Google cloud platform 使用Stackdriver对GoogleCloud进行生产访问控制

人们是如何实现生产访问控制的（即，通过SSH记录和报告服务和人员对计算实例的访问）。我们的目标是跨项目一致地将所有用户登录条目转发给SIEM，理想情况下避免使用特定于项目的Stackdriver接收器（以及相关的设置和维护）

我们尝试了以下方法：

• 在Fluentd中启用身份验证日志转发，因为默认情况下只有syslog完成
• 已启用的组织级接收器，用于发送到包含所有子级的主题（通过HTTP订阅服务器转发到SIEM）
• 可以在项目级别查看syslog/auth以获取非容器OS映像（即Ubuntu）

我们看到的问题： -关于组织级过滤器格式的有限文档（对于logName之类的内容，似乎不同于项目级）。log_id函数似乎确实起作用 -有些日志类型出现在组织级别（比如CloudAPI活动），但syslog似乎没有得到处理 -默认情况下，容器操作系统在fluentd中似乎没有启用ssh/sudo转发（或者我没有找到哪个日志类型包含此数据）。我确实在测试节点上看到此日志记录到journalctl

---

有人有一致的方法来实现这一点吗？

如果其他人遇到这种情况，我们会发现以下几点：

• 可以通过CLI在组织级别设置Stackdriver接收器。通过云控制台UI不可见，而且CLI不允许您在组织上列出日志类型
• 除了logName之外，还可以在接收器上定义过滤器，但格式可能与项目级过滤器不同
• 您需要在fluentd中启用特定于平台的身份验证日志记录（即，Ubuntu上google fluentd的一个进程与容器操作系统上的stackdriver设置不同）
• 由于某些原因，SSHD不会通过syslog（以及fluentd）记录说明用户和IP的初始日志，因此Stackdriver不可见
• 使用或组织主题汇是一个子项目，订阅后可转发至您选择的SIEM，效果良好

---

仍在尝试获取gcloud ssh命令的日志，一种方法是通过。请注意，用于导出组织下所有项目的BigQuery日志的接收器设置包含一个设置为的参数，字段“includeChildren”必须设置为“True”。设置为true后，接收器父资源中包含的所有项目、文件夹和帐单帐户的日志也可用于导出，如果设置为false，则只有接收器父资源拥有的日志可用于导出。然后，您必须能够从BigQuery中筛选所需的日志

另一种方法是通过使用命令列出所有项目来编写脚本：

gcloud projects list | tail-n+2 | awk-F“{print$1}”

这可以被制作成一个数组，可以迭代，并且可以使用与本文中类似的命令检索每个项目的日志

---

不确定这些是否能帮助你解决问题，希望如此

默认情况下，Stackdriver不会记录SSH服务器日志。对于正在监视的实例，需要将

/var/log/auth.log

添加到Stackdriver中。是的。看到了链接项，这是我们尝试的事情列表中的第一个。这些原木显然不存在；我不能让Stackdriver在组织级别可见，或者至少我已经找到了实现这一点的方法。只在项目层面。你说的“组织层面”是什么意思。Stackdriver日志是针对大多数服务的每个服务/资源的日志。您必须在Stackdriver中深入查看为资源记录的日志。如果您需要其他内容，则需要在您自己的应用程序或日志监控服务中设置日志导出和处理条目。您可以在组织级别定义汇（通过UI不可见-请参阅聚合日志文档）。我们使用接收器和发布/订阅将日志转发给SIEM。进一步的测试表明，syslog在org上可用，但您无法通过CLI列出所有可用的日志。我们最终能够解决这个问题。汇是在组织级别定义的，然后转发到PubSub主题和我们的SIEM。Google工具不便于在组织级别查看日志名，但它们可以工作。