:
                print(f"No more results (empty page)")
                break

            print(f"Page {page_num}: Retrieved {len(page_results)} events")
            records.extend(page_results)

            # Track newest event time
            for event in page_results:
                try:
                    event_time = event.get('eventTime') or event.get('EventTime')
                    if event_time:
                        if newest_time is None or parse_datetime(event_time) > parse_datetime(newest_time):
                            newest_time = event_time
                except Exception as e:
                    print(f"Warning: Could not parse event time: {e}")

            # Check for more results
            has_next = data.get('next')
            total_count = data.get('totalCount', 0)

            if not has_next:
                print(f"Reached last page (no next link)")
                break

            # Check if we've hit the 10,000 log limit
            if total_count > 10000 and len(records) >= 10000:
                print(f"Warning: Reached Swimlane API limit of 10,000 logs. Consider narrowing the time range.")
                break

            page_num += 1

        except Exception as e:
            print(f"Error fetching logs: {e}")
            return [], None

    print(f"Retrieved {len(records)} total records from {page_num} pages")
    return records, newest_time
    • Segundo arquivo: requirements.txt:
    functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

  3. Clique em Implantar para salvar e implantar a função.

  4. Aguarde a conclusão da implantação (2 a 3 minutos).

Criar o job do Cloud Scheduler

O Cloud Scheduler publica mensagens no tópico do Pub/Sub em intervalos regulares, acionando a função do Cloud Run.

  1. No Console do GCP, acesse o Cloud Scheduler.
  2. Clique em Criar job.

  3. Informe os seguintes detalhes de configuração:

    Configuração Valor
    Nome swimlane-audit-schedule-15min
    Região Selecione a mesma região da função do Cloud Run
    Frequência */15 * * * * (a cada 15 minutos)
    Fuso horário Selecione o fuso horário (UTC recomendado)
    Tipo de destino Pub/Sub
    Tópico Selecione o tópico do Pub/Sub (swimlane-audit-trigger).
    Corpo da mensagem {} (objeto JSON vazio)

  4. Clique em Criar.

Opções de frequência de programação

  • Escolha a frequência com base no volume de registros e nos requisitos de latência:

    Frequência Expressão Cron Caso de uso
    A cada 5 minutos */5 * * * * Alto volume e baixa latência
    A cada 15 minutos */15 * * * * Padrão (recomendado)
    A cada hora 0 * * * * Volume médio
    A cada 6 horas 0 */6 * * * Baixo volume, processamento em lote
    Diário 0 0 * * * Coleta de dados históricos

Testar a integração

  1. No console do Cloud Scheduler, encontre seu job.
  2. Clique em Executar à força para acionar o job manualmente.
  3. Aguarde alguns segundos.
  4. Acesse Cloud Run > Serviços.
  5. Clique no nome da função (swimlane-audit-collector).
  6. Clique na guia Registros.

  7. Verifique se a função foi executada com sucesso. Procure o seguinte:

    Fetching logs from YYYY-MM-DDTHH:MM:SS+00:00 to YYYY-MM-DDTHH:MM:SS+00:00
Page 1: Retrieved X events
Wrote X records to gs://bucket-name/swimlane/audit/YYYY/MM/DD/swimlane-audit-UUID.json.gz
Successfully processed X records

  8. Acesse Cloud Storage > Buckets.

  9. Clique no nome do bucket.

  10. Navegue até a pasta de prefixo (swimlane/audit/).

  11. Verifique se um novo arquivo .json.gz foi criado com o carimbo de data/hora atual.

Se você encontrar erros nos registros:

  • HTTP 401: verifique SWIMLANE_PAT_TOKEN nas variáveis de ambiente e se o token de acesso pessoal está correto.
  • HTTP 403: verifique se a conta tem permissões de administrador para acessar os registros de auditoria.
  • HTTP 400: verifique se o SWIMLANE_ACCOUNT_ID está correto e se os parâmetros de consulta são válidos.
  • HTTP 404: verifique se SWIMLANE_BASE_URL e o caminho do endpoint da API estão corretos.
  • HTTP 429: limitação de taxa. A função vai tentar novamente automaticamente com espera.
  • Variáveis de ambiente ausentes: verifique se todas as variáveis necessárias estão definidas (GCS_BUCKET, SWIMLANE_BASE_URL, SWIMLANE_PAT_TOKEN, SWIMLANE_ACCOUNT_ID).
  • Erros de conexão: verifique a conectividade de rede com a plataforma Swimlane e as regras de firewall.
  • Aviso de limite de 10.000 registros: reduza LOOKBACK_HOURS ou aumente a frequência do Cloud Scheduler para ficar dentro do limite da API do Swimlane.

Recuperar a conta de serviço do Google SecOps

O Google SecOps usa uma conta de serviço exclusiva para ler dados do seu bucket do GCS. Você precisa conceder a essa conta de serviço acesso ao seu bucket.

Receber o e-mail da conta de serviço

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed (por exemplo, Swimlane Platform logs).
  5. Selecione Google Cloud Storage V2 como o Tipo de origem.
  6. Selecione Plataforma de faixa como o Tipo de registro.

  7. Clique em Receber conta de serviço. Um e-mail exclusivo da conta de serviço é exibido, por exemplo:

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. Copie esse endereço de e-mail para usar na próxima etapa.

Conceder permissões do IAM à conta de serviço do Google SecOps

A conta de serviço do Google SecOps precisa do papel de Leitor de objetos do Storage no seu bucket do GCS.

  1. Acesse Cloud Storage > Buckets.
  2. Clique no nome do bucket.
  3. Acesse a guia Permissões.
  4. Clique em Conceder acesso.
  5. Informe os seguintes detalhes de configuração:
    • Adicionar participantes: cole o e-mail da conta de serviço do Google SecOps.
    • Atribuir papéis: selecione Leitor de objetos do Storage.

  6. Clique em Salvar.

Configurar um feed no Google SecOps para ingerir registros da plataforma Swimlane

  1. Acesse Configurações do SIEM > Feeds.
  2. Clique em Adicionar novo feed.
  3. Clique em Configurar um único feed.
  4. No campo Nome do feed, insira um nome para o feed (por exemplo, Swimlane Platform logs).
  5. Selecione Google Cloud Storage V2 como o Tipo de origem.
  6. Selecione Plataforma de faixa como o Tipo de registro.
  7. Clique em Próxima.

  8. Especifique valores para os seguintes parâmetros de entrada:

    • URL do bucket de armazenamento: insira o URI do bucket do GCS com o caminho do prefixo:

      gs://swimlane-audit/swimlane/audit/

      • Substitua:

        • swimlane-audit: o nome do bucket do GCS.
        • swimlane/audit/: prefixo/caminho da pasta onde os registros são armazenados.

    • Opção de exclusão da fonte: selecione a opção de exclusão de acordo com sua preferência:

      • Nunca: nunca exclui arquivos após as transferências (recomendado para testes).
      • Excluir arquivos transferidos: exclui os arquivos após a transferência bem-sucedida.

      • Excluir arquivos transferidos e diretórios vazios: exclui arquivos e diretórios vazios após a transferência bem-sucedida.

    • Idade máxima do arquivo: inclui arquivos modificados no último número de dias. O padrão é de 180 dias.

    • Namespace do recurso: o namespace do recurso.

    • Rótulos de ingestão: o rótulo a ser aplicado aos eventos deste feed.

  9. Clique em Próxima.

  10. Revise a nova configuração do feed na tela Finalizar e clique em Enviar.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.