Standardeinstellungen für Organisationen und Ordner konfigurieren

In diesem Dokument wird beschrieben, wie Sie Standardressourceneinstellungen für Logging mit der Google Cloud CLI Standardressourceneinstellungen, die auf eine Organisation angewendet werden können oder einem Ordner Folgendes ermitteln kann:

• Gibt an, ob CMEK für neue Log-Buckets erforderlich ist.

• Der Speicherort, mit dem Folgendes festgelegt wird:

  • Wobei _Default und _Required Log-Buckets gespeichert sind.

  • Wo sind Abfragen auf den Seiten Log-Explorer oder Loganalysen? insbesondere kürzlich erfolgte und von einem Mitglied des Google Cloud-Projekt

• Gibt an, ob die Senke _Default aktiviert oder deaktiviert ist.

• Der Filter, der auf die Senke _Default neuer Ressourcen angewendet wird.

Übersicht

Die Organisationsressource befindet sich auf der obersten Ebene der Google Cloud-Ressourcenhierarchie: Die Organisationsressource ist diesen untergeordneten Ressourcen übergeordnet: Google Cloud-Projekte, Ordner, Rechnungskonten und in Bezug auf Logging, Buckets.

Sie können Logging so konfigurieren, dass Standardressourceneinstellungen für für eine Google Cloud-Organisation und für Ordner. Wenn Sie neue übernehmen diese Ressourcen die Standard-Ressourceneinstellungen ihrer Parent.

Cloud Logging unterstützt die folgenden Standardressourceneinstellungen:

• Gibt an, ob neue Log-Buckets in einer Ressource mit verschlüsselt werden sollen einen vom Kunden verwalteten Schlüssel und, falls ja, den Cloud KMS-Standardschlüssel für die Sie für die Verschlüsselung verwenden können.

  Wenn Sie einen CMEK für eine Ressource konfigurieren, müssen Sie auch den Standardspeicherort für neue Buckets vom Typ _Default und _Required die von untergeordneten Ressourcen erstellt werden.

• Der Speicherort für neue Buckets _Default und _Required und Abfragen auf den Seiten Log-Explorer oder Loganalysen. An diesem Speicherort können Sie Sie legen fest, wo Ihre Logs gespeichert werden.

  Wenn Sie einen Standardspeicherort für eine Ressource festlegen und nicht CMEK für diese Ressource haben, benötigen neue Log-Buckets in der Ressource keinen CMEK.

• Ob die Logsenke _Default ist für neue Projekte in der Ressource aktiviert oder deaktiviert.

• Einschluss- oder Ausschlussfilter, die auf alle neuen _Default senkt sich in den untergeordneten Ressourcen.

Beispielkonfigurationen:

• Sie konfigurieren einen Standardspeicherort für eine Organisation. Für neue in der Organisation sind die Buckets _Default und _Required die am angegebenen Speicherort erstellt wurden.

• Sie konfigurieren einen Standardspeicherort für eine Organisation und einen Standardspeicherort für jeden Ordner in dieser Organisation konfigurieren. Bei neuen Projekten, die sich in einem Ordner befinden, die Buckets _Default und _Required werden an dem Ort erstellt, der in den Ordnereinstellungen angegeben ist. Für Projekte die sich nicht in einem Ordner befinden, ihre _Default- und _Required-Buckets werden an dem Ort erstellt, der in den Einstellungen der Organisation angegeben ist.

• Sie konfigurieren einen Standardspeicherort, an dem alle Abfragen im Log-Explorer gespeichert sind. Dazu gehören auch kürzlich durchgeführte Abfragen, nach der Ausführung automatisch gespeichert werden, und Abfragen, die von Mitgliedern der Google Cloud-Projekt

• Sie konfigurieren CMEK für eine Organisation und für den Ordner Non-CMEK legen Sie nur den Standardspeicherort fest. Wenn Sie ein Projekt erstellen die sich nicht im Ordner Non-CMEK befindet, Die Buckets _Default und _Required werden am selben Standort erstellt wie der Cloud Key Management Service-Schlüssel und diese Log-Buckets werden mit diesem Schlüssel verschlüsselt. Wenn Sie jedoch ein neues Projekt im Ordner Non-CMEK erstellen, Ihre Log-Buckets werden an den Speicherorten erstellt, die in den und diese Log-Buckets werden nicht durch CMEK verschlüsselt.

• Sie konfigurieren einen Ausschlussfilter, der für neue _Default-Senken in einer Organisationsebene. Durch den Filter werden Audit-Logs zum Datenzugriff ausgeschlossen, durch die Senke _Default in allen untergeordneten Ressourcen geleitet. Dadurch wird verhindert, Die Audit-Logs zum Datenzugriff können nicht im Bucket _Default gespeichert werden.

Hinweise

Dieses Dokument enthält keine Informationen zum Konfigurieren eines CMEK als Standard-Ressourceneinstellung für Logging. Informationen zu diesem Thema finden Sie unter CMEK für Logging konfigurieren

Erste Schritte mit der Konfiguration der Standardressourceneinstellungen Gehen Sie für Logging so vor:

1. Installieren Sie die Google Cloud CLI und initialisieren Sie sie mit folgendem Befehl:

   gcloud init

2. Achten Sie darauf, dass Sie die folgenden Cloud Logging-Berechtigungen für den Organisation:

   • logging.settings.get
   • logging.settings.update

3. Machen Sie sich mit den Formatierungsanforderungen für LogBucket vertraut, einschließlich den unterstützten Standorten, an denen Sie Ihre Logs speichern können. Eine Liste der unterstützten Speicherorte für Log-Buckets finden Sie unter Regionalität von Daten: unterstützte Regionen.

4. IDs der Organisation oder des Ordners finden, für die bzw. den möchten Sie die Standardressourceneinstellungen konfigurieren:

   • ORGANIZATION_ID ist die eindeutige numerische Kennzeichnung des Google Cloud-Organisation. Sie benötigen diesen Wert nicht, wenn Sie nur vorhaben, Standard-Ressourceneinstellung für einen Ordner. Informationen zum Abrufen dieser ID finden Sie unter Organisations-ID abrufen
   • FOLDER_ID ist die eindeutige numerische Kennzeichnung des Google Cloud-Ordner. Sie benötigen diesen Wert nicht, wenn Sie nur vorhaben, Standard-Ressourceneinstellung für eine Organisation. Informationen zur Verwendung von Ordnern finden Sie unter Ordner erstellen und verwalten
   • LOCATION ist der Ort, an dem Sie Ihre Log-Daten.

Standardressourceneinstellungen für Logging ansehen

So rufen Sie die Standardressourceneinstellungen für Logging auf: einschließlich des Standardspeicherorts, verwenden Sie gcloud logging settings describe Befehl:

 gcloud logging settings describe --folder=FOLDER_ID

gcloud logging settings describe --organization=ORGANIZATION_ID

Der vorherige Befehl gibt Informationen zu den Standardressourceneinstellungen zurück. Im Folgenden sehen Sie beispielsweise die Standardressourceneinstellungen für eine bestimmte Organisation:

name: organizations/ORGANIZATION_ID/settings
kmsKeyName: KMS_KEY_NAME
kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
storageLocation: europe-west1
disableDefaultSink: false

Der Wert von SERVICE_ACCT_NAME kann das Format cmek-12345 oder service-12345@... Wenn Sie die Google Cloud CLI nicht verwenden können, führen Sie den Cloud Logging API-Methode getSettings.

Standardspeicherort festlegen

Log-Buckets sind die Container in Ihrem Google Cloud-Projekte, Rechnungskonten, Ordner und Organisationen, die speichern und organisieren Sie Ihre Logdaten. Für jedes Google Cloud-Projekt, jedes Rechnungskonto Ordner und Organisation haben, erstellt Logging automatisch zwei Log- Buckets: _Required und _Default, die automatisch gespeichert werden in ein nicht spezifizierter global-Standort.

Sie können einen Speicherort für _Required und _Default angeben. Buckets, die in einer Organisation oder einem Ordner enthalten sind, indem Sie die Standard-Ressourceneinstellungen für Logging. Dieser Speicherort hat auch Legt fest, wo Abfragen auf den Seiten Log-Explorer und Loganalysen ausgeführt werden. werden gespeichert. Diese Abfragen umfassen kürzlich erfolgte Abfragen, die automatisch gespeichert werden nach der Ausführung und Abfragen, die von Mitgliedern des Google Cloud-Projekts gespeichert wurden.

Eine Liste der unterstützten Speicherorte finden Sie unter Unterstützte Regionen.

Nachdem Sie den Standardspeicherort für eine Organisation konfiguriert haben, passiert Folgendes:

• Vorhandene _Required- und _Default Buckets in dieser Organisation oder diesem Ordner den Speicherort beibehalten, der ihnen zu diesem Zeitpunkt zugewiesen war sie erstellt wurden.

• Für untergeordnete Ressourcen, die in der Organisation oder im Ordner erstellt wurden nachdem der Standardspeicherort konfiguriert wurde, Die Buckets _Required und _Default übernehmen den Standardspeicherort.

• Vorhandene Log-Explorer- oder Loganalysen-Abfragen behalten ihr Aktueller Speicherort.

• Neue Log-Explorer- oder Loganalysen-Abfragen, die Sie nach dem Standardspeicherort konfiguriert ist, verwenden Sie den Standardspeicherort. Dieser Speicherort gilt auch für die letzten Suchanfragen, die automatisch gespeichert werden.

Der Standardspeicherort für Cloud Logging gilt nur auf die Log-Buckets _Default und _Required sowie auf Abfragen auf der Seite Log-Explorer oder Loganalysen Zu diesen Abfragen gehören Abfragen, die nach der Ausführung automatisch gespeichert werden, und Abfragen, die von Mitglieder des Google Cloud-Projekts. Sie gilt nicht für benutzerdefinierte Logs Buckets oder Abfragen, die mit der Logging API als Standort gespeichert wurden, muss in der Anfrage angegeben werden.

Organisationsrichtlinien konfigurieren

Logging unterstützt Organisationsrichtlinien, Sie legen fest, wo Daten gespeichert werden können. Wenn für Ihre Organisation eine solche Richtlinie vorhanden ist, können Sie Log-Buckets an Standorten erstellen, die von der Richtlinie zugelassen sind

Ist eine Organisationsrichtlinie mit Standortbeschränkung vorhanden, müssen die Richtlinienwerte für die Einschränkung den Standort enthalten, der in Standard-Ressourceneinstellungen für Logging. Wenn Sie Ihre Standardressourceneinstellungen ändern möchten, die standardmäßigen Ressourceneinstellungen aktualisieren, prüfen und bei Bedarf aktualisieren und die Organisationsrichtlinien.

So können Sie Organisationsrichtlinien aufrufen oder aktualisieren:

1. Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf:

   Zu Organisationsrichtlinien

   Wenn Sie diese Seite über die Suchleiste finden, wählen Sie das Ergebnis mit der Zwischenüberschrift IAM und Verwaltung.

2. Wählen Sie Ihre Organisation aus.

3. Sehen Sie sich die Einschränkung an und aktualisieren Sie sie bei Bedarf mit der ID constraints/gcp.resourceLocations Wenn diese Einschränkung nicht konfiguriert ist, ist kein Update erforderlich.

   Weitere Informationen zum Anzeigen bestimmter Einschränkungen und zum Bearbeiten Einschränkungen gelten, siehe Richtlinien erstellen und bearbeiten

Standardspeicherort für Logging konfigurieren

Führen Sie den folgenden Befehl aus, um den Standardspeicherort für Cloud Logging zu konfigurieren: gcloud logging settings update und fügen Sie das Flag --storage-location hinzu:

gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION

gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION

Wenn Sie die Google Cloud CLI nicht verwenden können, führen Sie den Cloud Logging API-Methode updateSettings.

Informationen zum Beheben von Fehlern beim Aktualisieren des Standardspeichers Standort, siehe Fehlerbehebung beim Festlegen des Standardspeicherorts für Ressourcen

_Default-Senke konfigurieren

Logging bietet eine vordefinierte _Default Senke pro Google Cloud-Projekt, Rechnungskonto, Ordner und Organisationsressource. Beliebig Protokoll, das in der Ressource generiert wird, die dem Einschlussfilter entspricht, und die nicht ausgeschlossen ist, an die vordefinierte Ressource Bucket namens _Default.

Sie können Standardressourceneinstellungen für die Senke _Default für Ihr Organisation und Ordner mit den folgenden Optionen:

• Sie können die Senke _Default für alle untergeordneten Ressourcen deaktivieren.

• Sie können einen Einschlussfilter oder mehrere angewendete Ausschlussfilter konfigurieren zur _Default-Senke neuer Projekte.

_Default-Senke deaktivieren

Sie können das Erstellen von _Default-Senken für alle neuen Ressourcen in eine Organisation oder einen Ordner; Durch Deaktivieren der _Default-Senken wird verhindert, Logs daran gehindert, im Bucket _Default der Ressource gespeichert zu werden. Wenn Sie das Speichern von Logs in einem _Default der Ressource enthält, sind die Logs, die an diesen Bucket weitergeleitet worden wären, Bucket sind vom Speicher in Logging ausgeschlossen, sofern diese Logs nicht explizit in einer anderen benutzerdefinierten Senke für diese Ressource enthalten sind.

So deaktivieren Sie die _Default-Senken für eine Ressource und ihre untergeordneten Ressourcen: Ressourcen, führen Sie folgenden Befehl aus: gcloud logging settings update Befehl:

gcloud logging settings update --folder=FOLDER_ID--disable-default-sink

gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink

Das Flag disable-default-sink gilt nur für die Senke _Default, die den Traffic weiterleitet, Logs im Bucket _Default ein.

Sie können die _Default-Senken mit folgendem Befehl wieder aktivieren: gcloud logging settings update Befehl:

gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink

gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink

Standardfilter von _Default Senken konfigurieren

Die vordefinierte Senke _Default leitet alle Logs weiter, die den Senkenkriterien entsprechen. in den entsprechenden _Default-Bucket. Sie können Einschlussfilter und Ausschlussfilter, um sie zu konfigurieren. welche Logs für neue _Default-Senken in einer Organisation ein- und ausgeschlossen werden Ordner.

Der Einschlussfilter kann entweder an den _Default-Senkenfilter und die Ausschlussfilter angehängt da die Senke _Default standardmäßig keine Ausschlussfilter hat.

Um einen Einschluss- oder Ausschlussfilter anzugeben, der auf alle angewendet wird, _Default Senken neuer Ressourcen in einer Organisation oder einem Ordner, Führen Sie die Cloud Logging API-Methode updateSettings mit defaultSinkConfig. Sie können nur den Standardfilter festlegen von _Default-Senken mithilfe der Logging API.

Sie können die Methode updateSettings mit dem APIs Explorer-Widget auf der Referenzseite der Methode hinzu. Die Das folgende Beispiel zeigt Beispielparameter:

• Name (URL): organizations/ORGANIZATION_ID/settings
• Aktualisierungsmaske: "default_sink_config"

• Anfragetext, der eine Instanz von Settings enthält:

  "defaultSinkConfig": {
    {
    "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") "
    "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") "
    "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") "
    "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") "
    "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ",
    "exclusions": [
       {
          "name": "exclude-data-access",
          "description": "Prevents Data Access audit logs from being routed",
          "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")",
       }
    ],
    "mode": OVERWRITE
    }
  }
  

Im vorherigen Beispiel geschieht Folgendes:

• Überschreibt den Einschlussfilter der Senke _Default, um „Administrator“ einzubeziehen Aktivität-Audit-Logs, die standardmäßig ausgeschlossen sind.

• Hängt einen Ausschlussfilter an, der verhindert, dass Audit-Logs zum Datenzugriff erstellt werden an den Bucket _Default weitergeleitet.

Konfigurationsfehler beheben

Informationen zur Fehlerbehebung finden Sie unter Fehler bei CMEK und Standardeinstellungen beheben