Questa pagina è stata tradotta dall'API Cloud Translation.

Aggrega e archivia i log dell'organizzazione

Questo documento descrive come gestire le voci di log generate dalle risorse contenute nella tua organizzazione Google Cloud utilizzando un'area di destinazione aggregata non intercettante.

Puoi configurare un sink aggregato in modo che intercetti o meno le voci di log, a seconda che tu voglia controllare quali voci di log possono essere sottoposte a query o indirizzate tramite i sink nelle risorse secondarie. In questo tutorial, crei un sink aggregato che inoltra gli audit log della tua organizzazione a un progetto Google Cloud, che a sua volta li inoltra a un bucket di log.

Per ulteriori informazioni sui canali aggregati, consulta Raccogliere e instradare i log a livello di organizzazione e cartella verso le destinazioni supportate.

In questo tutorial, esegui i seguenti passaggi:

Per iniziare, crea un bucket di log e un sink di log nel progetto Google Cloud in cui vuoi archiviare le voci di log aggregate.
Successivamente, crea un sink aggregato non intercettante a livello di organizzazione per indirizzare le voci di log al progetto Google Cloud contenente il bucket di log.
Poi, configura l'accesso in lettura alle visualizzazioni log nel nuovo bucket dei log.
Infine, esegui query e visualizza le voci di log dalla pagina Esplora log.

Prima di iniziare

Assicurati di quanto segue:

Per ottenere le autorizzazioni necessarie per configurare un canale aggregato, chiedi all'amministratore di concederti i seguenti ruoli IAM nella tua organizzazione:
- Per creare bucket e sink di log in un progetto: Autore configurazione log (roles/logging.configWriter): il tuo progetto
- Per creare un sink aggregato: Logs Configuration Writer (roles/logging.configWriter): la tua organizzazione
- Per concedere i ruoli alle entità: Proprietario (roles/owner): il tuo progetto
Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.
Se utilizzi Controlli di servizio VPC, devi aggiungere una regola di ingresso al perimetro di servizio. Per ulteriori informazioni sulle limitazioni di Controlli di servizio VPC, consulta Destinazioni aggregate e Controlli di servizio VPC Controls.
In the Google Cloud console, activate Cloud Shell.

Activate Cloud Shell

At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

Crea un bucket di log

I bucket di log archiviano le voci di log instradate da altri progetti, cartelle o organizzazioni Google Cloud. Per ulteriori informazioni, consulta la pagina sulla configurazione dei bucket dei log.

Per creare il bucket dei log nel progetto Google Cloud in cui vuoi aggregare le voci di log, completa i seguenti passaggi:

Apri una shell.

Ad esempio, per utilizzare Cloud Shell:
1. Vai alla console Google Cloud:
  Vai alla console Google Cloud
2. Nella barra degli strumenti, fai clic su Attiva Cloud Shell.
Nella shell, esegui il comando gcloud logging buckets create.

Prima di eseguire il comando seguente, effettua le seguenti sostituzione:
- BUCKET_NAME: il nome del bucket di log.
- LOCATION: la posizione del bucket di log. Una volta creato il bucket di log, non puoi modificarne la posizione.
- PROJECT_ID: l'identificatore del progetto in cui creare il bucket dei log.
Esegui il comando gcloud logging buckets create:
```
 gcloud logging buckets create BUCKET_NAME \
   --location=LOCATION --project=PROJECT_ID
```
Verifica che il bucket di log sia stato creato:
```
gcloud logging buckets list --project=PROJECT_ID
```
La risposta del comando è un elenco dei bucket di log nel progetto.
I bucket di log hanno periodi di conservazione configurabili. Se vuoi impostare il periodo di conservazione delle voci di log nel bucket di log, utilizza il comando gcloud logging buckets update. Ad esempio, il seguente comando estende a 365 giorni la conservazione delle voci di log archiviate nel bucket di log:
```
gcloud logging buckets update BUCKET_NAME \
   --location=LOCATION --project=PROJECT_ID \
   --retention-days=365
```
Per ulteriori informazioni sulle opzioni, consulta gcloud logging buckets update.

Crea il sink di log a livello di progetto

Esegui il routing delle voci di log in un bucket di log creando un sink. Un sink include un filtro di inclusione, filtri di esclusione e una destinazione. In questo tutorial, configurerai un filtro di inclusione e la destinazione per il nuovo bucket di log. Il sink non contiene filtri di esclusione. Per ulteriori informazioni sui canali, consulta Indirizzare i log alle destinazioni supportate.

Per creare un sink che indirizzi le voci di log al bucket di log appena creato, esegui il comando gcloud logging sinks create.

Prima di eseguire il comando seguente, effettua le seguenti sostituzione:

PROJECT_LEVEL_SINK_NAME: il nome della sink di log a livello di progetto.
SINK_DESTINATION: il bucket di log in cui vengono instradate le voci di log. Il formato del percorso di destinazione per un bucket di log è il seguente:
```
logging.googleapis.com/projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME
```
PROJECT_ID: l'identificatore del progetto in cui creare il sink di log. Imposta questa opzione sullo stesso progetto in cui hai creato il bucket di log.
Includi le seguenti opzioni:
- --log-filter : utilizza questa opzione per impostare un filtro che corrisponda alle voci del log che vuoi includere nel tuo sink. In questo tutorial, il filtro è impostato per selezionare tutte le voci del log di controllo. Se non imposti un filtro, tutte le voci di log del tuo progetto Google Cloud vengono inoltrate alla destinazione.
- --description: utilizza questa opzione per descrivere lo scopo o il caso d'uso del canale.

Esegui il comando gcloud logging sinks create:

gcloud logging sinks create PROJECT_LEVEL_SINK_NAME SINK_DESTINATION
--project=PROJECT_ID
--log-filter='logName:cloudaudit.googleapis.com' \
--description="Audit logs from my organization" \

Crea il sink aggregato

I sink aggregati combinano e inoltrano le voci di log dalle risorse contenute in un'organizzazione o una cartella a una destinazione.

In questo tutorial viene creato un sink aggregato non intercettante. Ciò significa che ogni voce di log inoltrata dal sink aggregato viene inoltrata anche dai sink nella risorsa da cui ha origine la voce di log. Ad esempio, un log di controllo che ha origine in un progetto viene instradato dal sink aggregato e dai sink del progetto. Pertanto, è possibile archiviare più copie di una voce di log.

Puoi creare canali di intercettazione. Per ulteriori informazioni, consulta la pagina Raccogliere e instradare i log a livello di organizzazione e cartella alle destinazioni supportate.

Configura la destinazione a livello di organizzazione

Per creare un'area di destinazione aggregata non intercettante che inoltra le voci di log a un progetto:

Esegui il comando gcloud logging sinks create.

Prima di eseguire il comando seguente, effettua le seguenti sostituzione:
- SINK_NAME: il nome del sink di log. Non puoi modificare il nome di un sink dopo averlo creato.
- PROJECT_ID: l'identificatore del progetto che memorizza il bucket dei log.
- ORGANIZATION_ID: l'identificatore dell'organizzazione.
Esegui il comando gcloud logging sinks create:
```
gcloud logging sinks create SINK_NAME \
logging.googleapis.com/projects/PROJECT_ID  \
  --log-filter='logName:cloudaudit.googleapis.com' \
  --description="Audit logs from my organization" \
  --organization=ORGANIZATION_ID \
  --include-children
```
L'opzione --include-children è importante. Questa opzione garantisce che le voci di log di tutte le cartelle e di tutti i progetti Google Cloud all'interno della tua organizzazione vengano instradate. Per ulteriori informazioni, consulta Raccogliere e instradare i log a livello di organizzazione verso le destinazioni supportate.

Verifica che lo sink sia stato creato:

gcloud logging sinks list --organization=ORGANIZATION_ID

Ottieni il nome dell'account di servizio:

gcloud logging sinks describe SINK_NAME --organization=ORGANIZATION_ID

L'output è simile al seguente:

writerIdentity: serviceAccount:o1234567890-ORGANIZATION_ID@gcp-sa-logging.iam.gserviceaccount.com

Copia il valore del campo serviceAccount negli appunti.

Nota: per instradare le voci di log a una risorsa protetta da un perimetro di servizio, devi aggiungere l'account di servizio per la destinazione a un livello di accesso e poi assegnatelo al perimetro di servizio di destinazione. Questo non è necessario per i canali non aggregati. Per maggiori dettagli, consulta Controlli di servizio VPC: registrazione cloud.

Concedi l'accesso al canale

Dopo aver creato l'eseguibile sink aggregato, devi concedere l'autorizzazione per scrivere voci di log nel progetto impostato come destinazione. Puoi concedere l'autorizzazione utilizzando la console Google Cloud o modificando il criterio IAM (Identity and Access Management), come descritto in Impostare le autorizzazioni di destinazione.

Per concedere all'emissario l'autorizzazione a scrivere voci di log:

Nella console Google Cloud, vai alla pagina IAM:
Vai a IAM

Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo IAM e amministrazione.
Seleziona il progetto Google Cloud che contiene il bucket dei log.
Fai clic su Concedi l'accesso e aggiungi il account di servizio come nuova entità. Non includere il prefisso serviceAccount:.
Nel menu Seleziona un ruolo, seleziona Scrittore di log.
Fai clic su Salva.

Genera voci di log per facilitare la verifica del sink

Per verificare che lo scommettitore aggregato sia configurato correttamente, prova quanto segue:

Genera le voci di log di controllo da inoltrare al bucket di log.
- Se nella tua organizzazione sono presenti molti progetti Google Cloud, potresti avere un volume di traffico sufficiente per i log di controllo da non doverli creare per la convalida. Vai al passaggio successivo.
- In caso contrario, vai a un progetto diverso, crea un'istanza VM di Compute Engine e poi elimina l'istanza che hai creato. I log di controllo vengono scritti quando una VM viene creata, avviata ed eliminata.
Segui la procedura descritta nella sezione Visualizzare i log nella pagina Esplora log per visualizzare i log di controllo. Assicurati di selezionare la visualizzazione _AllLogs.

Configurare l'accesso in lettura a una visualizzazione log in un bucket di log

Quando crei un bucket di log, Cloud Logging crea automaticamente una vista log denominata _AllLogs. Questa visualizzazione include ogni voce di log archiviata nel bucket di log.

Per limitare un'entità ad avere accesso solo a voci di log specifiche, crea una visualizzazione di log, quindi esegui una delle seguenti operazioni:

Concedi il ruolo roles/logging.viewAccessor insieme a una condizione IAM che limiti la concessione alla visualizzazione dei log.
Nel criterio IAM associato alla visualizzazione dei log, concedi l'accesso a un'entità. Consigliamo questo approccio quando crei un numero elevato di visualizzazioni dei log.

Per ulteriori informazioni su questi due approcci, consulta Controllare l'accesso a una visualizzazione dei log.

Nei passaggi seguenti, concedi a un'entità il ruolo roles/logging.viewAccessor insieme a una condizione IAM che limita la concessione alla visualizzazione denominata _AllLogs:

Nella console Google Cloud, vai alla pagina IAM:
Vai a IAM

Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo IAM e amministrazione.
Seleziona il progetto Google Cloud che contiene il bucket dei log.
Fai clic su Aggiungi.
Nel campo Nuovo utente, aggiungi un utente.
Nel menu Seleziona un ruolo, seleziona Accesso alle visualizzazioni dei log.

Se non aggiungi una condizione a questo ruolo, l'entità ha accesso a tutte le visualizzazioni dei log in tutti i bucket dei log definiti dall'utente nel progetto Google Cloud.
Aggiungi una condizione IAM all'associazione:
1. Fai clic su Aggiungi condizione, inserisci un titolo e una descrizione.
2. Nel menu Tipo di condizione, scorri fino a Risorsa e poi seleziona Nome.
3. Nel menu Operatore, seleziona Termina con.
4. Nel campo Valore, inserisci il nome completo della visualizzazione dei log:
```
locations/LOCATION/buckets/BUCKET_NAME/views/_AllLogs
```
5. Fai clic su Salva per salvare la condizione.
Fai clic su Salva per salvare la rilegatura.

Visualizzare le voci di log nella pagina Esplora log

Per visualizzare le voci di log nel bucket dei log:

Nella console Google Cloud, vai alla pagina Esplora log:
Vai a Esplora log

Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.
Seleziona Perfeziona ambito.
Nel riquadro Perfeziona ambito, seleziona Visualizzazione log.
Seleziona la visualizzazione o le visualizzazioni di log di cui vuoi visualizzare le voci. Ad esempio, per visualizzare tutte le voci di log, seleziona la visualizzazione denominata _AllLogs.
Fai clic su Applica.

Esplora log viene aggiornato per mostrare le voci di log del bucket di log. Per informazioni sull'utilizzo di Esplora log, consulta Utilizzo di Esplora log.