是否有可能在组织级别为GCP约束创建基于日志的(stackdriver)警报?可以在项目级别创建警报,但想知道我们是否可以在组织级别创建警报,如果可以,如何做到这一点…
目前,基于日志的警报只能在项目级别创建。
我认为这可能是你的情况下的一个解决方案:
1。创建一个聚合接收器,为您的Google Cloud组织路由审计日志条目。
创建一个sink,使用
logging sinks create命令。提供接收器名称、接收器目的地、过滤器和对象的ID路由日志所在的文件夹或组织:
gcloud logging sinks create SINK_NAME SINK_DESTINATION --include-children --folder=FOLDER_ID filter例如,如果您要在文件夹级别创建聚合接收器并且其目标是BigQuery数据集,您的命令可能会显示例如:
gcloud logging sinks create SINK_NAME bigquery.googleapis.com/projects/PROJECT_ID/datasets/DATASET_ID --include-children --folder=FOLDER_ID --log-filter="logName:activity"指出:
若要在组织级别创建接收器,请替换
--folder=FOLDER_IDwith--organization=ORGANIZATION_ID.
- 要使接收器包含组织内的所有资源,必须设置——include-children标志,即使传递——organization标志来创建也是如此。当设置为false(默认值)时,接收器将只从主机资源路由日志。
- 从命令输出中检索用于创建接收器的服务帐户名。
- 允许该服务帐户写入您的接收器目的地。
- 如果您没有权限对接收目的地进行更改,则将服务帐户名称发送给可以
为您进行更改的人。有关授予服务帐户权限的详细信息参考资料,请参阅设置目标权限部分。
2。您可以将接收器的目的地设置为Pub/Sub,以便您可以在接收器路由审计日志时触发电子邮件警报。
路由到Pub/Sub的日志通常在几秒钟内可用99%的日志在60秒内可用
查看路由日志,因为他们是通过Pub/Sub流,执行:
- 进入云控制台的Pub/Sub页面
- 查找或创建对日志接收器中使用的主题的订阅,并从中提取日志条目。您可能需要等待新的日志