Mengumpulkan log Zendesk CRM

Didukung di:

Dokumen ini menjelaskan cara menyerap log Pengelolaan Hubungan Pelanggan (CRM) Zendesk ke Google Security Operations menggunakan Google Cloud Storage. Zendesk CRM menyediakan kemampuan dukungan pelanggan dan pengelolaan tiket. Platform ini melacak interaksi pelanggan, tiket dukungan, dan aktivitas administratif melalui log audit dan data tiket.

Sebelum memulai

Pastikan Anda memiliki prasyarat berikut:

  • Instance Google SecOps
  • Project GCP dengan Cloud Storage API diaktifkan
  • Izin untuk membuat dan mengelola bucket GCS
  • Izin untuk mengelola kebijakan IAM di bucket GCS
  • Izin untuk membuat fungsi Cloud Run, topik Pub/Sub, dan tugas Cloud Scheduler
  • Akses istimewa ke Zendesk (Peran Admin diperlukan untuk pembuatan token API)
  • Paket Zendesk Enterprise (diperlukan untuk akses Audit Logs API)

Mendapatkan prasyarat Zendesk

Konfirmasi paket dan peran

Anda harus menjadi Admin Zendesk untuk membuat token API atau klien OAuth. Audit Logs API hanya tersedia di paket Enterprise dan menampilkan maksimum 100 data per halaman. Jika akun Anda bukan Enterprise, Anda tetap dapat mengumpulkan data tiket inkremental.

Mengaktifkan akses token API (sekali)

  1. Di Pusat Admin, buka Aplikasi dan integrasi > API > Zendesk API.
  2. Di tab Settings, aktifkan Token Access.

Buat token API (untuk Autentikasi dasar)

  1. Buka Aplikasi dan integrasi > API > Zendesk API.
  2. Klik tombol Tambahkan token API.
  3. Tambahkan deskripsi token API secara opsional.
  4. Klik Buat.
  5. Salin dan simpan token API sekarang (Anda tidak akan dapat melihatnya lagi).

  6. Simpan email admin yang akan diautentikasi dengan token ini.

(Opsional) Buat klien OAuth (untuk autentikasi Bearer, bukan token API)

  1. Buka Aplikasi dan integrasi > API > Zendesk API.
  2. Klik tab OAuth Clients.
  3. Klik Tambahkan klien OAuth.
  4. Isi Nama Klien, ID Unik (otomatis), URL Pengalihan (dapat berupa placeholder jika Anda hanya mencetak token dengan API).
  5. Klik Simpan.
  6. Buat token akses untuk integrasi dan berikan cakupan minimum yang diperlukan oleh panduan ini:
    • tickets:read (untuk Tiket Inkremental)
    • auditlogs:read (untuk Log Audit; hanya untuk Enterprise)
  7. Salin token akses (tempel ke variabel lingkungan ZENDESK_BEARER_TOKEN) dan catat ID/rahasia klien dengan aman (untuk alur refresh token mendatang).

Mencatat URL dasar Zendesk Anda

Gunakan https://<your_subdomain>.zendesk.com (tempel ke variabel lingkungan ZENDESK_BASE_URL).

Item yang dapat disimpan untuk nanti

  • URL Dasar (misalnya, https://acme.zendesk.com)
  • Alamat Email pengguna administrator (untuk autentikasi token API)
  • Token API (jika menggunakan AUTH_MODE=token) atau token akses OAuth (jika menggunakan AUTH_MODE=bearer)
  • (Opsional): ID/rahasia klien OAuth untuk pengelolaan siklus proses

Membuat bucket Google Cloud Storage

  1. Buka Google Cloud Console.
  2. Pilih project Anda atau buat project baru.
  3. Di menu navigasi, buka Cloud Storage > Buckets.
  4. Klik Create bucket.

  5. Berikan detail konfigurasi berikut:

    Setelan Nilai
    Beri nama bucket Anda Masukkan nama yang unik secara global (misalnya, zendesk-crm-logs)
    Location type Pilih berdasarkan kebutuhan Anda (Region, Dual-region, Multi-region)
    Lokasi Pilih lokasi (misalnya, us-central1)
    Kelas penyimpanan Standar (direkomendasikan untuk log yang sering diakses)
    Access control Seragam (direkomendasikan)
    Alat perlindungan Opsional: Aktifkan pembuatan versi objek atau kebijakan retensi

  6. Klik Buat.

Buat akun layanan untuk Cloud Run Function

Fungsi Cloud Run memerlukan akun layanan dengan izin untuk menulis ke bucket GCS dan dipanggil oleh Pub/Sub.

Membuat akun layanan

  1. Di GCP Console, buka IAM & Admin > Service Accounts.
  2. Klik Create Service Account.
  3. Berikan detail konfigurasi berikut:
    • Nama akun layanan: Masukkan zendesk-crm-collector-sa.
    • Deskripsi akun layanan: Masukkan Service account for Cloud Run function to collect Zendesk CRM logs.
  4. Klik Create and Continue.
  5. Di bagian Berikan akun layanan ini akses ke project, tambahkan peran berikut:
    1. Klik Pilih peran.
    2. Telusuri dan pilih Storage Object Admin.
    3. Klik + Add another role.
    4. Telusuri dan pilih Cloud Run Invoker.
    5. Klik + Add another role.
    6. Telusuri dan pilih Cloud Functions Invoker.
  6. Klik Lanjutkan.
  7. Klik Selesai.

Peran ini diperlukan untuk:

  • Storage Object Admin: Menulis log ke bucket GCS dan mengelola file status
  • Cloud Run Invoker: Mengizinkan Pub/Sub memanggil fungsi
  • Cloud Functions Invoker: Mengizinkan pemanggilan fungsi

Memberikan izin IAM pada bucket GCS

Beri akun layanan izin tulis di bucket GCS:

  1. Buka Cloud Storage > Buckets.
  2. Klik nama bucket Anda.
  3. Buka tab Izin.
  4. Klik Grant access.
  5. Berikan detail konfigurasi berikut:
    • Tambahkan prinsipal: Masukkan email akun layanan (misalnya, zendesk-crm-collector-sa@PROJECT_ID.iam.gserviceaccount.com).
    • Tetapkan peran: Pilih Storage Object Admin.
  6. Klik Simpan.

Membuat topik Pub/Sub

Buat topik Pub/Sub yang akan dipublikasikan oleh Cloud Scheduler dan akan dilanggan oleh fungsi Cloud Run.

  1. Di GCP Console, buka Pub/Sub > Topics.
  2. Klik Create topic.
  3. Berikan detail konfigurasi berikut:
    • ID Topik: Masukkan zendesk-crm-trigger.
    • Biarkan setelan lainnya tetap default.
  4. Klik Buat.

Membuat fungsi Cloud Run untuk mengumpulkan log

Fungsi Cloud Run dipicu oleh pesan Pub/Sub dari Cloud Scheduler untuk mengambil log dari Zendesk API dan menuliskannya ke GCS.

  1. Di GCP Console, buka Cloud Run.
  2. Klik Create service.
  3. Pilih Function (gunakan editor inline untuk membuat fungsi).

  4. Di bagian Konfigurasi, berikan detail konfigurasi berikut:

    Setelan Nilai
    Nama layanan zendesk-crm-collector
    Wilayah Pilih region yang cocok dengan bucket GCS Anda (misalnya, us-central1)
    Runtime Pilih Python 3.12 atau yang lebih baru

  5. Di bagian Pemicu (opsional):

    1. Klik + Tambahkan pemicu.
    2. Pilih Cloud Pub/Sub.
    3. Di Select a Cloud Pub/Sub topic, pilih topik zendesk-crm-trigger.
    4. Klik Simpan.

  6. Di bagian Authentication:

    1. Pilih Wajibkan autentikasi.
    2. Periksa Identity and Access Management (IAM).

  7. Scroll ke bawah dan luaskan Containers, Networking, Security.

  8. Buka tab Security:

    • Akun layanan: Pilih akun layanan zendesk-crm-collector-sa.

  9. Buka tab Containers:

    1. Klik Variables & Secrets.
    2. Klik + Tambahkan variabel untuk setiap variabel lingkungan:
    Nama Variabel Nilai Contoh Deskripsi
    GCS_BUCKET zendesk-crm-logs Nama bucket GCS
    GCS_PREFIX zendesk/crm/ Awalan untuk file log
    STATE_KEY zendesk/crm/state.json Jalur file status
    ZENDESK_BASE_URL https://your_subdomain.zendesk.com URL dasar Zendesk
    AUTH_MODE token Mode autentikasi (token atau bearer)
    ZENDESK_EMAIL analyst@example.com Email admin untuk autentikasi token API
    ZENDESK_API_TOKEN <api_token> Token API untuk autentikasi
    ZENDESK_BEARER_TOKEN <leave empty unless using OAuth bearer> Token pemilik OAuth (opsional)
    RESOURCES audit_logs,incremental_tickets Sumber daya yang akan dikumpulkan
    MAX_PAGES 20 Halaman maksimum per proses
    LOOKBACK_SECONDS 3600 Periode lihat balik awal
    HTTP_TIMEOUT 60 Waktu-habis permintaan HTTP
    HTTP_RETRIES 3 Upaya coba lagi HTTP

  10. Di bagian Variables & Secrets, scroll ke bawah ke Requests:

    • Waktu tunggu permintaan: Masukkan 600 detik (10 menit).

  11. Buka tab Setelan:

    • Di bagian Materi:
      • Memori: Pilih 512 MiB atau yang lebih tinggi.
      • CPU: Pilih 1.

  12. Di bagian Penskalaan revisi:

    • Jumlah minimum instance: Masukkan 0.
    • Jumlah maksimum instance: Masukkan 100 (atau sesuaikan berdasarkan perkiraan beban).

  13. Klik Buat.

  14. Tunggu hingga layanan dibuat (1-2 menit).

  15. Setelah layanan dibuat, editor kode inline akan terbuka secara otomatis.

Menambahkan kode fungsi

  1. Masukkan main di Function entry point

  2. Di editor kode inline, buat dua file:

    • File pertama: main.py:
    import functions_framework
from google.cloud import storage
import json
import os
import urllib3
from datetime import datetime, timezone
import base64
import time

# Initialize HTTP client with timeouts
http = urllib3.PoolManager(
    timeout=urllib3.Timeout(connect=5.0, read=30.0),
    retries=False,
)

# Initialize Storage client
storage_client = storage.Client()

@functions_framework.cloud_event
def main(cloud_event):
    """
    Cloud Run function triggered by Pub/Sub to fetch logs from Zendesk API and write to GCS.

    Args:
        cloud_event: CloudEvent object containing Pub/Sub message
    """

    # Get environment variables
    bucket_name = os.environ.get('GCS_BUCKET')
    prefix = os.environ.get('GCS_PREFIX', 'zendesk/crm/')
    state_key = os.environ.get('STATE_KEY', 'zendesk/crm/state.json')

    base_url = os.environ.get('ZENDESK_BASE_URL', '').rstrip('/')
    auth_mode = os.environ.get('AUTH_MODE', 'token').lower()
    email = os.environ.get('ZENDESK_EMAIL', '')
    api_token = os.environ.get('ZENDESK_API_TOKEN', '')
    bearer = os.environ.get('ZENDESK_BEARER_TOKEN', '')

    resources = [r.strip() for r in os.environ.get('RESOURCES', 'audit_logs,incremental_tickets').split(',') if r.strip()]
    max_pages = int(os.environ.get('MAX_PAGES', '20'))
    lookback = int(os.environ.get('LOOKBACK_SECONDS', '3600'))
    http_timeout = int(os.environ.get('HTTP_TIMEOUT', '60'))
    http_retries = int(os.environ.get('HTTP_RETRIES', '3'))

    if not all([bucket_name, base_url]):
        print('Error: Missing required environment variables')
        return

    try:
        # Get GCS bucket
        bucket = storage_client.bucket(bucket_name)

        # Load state
        state = load_state(bucket, state_key)

        print(f'Processing resources: {resources}')

        summary = []

        if 'audit_logs' in resources:
            res = fetch_audit_logs(
                bucket, prefix, state.get('audit_logs', {}),
                base_url, auth_mode, email, api_token, bearer,
                max_pages, http_timeout, http_retries
            )
            state['audit_logs'] = {'next_url': res.get('next_url')}
            summary.append(res)

        if 'incremental_tickets' in resources:
            res = fetch_incremental_tickets(
                bucket, prefix, state.get('incremental_tickets', {}),
                base_url, auth_mode, email, api_token, bearer,
                max_pages, lookback, http_timeout, http_retries
            )
            state['incremental_tickets'] = {'cursor': res.get('cursor')}
            summary.append(res)

        # Save state
        save_state(bucket, state_key, state)

        print(f'Successfully processed logs: {summary}')

    except Exception as e:
        print(f'Error processing logs: {str(e)}')
        raise

def get_headers(auth_mode, email, api_token, bearer):
    """Get authentication headers."""
    if auth_mode == 'bearer' and bearer:
        return {
            'Authorization': f'Bearer {bearer}',
            'Accept': 'application/json'
        }
    if auth_mode == 'token' and email and api_token:
        auth_string = f'{email}/token:{api_token}'
        auth_bytes = auth_string.encode('utf-8')
        token = base64.b64encode(auth_bytes).decode('utf-8')
        return {
            'Authorization': f'Basic {token}',
            'Accept': 'application/json'
        }
    raise RuntimeError('Invalid auth settings: provide token (EMAIL + API_TOKEN) or BEARER')

def http_get_json(url, headers, timeout, retries):
    """Make HTTP GET request with retries and exponential backoff."""
    attempt = 0
    backoff = 1.0
    while True:
        try:
            response = http.request('GET', url, headers=headers, timeout=timeout)
            if response.status == 200:
                return json.loads(response.data.decode('utf-8'))
            elif response.status in (429, 500, 502, 503, 504) and attempt < retries:
                retry_after = int(response.headers.get('Retry-After', int(backoff)))
                print(f'HTTP {response.status}: Retrying after {retry_after}s (attempt {attempt + 1}/{retries})')
                time.sleep(max(1, retry_after))
                backoff = min(backoff * 2, 30.0)
                attempt += 1
                continue
            else:
                raise Exception(f'HTTP {response.status}: {response.data.decode("utf-8")}')
        except Exception as e:
            if attempt < retries:
                print(f'Request error: {e}. Retrying after {int(backoff)}s (attempt {attempt + 1}/{retries})')
                time.sleep(backoff)
                backoff = min(backoff * 2, 30.0)
                attempt += 1
                continue
            raise

def put_page(bucket, prefix, payload, resource):
    """Write page to GCS."""
    ts = datetime.now(timezone.utc)
    key = f'{prefix}{ts.strftime("%Y/%m/%d/%H%M%S")}-zendesk-{resource}.json'
    blob = bucket.blob(key)
    blob.upload_from_string(
        json.dumps(payload),
        content_type='application/json'
    )
    return key

def fetch_audit_logs(bucket, prefix, state, base_url, auth_mode, email, api_token, bearer, max_pages, timeout, retries):
    """Fetch audit logs with pagination."""
    headers = get_headers(auth_mode, email, api_token, bearer)
    next_url = state.get('next_url') or f'{base_url}/api/v2/audit_logs.json'

    pages = 0
    written = 0
    last_next = None

    while pages < max_pages and next_url:
        data = http_get_json(next_url, headers, timeout, retries)
        put_page(bucket, prefix, data, 'audit_logs')
        written += len(data.get('audit_logs', []))

        # Use next_page for pagination
        last_next = data.get('next_page')
        next_url = last_next
        pages += 1

        print(f'Audit logs page {pages}: Retrieved {len(data.get("audit_logs", []))} records')

    return {
        'resource': 'audit_logs',
        'pages': pages,
        'written': written,
        'next_url': last_next
    }

def fetch_incremental_tickets(bucket, prefix, state, base_url, auth_mode, email, api_token, bearer, max_pages, lookback, timeout, retries):
    """Fetch incremental tickets with cursor-based pagination."""
    headers = get_headers(auth_mode, email, api_token, bearer)
    cursor = state.get('cursor')

    if not cursor:
        start = int(time.time()) - lookback
        next_url = f'{base_url}/api/v2/incremental/tickets/cursor.json?start_time={start}'
    else:
        next_url = f'{base_url}/api/v2/incremental/tickets/cursor.json?cursor={cursor}'

    pages = 0
    written = 0
    last_cursor = None

    while pages < max_pages and next_url:
        data = http_get_json(next_url, headers, timeout, retries)
        put_page(bucket, prefix, data, 'incremental_tickets')
        written += len(data.get('tickets', []))

        # Extract cursor from after_cursor field
        last_cursor = data.get('after_cursor')
        if last_cursor:
            next_url = f'{base_url}/api/v2/incremental/tickets/cursor.json?cursor={last_cursor}'
        else:
            next_url = None

        pages += 1

        print(f'Incremental tickets page {pages}: Retrieved {len(data.get("tickets", []))} records')

    return {
        'resource': 'incremental_tickets',
        'pages': pages,
        'written': written,
        'cursor': last_cursor
    }

def load_state(bucket, key):
    """Load state from GCS."""
    try:
        blob = bucket.blob(key)
        if blob.exists():
            state_data = blob.download_as_text()
            return json.loads(state_data)
    except Exception as e:
        print(f'Warning: Could not load state: {str(e)}')
    return {'audit_logs': {}, 'incremental_tickets': {}}

def save_state(bucket, key, state):
    """Save state to GCS."""
    try:
        blob = bucket.blob(key)
        blob.upload_from_string(
            json.dumps(state),
            content_type='application/json'
        )
    except Exception as e:
        print(f'Warning: Could not save state: {str(e)}')
    • File kedua: requirements.txt:
    functions-framework==3.*
google-cloud-storage==2.*
urllib3>=2.0.0

  3. Klik Deploy untuk menyimpan dan men-deploy fungsi.

  4. Tunggu hingga deployment selesai (2-3 menit).

Buat tugas Cloud Scheduler

Cloud Scheduler memublikasikan pesan ke topik Pub/Sub secara berkala, sehingga memicu fungsi Cloud Run.

  1. Di GCP Console, buka Cloud Scheduler.
  2. Klik Create Job.

  3. Berikan detail konfigurasi berikut:

    Setelan Nilai
    Nama zendesk-crm-collector-hourly
    Wilayah Pilih region yang sama dengan fungsi Cloud Run
    Frekuensi 0 * * * * (setiap jam, tepat pada waktunya)
    Zona waktu Pilih zona waktu (UTC direkomendasikan)
    Jenis target Pub/Sub
    Topik Pilih topik zendesk-crm-trigger
    Isi pesan {} (objek JSON kosong)

  4. Klik Buat.

Opsi frekuensi jadwal

  • Pilih frekuensi berdasarkan volume log dan persyaratan latensi:

    Frekuensi Ekspresi Cron Kasus Penggunaan
    Setiap 5 menit */5 * * * * Volume tinggi, latensi rendah
    Setiap 15 menit */15 * * * * Volume sedang
    Setiap jam 0 * * * * Standar (direkomendasikan)
    Setiap 6 jam 0 */6 * * * Volume rendah, pemrosesan batch
    Harian 0 0 * * * Pengumpulan data historis

Menguji integrasi

  1. Di konsol Cloud Scheduler, temukan tugas Anda.
  2. Klik Force run untuk memicu tugas secara manual.
  3. Tunggu beberapa detik.
  4. Buka Cloud Run > Services.
  5. Klik nama fungsi Anda zendesk-crm-collector.
  6. Klik tab Logs.

  7. Pastikan fungsi berhasil dieksekusi. Cari hal berikut:

    Processing resources: ['audit_logs', 'incremental_tickets']
Audit logs page 1: Retrieved X records
Incremental tickets page 1: Retrieved X records
Successfully processed logs: [...]

  8. Buka Cloud Storage > Buckets.

  9. Klik nama bucket Anda.

  10. Buka folder awalan zendesk/crm/.

  11. Pastikan file .json baru dibuat dengan stempel waktu saat ini.

Jika Anda melihat error dalam log:

  • HTTP 401: Periksa kredensial API di variabel lingkungan
  • HTTP 403: Verifikasi bahwa akun memiliki izin yang diperlukan (Peran admin, paket Enterprise untuk log audit)
  • HTTP 429: Pembatasan kecepatan - fungsi akan otomatis mencoba lagi dengan penundaan eksponensial
  • Variabel lingkungan tidak ada: Periksa apakah semua variabel yang diperlukan telah ditetapkan

Mengambil akun layanan Google SecOps

Google SecOps menggunakan akun layanan unik untuk membaca data dari bucket GCS Anda. Anda harus memberi akun layanan ini akses ke bucket Anda.

Dapatkan email akun layanan

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan Feed Baru.
  3. Klik Konfigurasi satu feed.
  4. Di kolom Nama feed, masukkan nama untuk feed (misalnya, Zendesk CRM logs).
  5. Pilih Google Cloud Storage V2 sebagai Source type.
  6. Pilih Zendesk CRM sebagai Jenis log.

  7. Klik Get Service Account. Email akun layanan yang unik akan ditampilkan, misalnya:

    chronicle-12345678@chronicle-gcp-prod.iam.gserviceaccount.com

  8. Salin alamat email ini untuk digunakan di langkah berikutnya.

Memberikan izin IAM ke akun layanan Google SecOps

Akun layanan Google SecOps memerlukan peran Storage Object Viewer di bucket GCS Anda.

  1. Buka Cloud Storage > Buckets.
  2. Klik nama bucket Anda.
  3. Buka tab Izin.
  4. Klik Grant access.
  5. Berikan detail konfigurasi berikut:
    • Add principals: Tempel email akun layanan Google SecOps.
    • Tetapkan peran: Pilih Storage Object Viewer.

  6. Klik Simpan.

Mengonfigurasi feed di Google SecOps untuk menyerap log CRM Zendesk

  1. Buka Setelan SIEM > Feed.
  2. Klik Tambahkan Feed Baru.
  3. Klik Konfigurasi satu feed.
  4. Di kolom Nama feed, masukkan nama untuk feed (misalnya, Zendesk CRM logs).
  5. Pilih Google Cloud Storage V2 sebagai Source type.
  6. Pilih Zendesk CRM sebagai Jenis log.
  7. Klik Berikutnya.

  8. Tentukan nilai untuk parameter input berikut:

    • URL bucket penyimpanan: Masukkan URI bucket GCS dengan jalur awalan:

      gs://zendesk-crm-logs/zendesk/crm/

      • Ganti:

        • zendesk-crm-logs: Nama bucket GCS Anda.
        • zendesk/crm/: Jalur folder/awalan tempat log disimpan.

    • Opsi penghapusan sumber: Pilih opsi penghapusan sesuai preferensi Anda:

      • Jangan pernah: Tidak pernah menghapus file apa pun setelah transfer (direkomendasikan untuk pengujian).
      • Hapus file yang ditransfer: Menghapus file setelah transfer berhasil.

      • Hapus file yang ditransfer dan direktori kosong: Menghapus file dan direktori kosong setelah transfer berhasil.

    • Usia File Maksimum: Menyertakan file yang diubah dalam beberapa hari terakhir. Defaultnya adalah 180 hari.

    • Namespace aset: Namespace aset.

    • Label penyerapan: Label yang akan diterapkan ke peristiwa dari feed ini.

  9. Klik Berikutnya.

  10. Tinjau konfigurasi feed baru Anda di layar Selesaikan, lalu klik Kirim.

Perlu bantuan lebih lanjut? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.