Neste documento, descrevemos como definir configurações de recursos padrão para o Logging usando a Google Cloud CLI. As configurações padrão de recursos, que podem ser aplicadas a uma organização ou a uma pasta, determinam o seguinte:
Se a CMEK é necessária para novos buckets de registros.
O local de armazenamento dos buckets de registros
_Default
e_Required
.Se o coletor
_Default
está ativado ou desativado.O filtro aplicado ao coletor
_Default
de novos recursos.
Visão geral
O recurso da organização está no nível mais alto da hierarquia de recursos do Google Cloud. O recurso da organização é o pai dos recursos filhos: projetos, pastas, contas de faturamento do Google Cloud e, no que diz respeito ao Logging, buckets.
É possível configurar o Logging para usar as configurações de recursos padrão para uma organização do Google Cloud e para pastas. Quando você cria novos recursos, eles herdam as configurações padrão do pai.
O Cloud Logging é compatível com as seguintes configurações de recursos padrão:
Se os novos buckets de registro em um recurso serão criptografados com uma chave gerenciada pelo cliente e, em caso afirmativo, a chave padrão do Cloud KMS a ser usada para criptografia.
Se você configurar a CMEK para um recurso, também precisará definir o local de armazenamento padrão para novos buckets
_Default
e_Required
criados por recursos filhos.O local de armazenamento dos novos buckets
_Default
e_Required
. Esse local de armazenamento permite controlar onde seus registros são armazenados.Se você definir um local de armazenamento padrão para um recurso e não configurar a CMEK para esse recurso, os novos buckets de registro no recurso não exigirão CMEK.
Se o coletor de registros
_Default
está ativado ou desativado para novos projetos no recurso.Os filtros de inclusão ou de exclusão que são aplicados a todos os novos coletores
_Default
nos recursos filhos.
Exemplos de configuração:
Você configura um local de armazenamento padrão para uma organização. Para novos projetos na organização, os buckets
_Default
e_Required
são criados no local especificado.Você configura um local de armazenamento padrão para uma organização e um local de armazenamento padrão para cada pasta nessa organização. Para novos projetos que estão em uma pasta, os buckets
_Default
e_Required
são criados no local especificado pelas configurações da pasta. Para projetos que não estejam em uma pasta, os buckets_Default
e_Required
são criados no local especificado pelas configurações da organização.Você configura a CMEK para uma organização e, para a pasta chamada
Non-CMEK
, define apenas o local de armazenamento padrão. Se você criar um projeto que não esteja na pasta chamadaNon-CMEK
, os buckets_Default
e_Required
serão criados no mesmo local que a chave do Cloud Key Management Service, e esses buckets de registro serão criptografados por essa chave. No entanto, se você criar um novo projeto na pasta chamadaNon-CMEK
, os buckets de registro serão criados nos locais especificados pela configuração dessa pasta, e eles não serão criptografados pela CMEK.Você configura um filtro de exclusão que se aplica a novos coletores
_Default
no nível da organização. O filtro exclui os registros de auditoria de acesso a dados de serem roteados pelo coletor_Default
em todos os recursos filhos, o que impede que os registros de auditoria de acesso a dados sejam armazenados no bucket_Default
.
Antes de começar
Este documento não contém informações sobre como configurar CMEK como uma configuração de recurso padrão para o Logging. Para informações sobre esse tópico, consulte Configurar CMEK para Logging.
Para começar a definir as configurações de recursos padrão do Logging, faça o seguinte:
Instale a Google Cloud CLI e inicialize-a executando o seguinte comando:
gcloud init
Verifique se você tem as seguintes permissões do Cloud Logging para a organização:
logging.settings.get
logging.settings.update
Entenda os requisitos de formatação do
LogBucket
, incluindo os locais compatíveis para armazenar seus registros. Para conferir uma lista dos locais de armazenamento compatíveis com buckets de registro, consulte Regionalidade de dados: regiões compatíveis.Encontre os identificadores da organização ou da pasta em que você quer definir as configurações de recurso padrão:
- ORGANIZATION_ID é o identificador numérico exclusivo da organização do Google Cloud. Esse valor não será necessário se você quiser definir apenas uma configuração de recurso padrão para uma pasta. Para mais informações sobre como conseguir esse identificador, consulte Como conseguir o ID da organização.
- FOLDER_ID é o identificador numérico exclusivo da pasta do Google Cloud. Esse valor não será necessário se você quiser definir apenas uma configuração de recurso padrão para uma organização. Para mais informações sobre o uso de pastas, consulte Como criar e gerenciar pastas.
- LOCATION é o local onde você quer armazenar os dados de registro.
Visualizar configurações de recursos padrão para o Logging
Para ver as configurações de recursos padrão do Logging, incluindo o local de armazenamento padrão, use o comando gcloud logging settings describe
:
PASTA
gcloud logging settings describe --folder=FOLDER_ID
ORGANIZAÇÃO
gcloud logging settings describe --organization=ORGANIZATION_ID
O comando anterior retorna informações sobre as configurações de recurso padrão. Por exemplo, a imagem abaixo mostra as configurações de recursos padrão de uma organização específica:
name: organizations/ORGANIZATION_ID/settings kmsKeyName: KMS_KEY_NAME kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com storageLocation: europe-west1 disableDefaultSink: false
O valor de SERVICE_ACCT_NAME pode ter o formato cmek-12345
ou
service-12345@...
. Se não for possível usar a Google Cloud CLI, execute o
método getSettings
da API Cloud Logging.
Definir o local de armazenamento padrão
Os buckets de registros são os contêineres nos projetos, nas contas de faturamento, nas pastas e nas organizações do Google Cloud que armazenam e organizam os dados de registro. Para cada projeto, conta de faturamento, pasta e organização do Google Cloud, o Logging cria automaticamente dois buckets de registro: _Required
e _Default
, que são armazenados automaticamente em um local global
não especificado.
É possível especificar um local de armazenamento para os buckets _Required
e _Default
contidos em uma organização ou pasta modificando as configurações de recurso padrão do Logging.
Para conferir uma lista dos locais de armazenamento compatíveis, consulte
Regiões compatíveis.
Depois de configurar o local de armazenamento padrão de uma organização, acontece o seguinte:
Os buckets
_Required
e_Default
nessa organização ou pasta mantêm o local de armazenamento atribuído a eles no momento em que foram criados.Para recursos filhos criados na organização ou na pasta após a configuração do local de armazenamento padrão, os buckets
_Required
e_Default
herdam o local de armazenamento padrão.
O local de armazenamento padrão do Cloud Logging se aplica
apenas aos buckets de registros _Default
e _Required
. Ele não se aplica
a buckets de registros definidos pelo usuário.
Configurar as políticas da organização
O Logging oferece suporte a políticas da organização que podem restringir o local em que os dados podem ser armazenados. Se essa política existir para sua organização, só será possível criar buckets de registros em locais permitidos por ela.
Quando uma política da organização que especifica uma restrição de local existe, os valores da política para a restrição precisam incluir o local especificado nas configurações de recurso padrão do Logging. Além disso, se você planeja modificar as configurações de recursos padrão, revise e, se necessário, atualize as políticas da organização antes de atualizá-las.
Para visualizar ou atualizar as políticas da organização, faça o seguinte:
-
No console do Google Cloud, acesse a página Políticas da organização:
Acesse Políticas da organização
Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo IAM e administrador.
Selecione a organização.
Confira e, se necessário, atualize a restrição com o ID
constraints/gcp.resourceLocations
. Se essa restrição não estiver configurada, uma atualização não será necessária.Para informações sobre como visualizar restrições específicas e como editá-las, consulte Como criar e editar políticas.
Configurar o local de armazenamento padrão para o Logging
Para configurar o local de armazenamento padrão do Cloud Logging, execute o comando gcloud logging settings update
e inclua a sinalização --storage-location
:
PASTA
gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION
ORGANIZAÇÃO
gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION
Se não for possível usar a Google Cloud CLI, execute o
método updateSettings
da API Cloud Logging.
Para informações sobre como resolver erros ao atualizar o local de armazenamento padrão, consulte Solução de problemas ao definir o local padrão do recurso.
Configurar o coletor _Default
O Logging fornece um
coletor _Default
predefinido para cada
projeto, conta de faturamento, pasta e recurso da organização do Google Cloud. Todo registro gerado no recurso que corresponde ao filtro de inclusão e que não é excluído é roteado para o bucket predefinido _Default
do recurso.
É possível definir as configurações de recursos padrão para o coletor _Default
de sua organização e pastas com as seguintes opções:
É possível desativar o coletor
_Default
para todos os recursos filhos.É possível configurar um ou vários filtros de exclusão que se aplicam aos coletores
_Default
de novos projetos.
Desativar o coletor _Default
É possível desativar a criação de coletores _Default
para todos os novos recursos em uma organização ou pasta. Desativar os coletores _Default
impede que os registros sejam armazenados no bucket _Default
do recurso.
Se você parar de armazenar registros no bucket _Default
de um recurso, os registros que teriam sido roteados para esse bucket serão excluídos do armazenamento no Logging, a menos que esses registros sejam explicitamente incluídos em outro coletor definido pelo usuário para esse recurso.
Para desativar os coletores _Default
de um recurso e qualquer um dos recursos
filhos, execute o comando
gcloud logging settings update
a seguir:
PASTA
gcloud logging settings update --folder=FOLDER_ID--disable-default-sink
ORGANIZAÇÃO
gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink
A sinalização disable-default-sink
se aplica apenas ao coletor _Default
, que roteia
registros para o bucket _Default
.
É possível reativar os coletores _Default
executando o comando
gcloud logging settings update
a seguir:
PASTA
gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink
ORGANIZAÇÃO
gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink
Configurar o filtro padrão de _Default
coletores
O coletor _Default
predefinido encaminha todos os registros que correspondem aos critérios do coletor para o bucket _Default
correspondente. É possível usar filtros de inclusão e filtros de exclusão para configurar quais registros serão incluídos e excluídos dos novos coletores _Default
em uma organização ou pasta.
O filtro de inclusão pode ser substituído ou
anexado ao filtro de coletor _Default
. Além disso, os filtros de exclusão são anexados
porque o coletor _Default
não tem filtros de exclusão por padrão.
Para especificar um filtro de inclusão ou de exclusão aplicado a todos os coletores _Default
de novos recursos em uma organização ou pasta, execute o método updateSettings
da API Cloud Logging com o objeto defaultSinkConfig
. Só é possível definir o filtro padrão dos coletores _Default
usando a API Logging.
É possível executar o método updateSettings
usando o widget do APIs Explorer na página de referência do método. O exemplo a seguir ilustra os parâmetros de amostra:
- nome (URL):
organizations/ORGANIZATION_ID/settings
- updateMask:
"default_sink_config"
Corpo da solicitação, que contém uma instância de
Settings
:"defaultSinkConfig": { { "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ", "exclusions": [ { "name": "exclude-data-access", "description": "Prevents Data Access audit logs from being routed", "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")", } ], "mode": OVERWRITE } }
O exemplo anterior faz o seguinte:
Substitui o filtro de inclusão do coletor
_Default
para incluir registros de auditoria de atividades do administrador, que são excluídos por padrão.Anexa um filtro de exclusão que impede que os registros de auditoria de acesso a dados sejam roteados para o bucket
_Default
.
Resolver problemas de configuração
Para informações sobre solução de problemas, consulte Resolver problemas de CMEK e de configuração padrão.