Ce document explique comment gérer les entrées de journal générées par les ressources contenues dans votre Google Cloud organisation à l'aide d'un récepteur agrégé non interceptant.
Vous pouvez configurer un récepteur agrégé pour qu'il soit interceptant ou non interceptant, selon que vous souhaitez contrôler les entrées de journal pouvant être interrogées ou acheminées via les récepteurs dans les ressources enfants. Dans ce tutoriel, vous allez créer un récepteur agrégé qui achemine les journaux d'audit de votre organisation vers un Google Cloud projet, qui achemine ensuite les journaux d'audit agrégés vers un bucket de journaux. Pour en savoir plus, consultez la présentation des récepteurs agrégés .
Dans ce tutoriel, vous allez effectuer les étapes suivantes :
Vous allez commencer par créer un bucket de journaux et un récepteur de journaux dans le Google Cloud projet dans lequel vous souhaitez stocker vos entrées de journal agrégées.
Vous allez ensuite créer un récepteur agrégé non interceptant au niveau de l'organisation pour acheminer les entrées de journal vers le Google Cloud projet contenant le bucket de journaux.
Vous allez ensuite configurer l'accès en lecture aux vues de journaux sur le nouveau bucket de journaux.
Enfin, vous allez interroger et afficher vos entrées de journal à partir de la page Explorateur de journaux.
Avant de commencer
Vérifiez les éléments suivants :
-
Pour obtenir les autorisations nécessaires pour configurer un récepteur agrégé, demandez à votre administrateur de vous accorder les rôles IAM suivants dans votre organisation :
-
Pour créer des buckets de journaux et des récepteurs dans un projet :
Rédacteur de configuration des journaux (
roles/logging.configWriter) – votre projet -
Pour créer un récepteur agrégé :
Rédacteur de configuration des journaux (
roles/logging.configWriter) – votre organisation -
Pour accorder des rôles aux comptes principaux :
Propriétaire (
roles/owner) – votre projet
Pour en savoir plus sur l'attribution de rôles, consultez Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises avec des rôles personnalisés ou d'autres rôles prédéfinis.
-
Pour créer des buckets de journaux et des récepteurs dans un projet :
Rédacteur de configuration des journaux (
- Si vous utilisez VPC Service Controls, vous devez ajouter une règle d'entrée au périmètre de service. Pour en savoir plus sur les limites de VPC Service Controls, consultez la section Limites.
-
Dans la Google Cloud console, activez Cloud Shell.
En bas de la Google Cloud console, une session Cloud Shell démarre et affiche une invite de ligne de commande. Cloud Shell est un environnement shell dans lequel Google Cloud CLI est déjà installé, et dans lequel des valeurs sont déjà définies pour votre projet actuel. L'initialisation de la session peut prendre quelques secondes.
Créer un bucket de journaux
Les buckets de journaux stockent les entrées de journal acheminées à partir d'autres Google Cloud projets, dossiers ou organisations. Pour en savoir plus, consultez la page Configurer les buckets de journaux.
Pour créer le bucket de journaux dans le Google Cloud projet dans lequel vous souhaitez agréger des entrées de journal, procédez comme suit :
Ouvrez un shell.
Par exemple, pour utiliser Cloud Shell, procédez comme suit :
-
Accédez à la Google Cloud console :
- Dans la barre d'outils, cliquez sur terminal Activer Cloud Shell.
-
Dans le shell, exécutez la commande
gcloud logging buckets create.Avant d'exécuter la commande suivante, effectuez les remplacements suivants :
- BUCKET_NAME : nom du bucket de journaux.
- LOCATION : emplacement du bucket de journaux. Une fois le bucket de journaux créé, vous ne pouvez plus modifier son emplacement.
- PROJECT_ID : identifiant du projet dans lequel créer le bucket de journaux.
Exécutez la
gcloud logging buckets createcommande :gcloud logging buckets create BUCKET_NAME \ --location=LOCATION --project=PROJECT_IDVérifiez que le bucket de journaux a été créé :
gcloud logging buckets list --project=PROJECT_IDLa réponse de la commande est une liste des buckets de journaux de votre projet.
Les buckets de journaux ont des durées de conservation configurables. Si vous souhaitez définir la durée de conservation des entrées de journal dans votre bucket de journaux, utilisez la commande
gcloud logging buckets update. Par exemple, la commande suivante étend la conservation des entrées de journal stockées dans le bucket de journaux à 365 jours :gcloud logging buckets update BUCKET_NAME \ --location=LOCATION --project=PROJECT_ID \ --retention-days=365Pour en savoir plus sur les options, consultez
gcloud logging buckets update.
Créer le récepteur de journaux au niveau du projet
Pour acheminer des entrées de journal vers un bucket de journaux, vous devez créer un récepteur. Un récepteur inclut un filtre d'inclusion, des filtres d'exclusion et une destination. Dans ce tutoriel, vous allez configurer un filtre d'inclusion et la destination de votre nouveau bucket de journaux. Votre récepteur ne contient aucun filtre d'exclusion. Pour en savoir plus sur les récepteurs, consultez la page Acheminer les journaux vers des destinations compatibles.
Pour créer un récepteur qui achemine les entrées de journal vers le bucket de journaux que vous venez de créer, exécutez la commande gcloud logging sinks create.
Avant d'exécuter la commande suivante, effectuez les remplacements suivants :
- PROJECT_LEVEL_SINK_NAME : nom du récepteur de journaux au niveau du projet.
SINK_DESTINATION : bucket de journaux vers lequel vos entrées de journal sont acheminées. Le format du chemin de destination pour un bucket de journaux est le suivant :
logging.googleapis.com/projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAMEPROJECT_ID : identifiant du projet dans lequel créer le récepteur de journaux. Définissez cette option sur le même projet que celui dans lequel vous avez créé le bucket de journaux.
Incluez les options suivantes :
--log-filter: cette option permet de définir un filtre correspondant aux entrées de journal que vous souhaitez inclure dans votre récepteur. Dans ce tutoriel, le filtre est défini pour sélectionner toutes les entrées de journal d'audit. Si vous ne définissez pas de filtre, toutes les entrées de journal de votre Google Cloud projet sont acheminées vers la destination.--description: cette option permet de décrire l'objectif ou le cas d'utilisation du récepteur.
Exécutez la
gcloud logging sinks create
commande :
gcloud logging sinks create PROJECT_LEVEL_SINK_NAME SINK_DESTINATION
--project=PROJECT_ID
--log-filter='logName:cloudaudit.googleapis.com' \
--description="Audit logs from my organization" \
Créer le récepteur agrégé
Les récepteurs agrégés combinent et acheminent les entrées de journal des ressources contenues dans une organisation ou un dossier vers une destination.
Dans ce tutoriel, vous allez créer un récepteur agrégé non interceptant. Cela signifie que chaque entrée de journal acheminée par le récepteur agrégé est également acheminée par les récepteurs de la ressource dans laquelle l'entrée de journal est générée. Par exemple, un journal d'audit provenant d'un projet est acheminé par le récepteur agrégé et les récepteurs de ce projet. Par conséquent, il est possible de stocker plusieurs copies d'une entrée de journal.
Vous pouvez créer des récepteurs interceptants. Pour en savoir plus, consultez la présentation des récepteurs agrégés .
Configurer le récepteur au niveau de l'organisation
Pour créer un récepteur agrégé non interceptant qui achemine les entrées de journal vers un projet, procédez comme suit :
Exécutez la
gcloud logging sinks createcommande.Avant d'exécuter la commande suivante, effectuez les remplacements suivants :
- SINK_NAME : nom du récepteur de journaux. Une fois le nom d'un récepteur créé, vous ne pouvez plus le modifier.
- PROJECT_ID : identifiant du projet qui stocke le bucket de journaux.
- ORGANIZATION_ID : identifiant de l'organisation.
Exécutez la commande
gcloud logging sinks create:gcloud logging sinks create SINK_NAME \ logging.googleapis.com/projects/PROJECT_ID \ --log-filter='logName:cloudaudit.googleapis.com' \ --description="Audit logs from my organization" \ --organization=ORGANIZATION_ID \ --include-childrenL'option
--include-childrenest importante. Elle garantit que les entrées de journal de tous les projets et dossiers de votre organisation sont acheminées.Google Cloud Pour en savoir plus, consultez la section Générer et acheminer des journaux au niveau de l'organisation vers des destinations compatibles.Vérifiez que le récepteur a été créé :
gcloud logging sinks list --organization=ORGANIZATION_IDObtenez le nom du compte de service :
gcloud logging sinks describe SINK_NAME --organization=ORGANIZATION_IDLa sortie ressemble à ceci :
writerIdentity: serviceAccount:o1234567890-ORGANIZATION_ID@gcp-sa-logging.iam.gserviceaccount.comCopiez la valeur du champ
serviceAccountdans votre presse-papiers.
Accorder l'accès au récepteur
Après avoir créé le récepteur agrégé, vous devez l'autoriser à écrire des entrées de journal dans le projet que vous avez défini comme destination. Vous pouvez accorder l'autorisation à l'aide de la Google Cloud console ou en modifiant la stratégie IAM (Identity and Access Management), comme décrit dans la section Définir les autorisations de destination.
Pour autoriser votre récepteur à écrire des entrées de journal, procédez comme suit :
-
Dans la Google Cloud console, accédez à la page IAM :
Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est IAM et administration.
Sélectionnez le Google Cloud projet contenant votre bucket de journaux.
Cliquez sur Accorder l'accès et ajoutez le compte de service en tant que compte principal. N'incluez pas le préfixe serviceAccount:.
Dans le menu Sélectionner un rôle, sélectionnez Rédacteur de journaux.
Cliquez sur Enregistrer.
Générer des entrées de journal pour faciliter la validation du récepteur
Pour vérifier que votre récepteur agrégé est correctement configuré, procédez comme suit :
Générez des entrées de journal d'audit qui doivent être acheminées vers votre bucket de journaux.
Si votre organisation comporte de nombreux Google Cloud projets, alors vous disposez peut-être d'un trafic de journaux d'audit suffisant, et vous n'avez donc pas besoin d'en créer à des fins de validation. Passez à l'étape suivante.
Sinon, accédez à un autre projet, créez une instance de VM Compute Engine, puis supprimez l'instance que vous avez créée. Les journaux d'audit sont écrits lorsqu'une VM est créée, démarrée et supprimée.
Suivez la procédure décrite dans la section intitulée Afficher les journaux sur la page Explorateur de journaux pour afficher vos journaux d'audit. Veillez à sélectionner la vue
_AllLogs.
Configurer l'accès en lecture à une vue de journaux sur un bucket de journaux
Lorsque vous créez un bucket de journaux, Cloud Logging crée automatiquement une
vue de journaux nommée _AllLogs.
Cette vue inclut toutes les entrée de journal stockées dans le bucket de journaux.
Pour limiter l'accès d'un compte principal à des entrées de journal spécifiques, créez une vue de journaux, puis effectuez l'une des opérations suivantes :
Accordez-lui le rôle
roles/logging.viewAccessoravec une condition IAM qui limite l'octroi à la vue de journaux.Dans la stratégie IAM associée à la vue de journaux, accordez l'accès à un compte principal. Nous vous recommandons cette approche lorsque vous créez un grand nombre de vues de journaux.
Pour en savoir plus sur ces deux approches, consultez la section Contrôler l'accès à une vue de journaux.
Dans les étapes suivantes, vous allez accorder à un compte principal le rôle roles/logging.viewAccessor avec une condition IAM qui limite l'octroi à la vue nommée _AllLogs :
-
Dans la Google Cloud console, accédez à la page IAM :
Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est IAM et administration.
Sélectionnez le Google Cloud projet contenant le bucket de journaux.
Cliquez sur Ajouter.
Dans le champ Nouveau compte principal, ajoutez un compte principal.
Dans le menu Sélectionner un rôle, sélectionnez Accesseur de vues de journaux.
Si vous n'ajoutez pas de condition à ce rôle, le compte principal aura accès à toutes les vues de journaux de tous les buckets de journaux définis par l'utilisateur dans le Google Cloud projet.
Ajoutez une condition IAM à la liaison :
- Cliquez sur Ajouter une condition, puis saisissez un titre et une description.
- Dans le menu Type de condition, faites défiler la page jusqu'à Ressource, puis sélectionnez Nom.
- Dans le menu Opérateur, sélectionnez Se termine par.
Dans le champ Valeur, saisissez le nom complet de la vue de journaux :
locations/LOCATION/buckets/BUCKET_NAME/views/_AllLogsCliquez sur Enregistrer pour enregistrer la condition.
Cliquez sur Enregistrer pour enregistrer la liaison.
Afficher les entrées de journal sur la page Explorateur de journaux
Pour afficher les entrées de journal dans votre bucket de journaux, procédez comme suit :
-
Dans la Google Cloud console, accédez à la Explorateur de journaux :
Accéder à l'explorateur de journaux
Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Logging.
Sélectionnez Affiner le niveau d'accès.
Dans le panneau Affiner le niveau d'accès, sélectionnez Vue de journaux.
Sélectionnez la ou les vues de journaux dont vous souhaitez afficher les entrées de journal. Par exemple, pour afficher toutes les entrées de journal, sélectionnez la vue nommée
_AllLogs.Cliquez sur Appliquer.
L'explorateur de journaux s'actualise pour afficher les entrées de journal de votre bucket de journaux. Pour en savoir plus sur l'utilisation de l'explorateur de journaux, consultez la page Utiliser l'explorateur de journaux.