In diesem Dokument wird beschrieben, wie Sie Standardressourceneinstellungen für Logging mithilfe der Google Cloud CLI konfigurieren. Mit Standardressourceneinstellungen, die auf eine Organisation oder einen Ordner angewendet werden können, kann Folgendes festgelegt werden:
Gibt an, ob CMEK für neue Log-Buckets erforderlich ist.
Der Speicherort für die Log-Buckets
_Default
und_Required
.Gibt an, ob die Senke
_Default
aktiviert oder deaktiviert ist.Der Filter, der auf die Senke
_Default
neuer Ressourcen angewendet wird.
Überblick
Die Organisationsressource befindet sich auf der obersten Ebene der Google Cloud-Ressourcenhierarchie. Die Organisationsressource ist das übergeordnete Element dieser untergeordneten Ressourcen: Google Cloud-Projekte, Ordner, Rechnungskonten und in Bezug auf Logging Buckets.
Sie können Logging so konfigurieren, dass die Standardressourceneinstellungen für eine Google Cloud-Organisation und für Ordner verwendet werden. Wenn Sie neue Ressourcen erstellen, übernehmen diese Ressourcen die Standardeinstellungen der übergeordneten Ressource.
Cloud Logging unterstützt die folgenden Standardressourceneinstellungen:
Gibt an, ob neue Log-Buckets in einer Ressource mit einem vom Kunden verwalteten Schlüssel verschlüsselt werden sollen und wenn ja, der Cloud KMS-Standardschlüssel, der für die Verschlüsselung verwendet werden soll.
Wenn Sie CMEK für eine Ressource konfigurieren, müssen Sie auch den Standardspeicherort für neue
_Default
- und_Required
-Buckets festlegen, die von untergeordneten Ressourcen erstellt werden.Der Speicherort für neue
_Default
- und_Required
-Buckets. Über diesen Speicherort können Sie steuern, wo Ihre Logs gespeichert werden.Wenn Sie einen Standardspeicherort für eine Ressource festlegen und für diese Ressource keinen CMEK konfigurieren, ist CMEK für neue Log-Buckets in der Ressource nicht erforderlich.
Gibt an, ob die Logsenke
_Default
für neue Projekte in der Ressource aktiviert oder deaktiviert ist.Die Einschluss- oder Ausschlussfilter, die auf alle neuen
_Default
-Senken in den untergeordneten Ressourcen angewendet werden.
Beispielkonfigurationen:
Sie konfigurieren einen Standardspeicherort für eine Organisation. Bei neuen Projekten in der Organisation werden die Buckets
_Default
und_Required
am angegebenen Speicherort erstellt.Sie konfigurieren einen Standardspeicherort für eine Organisation und einen Standardspeicherort für jeden Ordner in dieser Organisation. Bei neuen Projekten, die sich in einem Ordner befinden, werden die Buckets
_Default
und_Required
an dem in den Ordnereinstellungen angegebenen Speicherort erstellt. Bei Projekten, die sich nicht in einem Ordner befinden, werden die Buckets_Default
und_Required
an dem in den Einstellungen der Organisation angegebenen Speicherort erstellt.Sie konfigurieren CMEK für eine Organisation und legen für den Ordner mit dem Namen
Non-CMEK
nur den Standardspeicherort fest. Wenn Sie ein Projekt erstellen, das sich nicht im OrdnerNon-CMEK
befindet, werden die Buckets_Default
und_Required
am selben Speicherort wie der Cloud Key Management Service-Schlüssel erstellt. Diese Log-Buckets werden mit diesem Schlüssel verschlüsselt. Wenn Sie jedoch ein neues Projekt im OrdnerNon-CMEK
erstellen, werden seine Log-Buckets an den in der Einstellung dieses Ordners angegebenen Speicherorten erstellt. Diese Log-Buckets werden nicht durch CMEK verschlüsselt.Sie konfigurieren einen Ausschlussfilter, der für neue
_Default
-Senken auf Organisationsebene gilt. Der Filter verhindert, dass Audit-Logs zum Datenzugriff über die Senke_Default
in allen untergeordneten Ressourcen weitergeleitet werden. Dadurch wird verhindert, dass die Audit-Logs zum Datenzugriff im_Default
-Bucket gespeichert werden.
Hinweise
Dieses Dokument enthält keine Informationen zum Konfigurieren von CMEK als Standardressourceneinstellung für Logging. Informationen zu diesem Thema finden Sie unter CMEK für Logging konfigurieren.
So konfigurieren Sie die Standardressourceneinstellungen für Logging:
Installieren Sie die Google Cloud CLI und initialisieren Sie sie mit folgendem Befehl:
gcloud init
Sie benötigen die folgenden Cloud Logging-Berechtigungen für die Organisation:
logging.settings.get
logging.settings.update
Machen Sie sich mit den Formatierungsanforderungen für
LogBucket
vertraut, einschließlich der unterstützten Speicherorte für Ihre Logs. Eine Liste der unterstützten Speicherorte für Log-Buckets finden Sie unter Regionalität von Daten: Unterstützte Regionen.Suchen Sie die IDs der Organisation oder des Ordners, für die Sie die Standardressourceneinstellungen konfigurieren möchten:
- ORGANIZATION_ID ist die eindeutige numerische Kennung der Google Cloud-Organisation. Sie benötigen diesen Wert nicht, wenn Sie nur eine Standardressourceneinstellung für einen Ordner konfigurieren möchten. Informationen zum Abrufen dieser ID finden Sie unter Organisations-ID abrufen.
- FOLDER_ID ist die eindeutige numerische Kennung des Google Cloud-Ordners. Sie benötigen diesen Wert nicht, wenn Sie nur eine Standardressourceneinstellung für eine Organisation konfigurieren möchten. Informationen zur Verwendung von Ordnern finden Sie unter Ordner erstellen und verwalten.
- LOCATION ist der Speicherort, an dem die Logdaten gespeichert werden sollen.
Standardressourceneinstellungen für Logging ansehen
Verwenden Sie den Befehl gcloud logging settings describe
, um die Standardressourceneinstellungen für Logging einschließlich des Standardspeicherorts aufzurufen:
ORDNER
gcloud logging settings describe --folder=FOLDER_ID
ORGANISATION
gcloud logging settings describe --organization=ORGANIZATION_ID
Der vorherige Befehl gibt Informationen zu den Standardressourceneinstellungen zurück. Im Folgenden sehen Sie beispielsweise die Standardressourceneinstellungen für eine bestimmte Organisation:
name: organizations/ORGANIZATION_ID/settings kmsKeyName: KMS_KEY_NAME kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com storageLocation: europe-west1 disableDefaultSink: false
Der Wert von SERVICE_ACCT_NAME kann das Format cmek-12345
oder service-12345@...
haben. Wenn Sie die Google Cloud CLI nicht verwenden können, führen Sie die Cloud Logging API-Methode getSettings
aus.
Standardspeicherort festlegen
Log-Buckets sind die Container in Ihren Google Cloud-Projekten, Rechnungskonten, Ordnern und Organisationen, die Ihre Logdaten speichern und organisieren. Logging erstellt für jedes Google Cloud-Projekt, jedes Rechnungskonto, jeden Ordner und jede Organisation automatisch zwei Log-Buckets: _Required
und _Default
. Diese werden automatisch an einem nicht angegebenen Speicherort für global
gespeichert.
Sie können einen Speicherort für die Buckets _Required
und _Default
angeben, die in einer Organisation oder einem Ordner enthalten sind. Ändern Sie dazu die Standardressourceneinstellungen für Logging.
Eine Liste der unterstützten Speicherorte finden Sie unter Unterstützte Regionen.
Nachdem Sie den Standardspeicherort für eine Organisation konfiguriert haben, geschieht Folgendes:
Vorhandene
_Required
- und_Default
-Buckets in dieser Organisation oder diesem Ordner behalten den Speicherort, der ihnen bei ihrer Erstellung zugewiesen wurde.Bei untergeordneten Ressourcen, die in der Organisation oder im Ordner erstellt wurden, nachdem der Standardspeicherort konfiguriert wurde, übernehmen die Buckets
_Required
und_Default
den Standardspeicherort.
Der Standardspeicherort für Cloud Logging gilt nur für die Log-Buckets _Default
und _Required
. Sie gilt nicht für benutzerdefinierte Log-Buckets.
Organisationsrichtlinien konfigurieren
Logging unterstützt Organisationsrichtlinien, die den Speicherort von Daten einschränken können. Wenn eine solche Richtlinie für Ihre Organisation vorhanden ist, können Sie Log-Buckets nur an Speicherorten erstellen, die von der Richtlinie zugelassen sind.
Ist eine Organisationsrichtlinie mit einer Standorteinschränkung vorhanden, müssen die Richtlinienwerte für die Einschränkung den Standort enthalten, der in den Standardressourceneinstellungen für Logging angegeben ist. Wenn Sie die Standardeinstellungen für Ressourcen ändern möchten, sollten Sie außerdem die Organisationsrichtlinien prüfen und gegebenenfalls aktualisieren, bevor Sie die Standardressourceneinstellungen aktualisieren.
So können Sie Organisationsrichtlinien aufrufen oder aktualisieren:
-
Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf:
Zu den Organisationsrichtlinien
Wenn Sie diese Seite über die Suchleiste finden, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift IAM und Verwaltung ist.
Wählen Sie Ihre Organisation aus.
Sehen Sie sich die Einschränkung mit der ID
constraints/gcp.resourceLocations
an und aktualisieren Sie sie bei Bedarf. Wenn diese Einschränkung nicht konfiguriert ist, ist keine Aktualisierung erforderlich.Informationen zum Aufrufen bestimmter Einschränkungen und zum Bearbeiten dieser Einschränkungen finden Sie unter Richtlinien erstellen und bearbeiten.
Standardspeicherort für Logging konfigurieren
Führen Sie den Befehl gcloud logging settings update
aus und fügen Sie das Flag --storage-location
ein, um den Standardspeicherort für Cloud Logging zu konfigurieren:
ORDNER
gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION
ORGANISATION
gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION
Wenn Sie die Google Cloud CLI nicht verwenden können, führen Sie die Cloud Logging API-Methode updateSettings
aus.
Informationen zum Beheben von Fehlern beim Aktualisieren des Standardspeicherorts finden Sie unter Fehlerbehebung beim Festlegen des Standardspeicherorts.
Senke _Default
konfigurieren
Logging bietet für jedes Google Cloud-Projekt, jedes Rechnungskonto, jeden Ordner und jede Organisationsressource eine vordefinierte _Default
-Senke. Alle Logs, die in der Ressource generiert werden, die mit dem Einschlussfilter übereinstimmen und nicht ausgeschlossen sind, werden an den vordefinierten Bucket der Ressource mit dem Namen _Default
weitergeleitet.
Mit den folgenden Optionen können Sie Standardressourceneinstellungen für die Senke _Default
für Ihre Organisation und Ordner konfigurieren:
Sie können die Senke
_Default
für alle untergeordneten Ressourcen deaktivieren.Sie können einen Einschlussfilter oder mehrere Ausschlussfilter konfigurieren, die für die
_Default
-Senken neuer Projekte gelten.
Senke _Default
deaktivieren
Sie können das Erstellen von _Default
-Senken für alle neuen Ressourcen in einer Organisation oder einem Ordner deaktivieren. Durch das Deaktivieren der _Default
-Senken wird verhindert, dass Logs im _Default
-Bucket der Ressource gespeichert werden.
Wenn Sie das Speichern von Logs im Bucket _Default
einer Ressource beenden, werden die Logs, die an diesen Bucket weitergeleitet worden wären, vom Speichern in Logging ausgeschlossen, sofern sie nicht explizit in einer anderen benutzerdefinierten Senke für diese Ressource enthalten sind.
Führen Sie den folgenden Befehl gcloud logging settings update
aus, um die _Default
-Senken für eine Ressource und eine ihrer untergeordneten Ressourcen zu deaktivieren:
ORDNER
gcloud logging settings update --folder=FOLDER_ID--disable-default-sink
ORGANISATION
gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink
Das Flag disable-default-sink
gilt nur für die Senke _Default
, die Logs an den Bucket _Default
weiterleitet.
Sie können die _Default
-Senken mit dem folgenden Befehl gcloud logging settings update
wieder aktivieren:
ORDNER
gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink
ORGANISATION
gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink
Standardfilter für _Default
Senken konfigurieren
Die vordefinierte Senke _Default
leitet alle Logs, die die Senkenkriterien erfüllen, an den entsprechenden _Default
-Bucket weiter. Mit Einschlussfiltern und Ausschlussfiltern können Sie konfigurieren, welche Logs für neue _Default
-Senken in einer Organisation oder einem Ordner ein- und ausgeschlossen werden.
Der Einschlussfilter kann den Senkenfilter _Default
entweder überschreiben oder an ihn angehängt werden. Die Ausschlussfilter werden angehängt, da die Senke _Default
standardmäßig keine Ausschlussfilter hat.
Wenn Sie einen Einschluss- oder Ausschlussfilter angeben möchten, der auf alle _Default
-Senken neuer Ressourcen in einer Organisation oder einem Ordner angewendet wird, führen Sie die Cloud Logging API-Methode updateSettings
mit dem defaultSinkConfig
-Objekt aus. Den Standardfilter von _Default
-Senken können Sie nur mithilfe der Logging API festlegen.
Sie können die Methode updateSettings
mithilfe des APIs Explorer-Widgets auf der Referenzseite der Methode ausführen. Das folgende Beispiel veranschaulicht Beispielparameter:
- Name (URL):
organizations/ORGANIZATION_ID/settings
- updateMask:
"default_sink_config"
Anfragetext, der eine Instanz von
Settings
enthält:"defaultSinkConfig": { { "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ", "exclusions": [ { "name": "exclude-data-access", "description": "Prevents Data Access audit logs from being routed", "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")", } ], "mode": OVERWRITE } }
Im vorherigen Beispiel wird Folgendes ausgeführt:
Überschreibt den Einschlussfilter der Senke
_Default
, sodass Audit-Logs zur Administratoraktivität eingeschlossen werden, die standardmäßig ausgeschlossen sind.Fügt einen Ausschlussfilter hinzu, der verhindert, dass Audit-Logs zum Datenzugriff an den Bucket
_Default
weitergeleitet werden.
Konfigurationsfehler beheben
Informationen zur Fehlerbehebung finden Sie unter Fehlerbehebung beim CMEK und bei der Standardeinstellung.