我是GCS的新手。请帮助我提取完整的审核日志并将其发送到logstash,以便我可以对其进行分析并将其发送到elasticsearch。
答案 0 :(得分:1)
请查看文档Cloud Audit Logs部分Exporting audit logs:
要在“日志记录”之外导出审核日志条目,请创建一个logs sink。给接收器一个查询,该查询指定您的审核日志类型 要出口;有关查询示例,请转到Security logging queries。
如果要导出Google Cloud的审核日志条目 组织,文件夹或帐单帐户,请查看Aggregated sinks。
然后移至Overview of logs exports部分:
所有日志(包括审核日志,平台日志和用户日志)均已发送 到Cloud Logging API,它们通过Logs Router传递。的 日志路由器根据现有规则检查每个日志条目,以确定 要提取(存储)的日志条目,要包括在其中的日志条目 导出,以及要丢弃的日志条目。有关更多详细信息,请参见Logs Router overview。
导出涉及编写查询,以选择您要选择的日志条目 想要导出,然后在Cloud Storage,BigQuery中选择目的地, 或发布/订阅。查询和目标保存在称为a的对象中 下沉。可以在Google Cloud项目,组织, 文件夹和计费帐户。
和
每次日志条目到达项目,文件夹,计费帐户时, 或组织资源,“日志记录”会将日志条目与接收器进行比较 在该资源中。每个与查询条目匹配的接收器都会写入一个 将日志条目的副本复制到接收器的导出目标。
之后,请按照Scenarios for exporting Cloud Logging: Elasticsearch上的说明进行操作:
此方案显示如何将所选日志从“日志记录”导出到 Elasticsearch集群。
(Elasticsearch集群可以从Marketplace安装)
或者,您也可以按照社区教程Exporting Stackdriver logs to Elastic Cloud:
本教程说明如何将Stackdriver日志导出到Elastic Cloud 弹性搜索SaaS平台以执行日志分析。有弹性 云是一种SaaS产品,无需构建和部署即可节省时间。 管理Elasticsearch基础架构。