GCP Dataflow 模板
编辑GCP Dataflow 模板编辑
在本教程中,您将学习如何使用 Dataflow 模板直接从 Google Cloud Console 发送日志,以便在 Elastic Stack 中分析 GCP 审计日志。
您将学到什么编辑
您将学习如何
- 通过 Pub/Sub 主题和订阅导出 GCP 审计日志。
- 使用 Google Dataflow 提取日志并在 Kibana 中查看这些日志。
准备工作编辑
使用我们在 Elastic Cloud 上托管的 Elasticsearch Service 创建部署。该部署包括一个用于存储和搜索数据的 Elasticsearch 集群,以及一个用于可视化和管理数据的 Kibana 实例。
步骤 1:安装 GCP 集成编辑
首先,您需要安装 Elastic GCP 集成,以添加预构建的仪表板、提取节点配置以及其他有助于您充分利用提取的 GCP 日志的资源。
-
在 Kibana 中转到集成并搜索
gcp。
-
单击 Elastic Google Cloud Platform (GCP) 集成以查看有关它的更多详细信息,然后单击添加 Google Cloud Platform (GCP)。
- 单击保存集成。
本教程假设 Elastic 集群已在运行。要继续,您需要您的云 ID和API 密钥。
要查找您的 部署的云 ID,请转到部署的概览页面。
使用 Kibana 创建 Base64 编码的 API 密钥以在您的部署上进行身份验证。
您可以选择限制 API 密钥的权限;否则,它们将是经过身份验证的用户权限的时间点快照。在本教程中,数据将写入logs-gcp.audit-default数据流。
步骤 2:创建 Pub/Sub 主题和订阅编辑
在配置 Dataflow 模板之前,请先在 Google Cloud Console 中创建一个 Pub/Sub 主题和订阅,您可以在其中从 Google Operations Suite 发送日志。有三种可用的文件集:audit、vpcflow、firewall。本教程涵盖audit文件集。
-
转到日志路由器页面,将 GCP 配置为将日志导出到 Pub/Sub 主题。使用搜索栏找到该页面。
要设置日志路由接收器,请单击创建接收器。将接收器名称设置为
monitor-gcp-audit-sink。选择Cloud Pub/Sub 主题作为接收器服务,并创建新的 Cloud Pub/Sub 主题,命名为monitor-gcp-audit。
最后,在选择要包含在接收器中的日志下,添加
logName:"cloudaudit.googleapis.com"(它包含所有审计日志)。单击创建接收器。它看起来类似于以下内容。
-
现在转到Pub/Sub页面,将订阅添加到您刚刚创建的主题。使用搜索栏找到该页面。
要将订阅添加到
monitor-gcp-audit主题,请单击创建订阅。
将
monitor-gcp-audit-sub设置为订阅 ID,并将传递类型保留为拉取。
最后,向下滚动并单击创建。
步骤 3:配置 Google Dataflow 模板编辑
创建 Pub/Sub 主题和订阅后,请转到Dataflow 作业页面,并将您的模板配置为使用它们。使用搜索栏找到该页面。
要创建作业,请单击从模板创建作业。将作业名称设置为auditlogs-stream,并从Dataflow 模板下拉菜单中选择Pub/Sub to Elasticsearch。
在运行作业之前,请填写必填参数。
对于Cloud Pub/Sub 订阅,请使用您在上一步中创建的订阅。对于云 ID和Base64 编码的 API 密钥,请使用您之前获得的值。如果您没有错误输出主题,请像上一步一样创建一个。
填写完必填参数后,单击显示可选参数,并添加audit作为日志类型参数。
完成所有设置后,单击运行作业,等待 Dataflow 执行模板,这需要几分钟时间。
最后,导航到 Kibana,在[Logs GCP] Audit仪表板中查看已解析和可视化的日志。
除了从 Google Cloud Platform 收集审计日志之外,您还可以使用 Dataflow 集成将数据从 Google BigQuery 和 Google Cloud Storage 直接提取到 Elastic 中。