Dokumen ini menjelaskan cara mengonfigurasi setelan resource default untuk Logging menggunakan Google Cloud CLI. Setelan resource default, yang dapat diterapkan ke organisasi atau ke folder, dapat menentukan hal berikut:
Apakah CMEK diperlukan untuk bucket log baru.
Lokasi penyimpanan untuk bucket log
_Defaultdan_Required.Apakah sink
_Defaultdiaktifkan atau dinonaktifkan.Filter yang diterapkan ke sink
_Defaultresource baru.
Ringkasan
Resource organisasi berada di tingkat tertinggi dalam hierarki resource Google Cloud. Resource organisasi adalah induk dari resource turunan berikut: bucket, project, folder, akun penagihan Google Cloud, dan terkait Logging.
Anda dapat mengonfigurasi Logging untuk menggunakan setelan resource default bagi organisasi Google Cloud dan untuk folder. Saat Anda membuat resource baru, resource tersebut mewarisi setelan resource default dari induknya.
Cloud Logging mendukung setelan resource default berikut:
Apakah bucket log baru dalam resource akan dienkripsi dengan kunci yang dikelola pelanggan, dan jika ya, kunci Cloud KMS default yang akan digunakan untuk enkripsi.
Jika mengonfigurasi CMEK untuk resource, Anda juga harus menetapkan lokasi penyimpanan default untuk bucket
_Defaultdan_Requiredbaru yang dibuat oleh resource turunan.Lokasi penyimpanan untuk bucket
_Defaultdan_Requiredbaru. Lokasi penyimpanan ini memungkinkan Anda mengontrol tempat log disimpan.Jika Anda menetapkan lokasi penyimpanan default untuk suatu resource dan tidak mengonfigurasi CMEK untuk resource tersebut, bucket log baru dalam resource tidak memerlukan CMEK.
Apakah sink log
_Defaultdiaktifkan atau dinonaktifkan untuk project baru di resource.Filter penyertaan atau filter pengecualian yang diterapkan ke semua sink
_Defaultbaru di resource turunan.
Contoh konfigurasi:
Anda mengonfigurasi lokasi penyimpanan default untuk organisasi. Untuk project baru dalam organisasi, bucket
_Defaultdan_Requireddibuat di lokasi yang ditentukan.Anda mengonfigurasi lokasi penyimpanan default untuk organisasi dan mengonfigurasi lokasi penyimpanan default untuk setiap folder dalam organisasi tersebut. Untuk project baru yang berada di dalam folder, bucket
_Defaultdan_Requireddibuat di lokasi yang ditentukan oleh setelan folder. Untuk project yang tidak ada dalam folder, bucket_Defaultdan_Requireddibuat di lokasi yang ditentukan oleh setelan organisasi.Anda mengonfigurasi CMEK untuk organisasi, dan untuk folder bernama
Non-CMEK, Anda hanya menetapkan lokasi penyimpanan default. Jika Anda membuat project yang tidak ada di folder bernamaNon-CMEK, bucket_Defaultdan_Requiredakan dibuat di lokasi yang sama dengan kunci Cloud Key Management Service, dan bucket log ini dienkripsi oleh kunci tersebut. Namun, jika Anda membuat project baru di folder bernamaNon-CMEK, bucket log-nya akan dibuat di lokasi yang ditentukan oleh setelan folder tersebut, dan bucket log tersebut tidak dienkripsi oleh CMEK.Anda mengonfigurasi filter pengecualian yang berlaku untuk sink
_Defaultbaru di level organisasi. Filter ini mengecualikan log audit Akses Data agar tidak dirutekan melalui sink_Defaultdi semua resource turunan, yang mencegah log audit Akses Data disimpan di bucket_Default.
Sebelum memulai
Dokumen ini tidak berisi informasi tentang cara mengonfigurasi CMEK sebagai setelan resource default untuk Logging. Untuk mengetahui informasi tentang topik tersebut, lihat Mengonfigurasi CMEK untuk Logging.
Untuk mulai mengonfigurasi setelan resource default untuk Logging, lakukan langkah berikut:
Instal Google Cloud CLI, lalu initialize dengan menjalankan perintah berikut:
gcloud init
Pastikan Anda memiliki izin Cloud Logging berikut untuk organisasi:
logging.settings.getlogging.settings.update
Pahami persyaratan pemformatan
LogBucket, termasuk lokasi yang didukung tempat Anda dapat menyimpan log. Untuk daftar lokasi penyimpanan yang didukung untuk bucket log, lihat Regionitas data: Region yang didukung.Temukan ID untuk organisasi atau folder yang setelan resource defaultnya ingin Anda konfigurasi:
- ORGANIZATION_ID adalah ID numerik unik untuk organisasi Google Cloud. Anda tidak memerlukan nilai ini jika hanya berencana untuk mengonfigurasi setelan resource default untuk sebuah folder. Untuk informasi tentang mendapatkan ID ini, lihat Mendapatkan ID organisasi Anda.
- FOLDER_ID adalah ID numerik unik untuk folder Google Cloud. Anda tidak memerlukan nilai ini jika hanya berencana untuk mengonfigurasi setelan resource default untuk sebuah organisasi. Untuk mengetahui informasi tentang cara menggunakan folder, lihat Membuat dan mengelola folder.
- LOCATION adalah lokasi tempat Anda ingin menyimpan data log.
Lihat setelan resource default untuk Logging
Guna melihat setelan resource default untuk Logging,
termasuk lokasi penyimpanan default, gunakan
perintah
gcloud logging settings describe:
FOLDER
gcloud logging settings describe --folder=FOLDER_ID
ORGANISASI
gcloud logging settings describe --organization=ORGANIZATION_ID
Perintah sebelumnya menampilkan informasi tentang setelan resource default. Misalnya, gambar berikut menunjukkan setelan resource default untuk organisasi tertentu:
name: organizations/ORGANIZATION_ID/settings kmsKeyName: KMS_KEY_NAME kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com storageLocation: europe-west1 disableDefaultSink: false
Nilai SERVICE_ACCT_NAME mungkin memiliki format cmek-12345 atau
service-12345@.... Jika Anda tidak dapat menggunakan Google Cloud CLI, jalankan metode Cloud Logging API getSettings.
Menetapkan lokasi penyimpanan default
Bucket log adalah container dalam project, akun penagihan, folder, dan organisasi Google Cloud Anda yang menyimpan dan mengatur data log Anda. Untuk setiap project Google Cloud, akun penagihan, folder, dan organisasi, Logging secara otomatis membuat dua bucket log: _Required dan _Default, yang otomatis disimpan di lokasi global yang tidak ditentukan.
Anda dapat menentukan lokasi penyimpanan untuk bucket _Required dan _Default yang dimuat oleh organisasi atau folder dengan mengubah setelan resource default untuk Logging.
Untuk daftar lokasi penyimpanan yang didukung, lihat
Wilayah yang didukung.
Setelah Anda mengonfigurasi lokasi penyimpanan default untuk organisasi, hal berikut akan terjadi:
Bucket
_Requireddan_Defaultyang ada di organisasi atau folder tersebut mempertahankan lokasi penyimpanan yang ditetapkan kepadanya pada saat dibuat.Untuk resource turunan yang dibuat di organisasi atau folder setelah lokasi penyimpanan default dikonfigurasi, bucket
_Requireddan_Defaultakan mewarisi lokasi penyimpanan default.
Lokasi penyimpanan default untuk Cloud Logging hanya berlaku untuk bucket log _Default dan _Required. Ini tidak berlaku untuk bucket log yang ditentukan pengguna.
Mengonfigurasi kebijakan organisasi
Logging mendukung kebijakan organisasi yang dapat membatasi lokasi penyimpanan data. Jika kebijakan tersebut ada untuk organisasi, Anda hanya dapat membuat bucket log di lokasi yang diizinkan oleh kebijakan tersebut.
Jika terdapat kebijakan organisasi yang menentukan batasan lokasi, nilai kebijakan untuk batasan tersebut harus menyertakan lokasi yang ditentukan dalam setelan resource default untuk Logging. Selanjutnya, jika Anda berencana mengubah setelan resource default, sebelum memperbarui setelan resource default, tinjau dan, jika perlu, perbarui kebijakan organisasi.
Untuk melihat atau memperbarui kebijakan organisasi, lakukan hal berikut:
-
Pada panel navigasi Konsol Google Cloud, pilih IAM & Admin, lalu pilih Organization Policies:
Pilih organisasi Anda.
Lihat, dan jika perlu, perbarui batasan dengan ID
constraints/gcp.resourceLocations. Jika batasan ini tidak dikonfigurasi, update tidak diperlukan.Untuk informasi tentang cara melihat batasan tertentu dan cara mengedit batasan ini, lihat Membuat dan mengedit kebijakan.
Mengonfigurasi lokasi penyimpanan default untuk Logging
Guna mengonfigurasi lokasi penyimpanan default untuk Cloud Logging, jalankan perintah gcloud logging settings update dan sertakan flag --storage-location:
FOLDER
gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION
ORGANISASI
gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION
Jika Anda tidak dapat menggunakan Google Cloud CLI, jalankan metode Cloud Logging API updateSettings.
Untuk mengetahui informasi tentang cara mengatasi error saat memperbarui lokasi penyimpanan default, lihat Memecahkan masalah saat menetapkan lokasi resource default.
Mengonfigurasi sink _Default
Logging menyediakan sink _Default yang telah ditentukan untuk setiap project, akun penagihan, folder, dan resource organisasi Google Cloud. Setiap
log yang dibuat dalam resource yang cocok dengan filter penyertaan dan
yang tidak dikecualikan, akan dirutekan ke bucket resource yang telah ditetapkan, yang diberi nama
_Default.
Anda dapat mengonfigurasi setelan resource default untuk sink _Default bagi
organisasi dan folder dengan opsi berikut:
Anda dapat menonaktifkan sink
_Defaultuntuk semua resource turunan.Anda dapat mengonfigurasi filter penyertaan atau beberapa filter pengecualian yang berlaku untuk sink
_Defaultproject baru.
Menonaktifkan sink _Default
Anda dapat menonaktifkan pembuatan sink _Default untuk semua resource baru dalam organisasi atau folder. Menonaktifkan sink _Default akan mencegah log disimpan di bucket _Default resource.
Jika Anda berhenti menyimpan log di bucket _Default resource, log yang telah dirutekan ke bucket tersebut akan dikecualikan dari penyimpanan di Logging, kecuali jika log tersebut secara eksplisit disertakan dalam sink lain yang ditentukan pengguna untuk resource tersebut.
Untuk menonaktifkan sink _Default untuk resource dan resource turunannya, jalankan perintah gcloud logging settings update berikut:
FOLDER
gcloud logging settings update --folder=FOLDER_ID--disable-default-sink
ORGANISASI
gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink
Flag disable-default-sink hanya berlaku untuk sink _Default yang merutekan
log ke dalam bucket _Default.
Anda dapat mengaktifkan kembali sink _Default dengan menjalankan perintah
gcloud logging settings update
berikut:
FOLDER
gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink
ORGANISASI
gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink
Mengonfigurasi filter default sink _Default
Sink _Default yang telah ditetapkan akan merutekan log apa pun yang cocok dengan kriteria sink ke bucket _Default yang sesuai. Anda dapat menggunakan filter penyertaan dan filter pengecualian untuk mengonfigurasi log yang disertakan dan dikecualikan untuk sink _Default baru dalam organisasi atau folder.
Filter penyertaan dapat mengganti atau
ditambahkan ke filter sink _Default, dan filter pengecualian ditambahkan
karena sink _Default tidak memiliki filter pengecualian secara default.
Untuk menentukan filter penyertaan atau filter pengecualian yang diterapkan ke semua sink _Default resource baru di organisasi atau folder, jalankan metode Cloud Logging API updateSettings dengan objek defaultSinkConfig. Anda hanya dapat menetapkan filter default sink _Default menggunakan Logging API.
Anda dapat menjalankan metode updateSettings menggunakan widget APIs Explorer di halaman referensi metode. Contoh berikut menggambarkan contoh parameter:
- name (URL):
organizations/ORGANIZATION_ID/settings - updateMask:
"default_sink_config" Isi permintaan, yang berisi instance
Settings:"defaultSinkConfig": { { "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ", "exclusions": [ { "name": "exclude-data-access", "description": "Prevents Data Access audit logs from being routed", "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")", } ], "mode": OVERWRITE } }
Contoh sebelumnya melakukan hal berikut:
Menimpa filter penyertaan sink
_Defaultuntuk menyertakan log audit Aktivitas Admin, yang dikecualikan secara default.Menambahkan filter pengecualian yang mencegah log audit Akses Data dirutekan ke bucket
_Default.
Memecahkan masalah error konfigurasi
Untuk mengetahui informasi pemecahan masalah, lihat Memecahkan masalah CMEK dan error setelan default.