In diesem Dokument wird beschrieben, wie Sie die Standardressourceneinstellungen für Logging mithilfe der Google Cloud CLI konfigurieren. Standardressourceneinstellungen, die auf eine Organisation oder einen Ordner angewendet werden können, können Folgendes festlegen:
Gibt an, ob CMEK für neue Log-Buckets erforderlich ist.
Der Speicherort, mit dem Folgendes festgelegt wird:
Wobei
_Default
und_Required
Log-Buckets gespeichert sind.Wenn Abfragen auf den Seiten Log-Explorer oder Loganalysen gespeichert werden, insbesondere aktuelle Abfragen und Abfragen, die von einem Mitglied des Google Cloud-Projekts gespeichert wurden.
Gibt an, ob die Senke
_Default
aktiviert oder deaktiviert ist.Der Filter, der auf die Senke
_Default
neuer Ressourcen angewendet wird.
Überblick
Die Organisationsressource befindet sich auf der obersten Ebene der Google Cloud-Ressourcenhierarchie. Die Organisationsressource ist den folgenden untergeordneten Ressourcen übergeordnet: Google Cloud-Projekte, Ordner, Rechnungskonten und in Bezug auf Logging Buckets.
Sie können Logging so konfigurieren, dass Standardressourceneinstellungen für eine Google Cloud-Organisation und für Ordner verwendet werden. Wenn Sie neue Ressourcen erstellen, übernehmen diese die Standardressourceneinstellungen der übergeordneten Ressource.
Cloud Logging unterstützt die folgenden Standardressourceneinstellungen:
Gibt an, ob neue Log-Buckets in einer Ressource mit einem vom Kunden verwalteten Schlüssel verschlüsselt werden sollen und falls ja, mit dem Cloud KMS-Standardschlüssel für die Verschlüsselung.
Wenn Sie CMEK für eine Ressource konfigurieren, müssen Sie auch den Standardspeicherort für neue
_Default
- und_Required
-Buckets festlegen, die von untergeordneten Ressourcen erstellt werden.Der Speicherort für neue
_Default
- und_Required
-Buckets und Abfragen auf den Seiten Log-Explorer oder Loganalysen. Mit diesem Speicherort können Sie steuern, wo Ihre Logs gespeichert werden.Wenn Sie einen Standardspeicherort für eine Ressource festlegen und keinen CMEK für diese Ressource konfigurieren, ist für neue Log-Buckets in der Ressource kein CMEK erforderlich.
Gibt an, ob die Logsenke
_Default
für neue Projekte in der Ressource aktiviert oder deaktiviert ist.Die Einschluss- oder Ausschlussfilter, die auf alle neuen
_Default
-Senken in den untergeordneten Ressourcen angewendet werden.
Beispielkonfigurationen:
Sie konfigurieren einen Standardspeicherort für eine Organisation. Für neue Projekte in der Organisation werden die Buckets
_Default
und_Required
am angegebenen Standort erstellt.Sie konfigurieren einen Standardspeicherort für eine Organisation und einen Standardspeicherort für jeden Ordner in dieser Organisation. Bei neuen Projekten, die sich in einem Ordner befinden, werden die Buckets
_Default
und_Required
an dem in den Ordnereinstellungen angegebenen Speicherort erstellt. Bei Projekten, die sich nicht in einem Ordner befinden, werden die Buckets_Default
und_Required
an dem Ort erstellt, der in den Einstellungen der Organisation angegeben ist.Sie konfigurieren einen Standardspeicherort, an dem alle Abfragen im Log-Explorer gespeichert werden. Dazu gehören aktuelle Abfragen, die nach der Ausführung automatisch gespeichert werden, sowie Abfragen, die von Mitgliedern des Google Cloud-Projekts gespeichert wurden.
Sie konfigurieren CMEK für eine Organisation und legen für den Ordner
Non-CMEK
nur den Standardspeicherort fest. Wenn Sie ein Projekt erstellen, das sich nicht im OrdnerNon-CMEK
befindet, werden die Buckets_Default
und_Required
am selben Speicherort wie der Cloud Key Management Service-Schlüssel erstellt. Diese Log-Buckets werden mit diesem Schlüssel verschlüsselt. Wenn Sie jedoch ein neues Projekt im OrdnerNon-CMEK
erstellen, werden dessen Log-Buckets an den in der Einstellung des Ordners angegebenen Speicherorten erstellt. Diese Log-Buckets werden nicht durch CMEK verschlüsselt.Sie konfigurieren einen Ausschlussfilter, der für neue
_Default
-Senken auf Organisationsebene gilt. Durch den Filter werden Audit-Logs zum Datenzugriff nicht über die Senke_Default
in allen untergeordneten Ressourcen weitergeleitet. Dadurch wird verhindert, dass die Audit-Logs zum Datenzugriff im Bucket_Default
gespeichert werden.
Hinweise
Dieses Dokument enthält keine Informationen zum Konfigurieren eines CMEK als Standard-Ressourceneinstellung für Logging. Informationen zu diesem Thema finden Sie unter CMEK für Logging konfigurieren.
So konfigurieren Sie die Standardressourceneinstellungen für Logging:
Installieren Sie die Google Cloud CLI und initialisieren Sie sie mit folgendem Befehl:
gcloud init
Prüfen Sie, ob Sie die folgenden Cloud Logging-Berechtigungen für die Organisation haben:
logging.settings.get
logging.settings.update
Machen Sie sich mit den Formatierungsanforderungen für
LogBucket
vertraut, einschließlich der unterstützten Speicherorte, an denen Sie Ihre Logs speichern können. Eine Liste der unterstützten Speicherorte für Log-Buckets finden Sie unter Regionalität von Daten: Unterstützte Regionen.Suchen Sie die IDs für die Organisation oder den Ordner, für den Sie Standardressourceneinstellungen konfigurieren möchten:
- ORGANIZATION_ID ist die eindeutige numerische Kennzeichnung der Google Cloud-Organisation. Sie benötigen diesen Wert nicht, wenn Sie nur eine Standardressourceneinstellung für einen Ordner konfigurieren möchten. Informationen zum Abrufen dieser Kennung finden Sie unter Organisations-ID abrufen.
- FOLDER_ID ist die eindeutige numerische Kennzeichnung des Google Cloud-Ordners. Sie benötigen diesen Wert nicht, wenn Sie nur vorhaben, eine Standardeinstellung für Ressourcen für eine Organisation zu konfigurieren. Informationen zur Verwendung von Ordnern finden Sie unter Ordner erstellen und verwalten.
- LOCATION ist der Ort, an dem Sie Ihre Logdaten speichern möchten.
Standardressourceneinstellungen für Logging ansehen
Verwenden Sie den Befehl gcloud logging settings describe
, um die Standardressourceneinstellungen für Logging, einschließlich des Standardspeicherorts, für Logging aufzurufen:
ORDNER
gcloud logging settings describe --folder=FOLDER_ID
ORGANISATION
gcloud logging settings describe --organization=ORGANIZATION_ID
Der vorherige Befehl gibt Informationen zu den Standardressourceneinstellungen zurück. Im Folgenden sehen Sie beispielsweise die Standardressourceneinstellungen für eine bestimmte Organisation:
name: organizations/ORGANIZATION_ID/settings kmsKeyName: KMS_KEY_NAME kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com storageLocation: europe-west1 disableDefaultSink: false
Der Wert von SERVICE_ACCT_NAME kann das Format cmek-12345
oder service-12345@...
haben. Wenn Sie die Google Cloud CLI nicht verwenden können, führen Sie die Cloud Logging API-Methode getSettings
aus.
Standardspeicherort festlegen
Log-Buckets sind die Container in Ihren Google Cloud-Projekten, Rechnungskonten, Ordnern und Organisationen, in denen Ihre Logdaten gespeichert und organisiert werden. Für jedes Google Cloud-Projekt, jedes Rechnungskonto, jeden Ordner und jede Organisation erstellt Logging automatisch zwei Log-Buckets: _Required
und _Default
. Diese werden automatisch an einem nicht festgelegten Speicherort in global
gespeichert.
Sie können einen Speicherort für die Buckets _Required
und _Default
angeben, die in einer Organisation oder einem Ordner enthalten sind. Dazu ändern Sie die Standardressourceneinstellungen für Logging. Dieser Speicherort bestimmt auch, wo Abfragen auf den Seiten Log-Explorer und Loganalysen gespeichert werden. Dazu gehören aktuelle Abfragen, die nach der Ausführung automatisch gespeichert werden, sowie Abfragen, die von Mitgliedern des Google Cloud-Projekts gespeichert wurden.
Eine Liste der unterstützten Speicherorte finden Sie unter Unterstützte Regionen.
Nachdem Sie den Standardspeicherort für eine Organisation konfiguriert haben, geschieht Folgendes:
Vorhandene
_Required
- und_Default
-Buckets in dieser Organisation oder diesem Ordner behalten den Speicherort bei, der ihnen bei der Erstellung zugewiesen war.Bei untergeordneten Ressourcen, die nach dem Konfigurieren des Standardspeicherorts in der Organisation oder im Ordner erstellt werden, übernehmen die Buckets
_Required
und_Default
den Standardspeicherort.Vorhandene Log-Explorer- und Loganalysen-Abfragen behalten ihren aktuellen Speicherort.
Für neue Abfragen des Log-Explorers oder Loganalysen, die Sie nach der Konfiguration des Standardspeicherorts speichern, wird der Standardspeicherort verwendet. Dieser Speicherort gilt auch für die letzten Suchanfragen, die automatisch gespeichert werden.
Der Standardspeicherort für Cloud Logging gilt nur für die Log-Buckets _Default
und _Required
sowie für Abfragen auf den Seiten Log-Explorer und Loganalysen. Dazu gehören Abfragen, die nach der Ausführung automatisch gespeichert werden, sowie Abfragen, die von Mitgliedern des Google Cloud-Projekts gespeichert wurden. Sie gilt nicht für benutzerdefinierte Log-Buckets oder für Abfragen, die mit der Logging API gespeichert werden, da in der Anfrage ein Standort angegeben werden muss.
Organisationsrichtlinien konfigurieren
Logging unterstützt Organisationsrichtlinien, die den Speicher von Daten einschränken können. Wenn für Ihre Organisation eine solche Richtlinie vorhanden ist, können Sie Log-Buckets nur an Standorten erstellen, die von der Richtlinie zugelassen sind.
Wenn eine Organisationsrichtlinie mit einer Standortbeschränkung vorhanden ist, müssen die Richtlinienwerte für die Einschränkung den Standort enthalten, der in den Standardressourceneinstellungen für Logging angegeben ist. Wenn Sie Ihre Standardressourceneinstellungen ändern möchten, prüfen und aktualisieren Sie gegebenenfalls die Organisationsrichtlinien, bevor Sie die Standardressourceneinstellungen aktualisieren.
So können Sie Organisationsrichtlinien aufrufen oder aktualisieren:
-
Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf:
Wenn Sie diese Seite über die Suchleiste finden, wählen Sie das Ergebnis mit der Zwischenüberschrift IAM und Verwaltung aus.
Wählen Sie Ihre Organisation aus.
Rufen Sie die Einschränkung auf und aktualisieren Sie sie bei Bedarf mit der ID
constraints/gcp.resourceLocations
. Wenn diese Einschränkung nicht konfiguriert ist, ist keine Aktualisierung erforderlich.Informationen zum Aufrufen bestimmter Einschränkungen und zum Bearbeiten dieser Einschränkungen finden Sie unter Richtlinien erstellen und bearbeiten.
Standardspeicherort für Logging konfigurieren
Führen Sie den Befehl gcloud logging settings update
aus und fügen Sie das Flag --storage-location
ein, um den Standardspeicherort für Cloud Logging zu konfigurieren:
ORDNER
gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION
ORGANISATION
gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION
Wenn Sie die Google Cloud CLI nicht verwenden können, führen Sie die Cloud Logging API-Methode updateSettings
aus.
Informationen zum Beheben von Fehlern beim Aktualisieren des Standardspeicherorts finden Sie unter Fehlerbehebung beim Festlegen des Standardspeicherorts für Ressourcen.
_Default
-Senke konfigurieren
Logging stellt für jedes Google Cloud-Projekt, jedes Rechnungskonto, jeden Ordner und jede Organisationsressource eine vordefinierte _Default
-Senke zur Verfügung. Jedes in der Ressource generierte Log, das dem Einschlussfilter entspricht und nicht ausgeschlossen ist, wird an den vordefinierten, entsprechend benannten _Default
-Bucket der Ressource weitergeleitet.
Mit den folgenden Optionen können Sie Standardressourceneinstellungen für die Senke _Default
für Ihre Organisation und Ordner konfigurieren:
Sie können die Senke
_Default
für alle untergeordneten Ressourcen deaktivieren.Sie können einen Einschlussfilter oder mehrere Ausschlussfilter konfigurieren, die für die
_Default
-Senken neuer Projekte gelten.
_Default
-Senke deaktivieren
Sie können das Erstellen von _Default
-Senken für alle neuen Ressourcen in einer Organisation oder einem Ordner deaktivieren. Durch das Deaktivieren der _Default
-Senken wird verhindert, dass Logs im _Default
-Bucket der Ressource gespeichert werden.
Wenn Sie das Speichern von Logs im Bucket _Default
einer Ressource beenden, werden die Logs, die an diesen Bucket weitergeleitet worden wären, vom Speichern in Logging ausgeschlossen, es sei denn, diese Logs sind explizit in einer anderen benutzerdefinierten Senke für diese Ressource enthalten.
Führen Sie den folgenden Befehl gcloud logging settings update
aus, um die _Default
-Senken für eine Ressource und eine ihrer untergeordneten Ressourcen zu deaktivieren:
ORDNER
gcloud logging settings update --folder=FOLDER_ID--disable-default-sink
ORGANISATION
gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink
Das Flag disable-default-sink
gilt nur für die Senke _Default
, die Logs an den Bucket _Default
weiterleitet.
Mit dem folgenden Befehl gcloud logging settings update
können Sie die _Default
-Senken wieder aktivieren:
ORDNER
gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink
ORGANISATION
gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink
Standardfilter von _Default
Senken konfigurieren
Die vordefinierte _Default
-Senke leitet alle Logs, die den Senkenkriterien entsprechen, an den entsprechenden _Default
-Bucket weiter. Mit Einschlussfiltern und Ausschlussfiltern können Sie konfigurieren, welche Logs für neue _Default
-Senken in einer Organisation oder einem Ordner ein- und ausgeschlossen werden sollen.
Der Einschlussfilter kann den Senkenfilter _Default
entweder überschreiben oder an ihn angehängt werden. Die Ausschlussfilter werden angehängt, da die _Default
-Senke standardmäßig keine Ausschlussfilter hat.
Führen Sie die Cloud Logging API-Methode updateSettings
mit dem defaultSinkConfig
-Objekt aus, um einen Einschluss- oder Ausschlussfilter anzugeben, der auf alle _Default
-Senken neuer Ressourcen in einer Organisation oder einem Ordner angewendet wird. Sie können den Standardfilter von _Default
-Senken nur mit der Logging API festlegen.
Sie können die Methode updateSettings
mit dem Widget APIs Explorer auf der Referenzseite der Methode ausführen. Das folgende Beispiel veranschaulicht Beispielparameter:
- Name (URL):
organizations/ORGANIZATION_ID/settings
- updateMask:
"default_sink_config"
Anfragetext, der eine Instanz von
Settings
enthält:"defaultSinkConfig": { { "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ", "exclusions": [ { "name": "exclude-data-access", "description": "Prevents Data Access audit logs from being routed", "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")", } ], "mode": OVERWRITE } }
Im vorherigen Beispiel geschieht Folgendes:
Überschreibt den Einschlussfilter der Senke
_Default
, um Audit-Logs zur Administratoraktivität einzuschließen, die standardmäßig ausgeschlossen sind.Fügt einen Ausschlussfilter an, der verhindert, dass Audit-Logs zum Datenzugriff an den Bucket
_Default
weitergeleitet werden.
Konfigurationsfehler beheben
Informationen zur Fehlerbehebung finden Sie unter Fehler bei CMEK und Standardeinstellungen beheben.