GCP Dataflow 模板
编辑GCP Dataflow 模板
编辑在本教程中,您将学习如何使用 Dataflow 模板直接从 Google Cloud Console 发送日志,以便在 Elastic Stack 中分析 GCP 审计日志。
您将学到什么
编辑您将学习如何
- 通过 Pub/Sub 主题和订阅导出 GCP 审计日志。
- 使用 Google Dataflow 提取日志,并在 Kibana 中查看这些日志。
开始之前
编辑在 Elastic Cloud 上使用我们托管的 Elasticsearch 服务创建一个部署。该部署包括一个用于存储和搜索数据的 Elasticsearch 集群,以及用于可视化和管理数据的 Kibana。
步骤 1:安装 GCP 集成
编辑首先,您需要安装 Elastic GCP 集成,以添加预构建的仪表板、提取节点配置以及其他有助于您充分利用所提取的 GCP 日志的资产。
- 在主菜单中找到 集成 或使用 全局搜索字段。
-
搜索
gcp。
-
单击 Elastic Google Cloud Platform (GCP) 集成以查看有关它的更多详细信息,然后单击 添加 Google Cloud Platform (GCP)。
- 单击 保存集成。
本教程假设 Elastic 集群已在运行。要继续,您需要您的 Cloud ID 和一个 API 密钥。
要查找您的 部署的 Cloud ID,请转到该部署的 概述 页面。
使用 Kibana 创建一个 Base64 编码的 API 密钥,以便在您的部署上进行身份验证。
您可以选择限制您的 API 密钥的权限;否则,它们将是经过身份验证的用户的权限的时间点快照。在本教程中,数据将写入 logs-gcp.audit-default 数据流。
步骤 2:创建 Pub/Sub 主题和订阅
编辑在配置 Dataflow 模板之前,从您的 Google Cloud Console 创建一个 Pub/Sub 主题和订阅,您可以在其中从 Google Operations Suite 发送日志。有三个可用的文件集:audit、vpcflow、firewall。本教程涵盖 audit 文件集。
-
转到 日志路由器 页面,配置 GCP 以将日志导出到 Pub/Sub 主题。使用搜索栏查找该页面
要设置日志路由接收器,请单击 创建接收器。将 接收器名称 设置为
monitor-gcp-audit-sink。选择 Cloud Pub/Sub 主题 作为 接收器服务,并 创建新的 Cloud Pub/Sub 主题,命名为monitor-gcp-audit
最后,在 选择要包含在接收器中的日志 下,添加
logName:"cloudaudit.googleapis.com"(它包括所有审计日志)。单击 创建接收器。它将类似于以下内容
-
现在转到 Pub/Sub 页面,将订阅添加到您刚创建的主题。使用搜索栏查找该页面
要将订阅添加到
monitor-gcp-audit主题,请单击 创建订阅
将
monitor-gcp-audit-sub设置为 订阅 ID,并将 传递类型 保留为 pull
最后,向下滚动并单击 创建。
步骤 3:配置 Google Dataflow 模板
编辑创建 Pub/Sub 主题和订阅后,转到 Dataflow 作业 页面,并配置您的模板以使用它们。使用搜索栏查找该页面
要创建作业,请单击 从模板创建作业。将 作业名称 设置为 auditlogs-stream,并从 Dataflow 模板 下拉菜单中选择 Pub/Sub to Elasticsearch
在运行作业之前,填写必需的参数
对于 Cloud Pub/Sub 订阅,请使用您在上一步中创建的订阅。对于 Cloud ID 和 Base64 编码的 API 密钥,请使用您之前获得的值。如果您没有 错误输出主题,请像在上一步中那样创建一个。
填写完必需的参数后,单击 显示可选参数,并将 audit 添加为日志类型参数。
当您一切准备就绪后,单击 运行作业,并等待 Dataflow 执行模板,这需要几分钟。
最后,导航到 Kibana 以查看您的日志在 [Logs GCP] Audit 仪表板中被解析和可视化。
除了从 Google Cloud Platform 收集审计日志外,您还可以使用 Dataflow 集成将数据直接从 Google BigQuery 和 Google Cloud Storage 提取到 Elastic 中。