Questo documento descrive come configurare le impostazioni predefinite delle risorse per Logging utilizzando Google Cloud CLI. Le impostazioni predefinite delle risorse, che possono essere applicate a un'organizzazione o a una cartella, possono determinare quanto segue:
Indica se è necessaria una CMEK per i nuovi bucket di log.
La località di archiviazione per i bucket di log
_Default
e_Required
.Indica se il sink
_Default
è attivato o disattivato.Il filtro applicato al sink
_Default
delle nuove risorse.
Panoramica
La risorsa dell'organizzazione si trova al livello più alto della gerarchia delle risorse di Google Cloud. La risorsa dell'organizzazione è la risorsa padre di queste risorse figlio: progetti, cartelle, account di fatturazione Google Cloud e, per quanto riguarda Logging, bucket.
Puoi configurare Logging in modo che utilizzi le impostazioni delle risorse predefinite per un'organizzazione Google Cloud e per le cartelle. Quando crei nuove risorse, queste ereditano le impostazioni predefinite delle risorse dell'elemento padre.
Cloud Logging supporta le seguenti impostazioni predefinite delle risorse:
Indica se i nuovi bucket di log in una risorsa devono essere criptati con una chiave gestita dal cliente e, in questo caso, la chiave Cloud KMS predefinita da utilizzare per la crittografia.
Se configuri CMEK per una risorsa, devi anche impostare la località di archiviazione predefinita per i nuovi bucket
_Default
e_Required
creati dalle risorse figlio.La località di archiviazione per i nuovi bucket
_Default
e_Required
. Questa posizione di archiviazione ti consente di controllare dove vengono archiviati i log.Se imposti una località di archiviazione predefinita per una risorsa e non configuri CMEK per tale risorsa, i nuovi bucket di log nella risorsa non richiedono CMEK.
Indica se il sink di log
_Default
è abilitato o disabilitato per i nuovi progetti nella risorsa.I filtri di inclusione o di esclusione applicati a tutti i nuovi sink
_Default
nelle risorse figlio.
Configurazioni di esempio:
Devi configurare una posizione di archiviazione predefinita per un'organizzazione. Per i nuovi progetti nell'organizzazione, i bucket
_Default
e_Required
vengono creati nella località specificata.Puoi configurare una posizione di archiviazione predefinita per un'organizzazione e una località di archiviazione predefinita per ogni cartella nell'organizzazione. Per i nuovi progetti che si trovano in una cartella, i bucket
_Default
e_Required
vengono creati nella località specificata dalle impostazioni della cartella. Per i progetti che non si trovano in una cartella, i bucket_Default
e_Required
vengono creati nella località specificata dalle impostazioni dell'organizzazione.Configuri una CMEK per un'organizzazione e per la cartella denominata
Non-CMEK
imposti solo la posizione di archiviazione predefinita. Se crei un progetto che non si trova nella cartella denominataNon-CMEK
, i bucket_Default
e_Required
vengono creati nella stessa località della chiave Cloud Key Management Service e questi bucket di log vengono criptati con questa chiave. Tuttavia, se crei un nuovo progetto nella cartella denominataNon-CMEK
, i bucket di log vengono creati nelle posizioni specificate dall'impostazione della cartella e i bucket di log non vengono criptati da CMEK.Configuri un filtro di esclusione che si applica ai nuovi sink
_Default
a livello di organizzazione. Il filtro esclude che gli audit log di accesso ai dati vengano indirizzati tramite il sink_Default
in tutte le risorse figlio, impedendo così l'archiviazione degli audit log di accesso ai dati nel bucket_Default
.
Prima di iniziare
Questo documento non contiene informazioni su come configurare CMEK come impostazione delle risorse predefinita per Logging. Per informazioni su questo argomento, consulta Configurare una CMEK per il logging.
Per iniziare a configurare le impostazioni predefinite delle risorse per Logging, segui questi passaggi:
Installa Google Cloud CLI, quindi initialize eseguendo questo comando:
gcloud init
Assicurati di disporre delle seguenti autorizzazioni di Cloud Logging per l'organizzazione:
logging.settings.get
logging.settings.update
Scopri i requisiti di formattazione di
LogBucket
, incluse le posizioni supportate in cui puoi archiviare i log. Per un elenco delle località di archiviazione supportate per i bucket di log, consulta Regione dei dati: regioni supportate.Trova gli identificatori per l'organizzazione o la cartella per cui vuoi configurare le impostazioni predefinite delle risorse:
- ORGANIZATION_ID è l'identificatore numerico univoco dell'organizzazione Google Cloud. Non è necessario se prevedi di configurare solo un'impostazione predefinita delle risorse per una cartella. Per informazioni su come ottenere questo identificatore, consulta Recupero dell'ID organizzazione.
- FOLDER_ID è l'identificatore numerico univoco della cartella Google Cloud. Non è necessario se prevedi di configurare solo un'impostazione predefinita delle risorse per un'organizzazione. Per informazioni sull'utilizzo delle cartelle, vedi Creazione e gestione delle cartelle.
- LOCATION è la località in cui vuoi archiviare i dati di log.
Visualizza le impostazioni delle risorse predefinite per Logging
Per visualizzare le impostazioni predefinite delle risorse per Logging, inclusa la posizione di archiviazione predefinita, utilizza il comando gcloud logging settings describe
:
CARTELLA
gcloud logging settings describe --folder=FOLDER_ID
ORGANIZZAZIONE
gcloud logging settings describe --organization=ORGANIZATION_ID
Il comando precedente restituisce informazioni sulle impostazioni predefinite delle risorse. Ad esempio, quanto segue mostra le impostazioni predefinite delle risorse per una determinata organizzazione:
name: organizations/ORGANIZATION_ID/settings kmsKeyName: KMS_KEY_NAME kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com storageLocation: europe-west1 disableDefaultSink: false
Il valore di SERVICE_ACCT_NAME potrebbe avere il formato cmek-12345
o service-12345@...
. Se non puoi utilizzare Google Cloud CLI, esegui il metodo API Cloud Logging getSettings
.
Impostare la posizione di archiviazione predefinita
I bucket di log sono i container di organizzazioni, cartelle, account di fatturazione e progetti Google Cloud che archiviano e organizzano i dati di log. Per ogni progetto, account di fatturazione, cartella e organizzazione, Logging crea automaticamente due bucket di log: _Required
e _Default
, che vengono archiviati automaticamente in una località global
non specificata.
Puoi specificare una località di archiviazione per i bucket _Required
e _Default
contenuti in un'organizzazione o una cartella modificando le impostazioni predefinite delle risorse per Logging.
Per un elenco delle posizioni di archiviazione supportate, vedi Regioni supportate.
Dopo aver configurato la località di archiviazione predefinita per un'organizzazione, si verifica quanto segue:
I bucket
_Required
e_Default
esistenti nell'organizzazione o nella cartella mantengono la posizione di archiviazione assegnata loro al momento della creazione.Per le risorse figlio create nell'organizzazione o nella cartella dopo aver configurato la posizione di archiviazione predefinita, i relativi bucket
_Required
e_Default
ereditano la posizione di archiviazione predefinita.
La località di archiviazione predefinita per Cloud Logging si applica solo ai bucket di log _Default
e _Required
. Non si applica ai bucket di log definiti dall'utente.
Configura i criteri dell'organizzazione
Logging supporta i criteri dell'organizzazione che possono limitare le località di archiviazione dei dati. Se un criterio di questo tipo esiste per la tua organizzazione, puoi creare bucket di log solo nelle località consentite dal criterio.
Quando esiste un criterio dell'organizzazione che specifica un vincolo di località, i valori del criterio per il vincolo devono includere la località specificata nelle impostazioni delle risorse predefinite per Logging. Inoltre, se prevedi di modificare le impostazioni predefinite delle risorse, prima di aggiornare quelle predefinite esamina e, se necessario, aggiorna i criteri dell'organizzazione.
Per visualizzare o aggiornare i criteri dell'organizzazione:
-
Nel pannello di navigazione della console Google Cloud, seleziona IAM e amministrazione e poi Criteri dell'organizzazione:
Seleziona la tua organizzazione.
Visualizza e, se necessario, aggiorna il vincolo con ID
constraints/gcp.resourceLocations
. Se questo vincolo non è configurato, non è necessario un aggiornamento.Per informazioni su come visualizzare vincoli specifici e come modificare questi vincoli, consulta la sezione Creazione e modifica dei criteri.
Configura la località di archiviazione predefinita per Logging
Per configurare la posizione di archiviazione predefinita per Cloud Logging, esegui il comando gcloud logging settings update
e includi il flag --storage-location
:
CARTELLA
gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION
ORGANIZZAZIONE
gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION
Se non puoi utilizzare Google Cloud CLI, esegui il metodo API Cloud Logging updateSettings
.
Per informazioni sulla risoluzione degli errori durante l'aggiornamento della località di archiviazione predefinita, consulta Risolvere i problemi relativi all'impostazione della località predefinita delle risorse.
Configura il sink _Default
Logging fornisce un sink _Default
predefinito per ciascun progetto, account di fatturazione, cartella e risorsa organizzazione di Google Cloud. Qualsiasi log generato nella risorsa che corrisponde al filtro di inclusione e che non è escluso viene instradato al bucket _Default
predefinito della risorsa, con lo stesso nome.
Puoi configurare le impostazioni predefinite delle risorse per il sink _Default
per la tua organizzazione e le tue cartelle con le seguenti opzioni:
Puoi disabilitare il sink
_Default
per tutte le risorse figlio.Puoi configurare uno o più filtri di esclusione che si applicano ai sink
_Default
dei nuovi progetti.
Disattiva il sink _Default
Puoi disabilitare la creazione dei sink _Default
per tutte le nuove risorse in un'organizzazione o in una cartella. La disattivazione dei sink _Default
impedisce l'archiviazione dei log nel bucket _Default
della risorsa.
Se interrompi l'archiviazione dei log nel bucket _Default
di una risorsa, i log che sarebbero stati instradati a quel bucket vengono esclusi dall'archiviazione in Logging, a meno che non siano inclusi esplicitamente in un altro sink definito dall'utente per quella risorsa.
Per disabilitare i sink _Default
per una risorsa e le relative risorse figlio, esegui questo comando gcloud logging settings update
:
CARTELLA
gcloud logging settings update --folder=FOLDER_ID--disable-default-sink
ORGANIZZAZIONE
gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink
Il flag disable-default-sink
si applica solo al sink _Default
che indirizza i log al bucket _Default
.
Puoi riabilitare i sink _Default
eseguendo il seguente comando
gcloud logging settings update
:
CARTELLA
gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink
ORGANIZZAZIONE
gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink
Configura il filtro predefinito di _Default
sink
Il sink _Default
predefinito instrada tutti i log corrispondenti ai criteri del sink
al bucket _Default
corrispondente. Puoi utilizzare i
filtri di inclusione
e i filtri di esclusione per configurare
quali log includere ed escludere per i nuovi sink _Default
in un'organizzazione
o una cartella.
Il filtro di inclusione può sostituire o essere aggiunto al filtro sink _Default
e i filtri di esclusione vengono aggiunti poiché il sink _Default
non ha filtri di esclusione per impostazione predefinita.
Per specificare un filtro di inclusione o di esclusione da applicare a tutti i sink _Default
di nuove risorse in un'organizzazione o una cartella, esegui il metodo API Cloud Logging updateSettings
con l'oggetto defaultSinkConfig
. Puoi impostare il filtro predefinito dei sink _Default
solo utilizzando l'API Logging.
Puoi eseguire il metodo updateSettings
utilizzando il widget Explorer API nella pagina di riferimento del metodo. L'esempio seguente illustra i parametri di esempio:
- name (URL):
organizations/ORGANIZATION_ID/settings
- updateMask:
"default_sink_config"
Corpo della richiesta, che contiene un'istanza di
Settings
:"defaultSinkConfig": { { "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ", "exclusions": [ { "name": "exclude-data-access", "description": "Prevents Data Access audit logs from being routed", "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")", } ], "mode": OVERWRITE } }
L'esempio precedente esegue quanto segue:
Sovrascrive il filtro di inclusione del sink
_Default
in modo da includere gli audit log delle attività di amministrazione, che sono esclusi per impostazione predefinita.Aggiunge un filtro di esclusione che impedisce il routing degli audit log di accesso ai dati al bucket
_Default
.
Risolvere gli errori di configurazione
Per informazioni sulla risoluzione dei problemi, vedi Risolvere gli errori relativi a CMEK e impostazione predefinita.