In diesem Dokument wird beschrieben, wie Sie Standardressourceneinstellungen für Logging mit der Google Cloud CLI Standardressourceneinstellungen, die auf eine Organisation angewendet werden können oder einem Ordner Folgendes ermitteln kann:
Gibt an, ob CMEK für neue Log-Buckets erforderlich ist.
Der Speicherort, mit dem Folgendes festgelegt wird:
Wobei
_Default
und_Required
Log-Buckets gespeichert sind.Wo sind Abfragen auf den Seiten Log-Explorer oder Loganalysen? insbesondere kürzlich erfolgte und von einem Mitglied des Google Cloud-Projekt
Gibt an, ob die Senke
_Default
aktiviert oder deaktiviert ist.Der Filter, der auf die Senke
_Default
neuer Ressourcen angewendet wird.
Übersicht
Die Organisationsressource befindet sich auf der obersten Ebene der Google Cloud-Ressourcenhierarchie: Die Organisationsressource ist diesen untergeordneten Ressourcen übergeordnet: Google Cloud-Projekte, Ordner, Rechnungskonten und in Bezug auf Logging, Buckets.
Sie können Logging so konfigurieren, dass Standardressourceneinstellungen für für eine Google Cloud-Organisation und für Ordner. Wenn Sie neue übernehmen diese Ressourcen die Standard-Ressourceneinstellungen ihrer Parent.
Cloud Logging unterstützt die folgenden Standardressourceneinstellungen:
Gibt an, ob neue Log-Buckets in einer Ressource mit verschlüsselt werden sollen einen vom Kunden verwalteten Schlüssel und, falls ja, den Cloud KMS-Standardschlüssel für die Sie für die Verschlüsselung verwenden können.
Wenn Sie einen CMEK für eine Ressource konfigurieren, müssen Sie auch den Standardspeicherort für neue Buckets vom Typ
_Default
und_Required
die von untergeordneten Ressourcen erstellt werden.Der Speicherort für neue Buckets
_Default
und_Required
und Abfragen auf den Seiten Log-Explorer oder Loganalysen. An diesem Speicherort können Sie Sie legen fest, wo Ihre Logs gespeichert werden.Wenn Sie einen Standardspeicherort für eine Ressource festlegen und nicht CMEK für diese Ressource haben, benötigen neue Log-Buckets in der Ressource keinen CMEK.
Ob die Logsenke
_Default
ist für neue Projekte in der Ressource aktiviert oder deaktiviert.Einschluss- oder Ausschlussfilter, die auf alle neuen
_Default
senkt sich in den untergeordneten Ressourcen.
Beispielkonfigurationen:
Sie konfigurieren einen Standardspeicherort für eine Organisation. Für neue in der Organisation sind die Buckets
_Default
und_Required
die am angegebenen Speicherort erstellt wurden.Sie konfigurieren einen Standardspeicherort für eine Organisation und einen Standardspeicherort für jeden Ordner in dieser Organisation konfigurieren. Bei neuen Projekten, die sich in einem Ordner befinden, die Buckets
_Default
und_Required
werden an dem Ort erstellt, der in den Ordnereinstellungen angegeben ist. Für Projekte die sich nicht in einem Ordner befinden, ihre_Default
- und_Required
-Buckets werden an dem Ort erstellt, der in den Einstellungen der Organisation angegeben ist.Sie konfigurieren einen Standardspeicherort, an dem alle Abfragen im Log-Explorer gespeichert sind. Dazu gehören auch kürzlich durchgeführte Abfragen, nach der Ausführung automatisch gespeichert werden, und Abfragen, die von Mitgliedern der Google Cloud-Projekt
Sie konfigurieren CMEK für eine Organisation und für den Ordner
Non-CMEK
legen Sie nur den Standardspeicherort fest. Wenn Sie ein Projekt erstellen die sich nicht im OrdnerNon-CMEK
befindet, Die Buckets_Default
und_Required
werden am selben Standort erstellt wie der Cloud Key Management Service-Schlüssel und diese Log-Buckets werden mit diesem Schlüssel verschlüsselt. Wenn Sie jedoch ein neues Projekt im OrdnerNon-CMEK
erstellen, Ihre Log-Buckets werden an den Speicherorten erstellt, die in den und diese Log-Buckets werden nicht durch CMEK verschlüsselt.Sie konfigurieren einen Ausschlussfilter, der für neue
_Default
-Senken in einer Organisationsebene. Durch den Filter werden Audit-Logs zum Datenzugriff ausgeschlossen, durch die Senke_Default
in allen untergeordneten Ressourcen geleitet. Dadurch wird verhindert, Die Audit-Logs zum Datenzugriff können nicht im Bucket_Default
gespeichert werden.
Hinweise
Dieses Dokument enthält keine Informationen zum Konfigurieren eines CMEK als Standard-Ressourceneinstellung für Logging. Informationen zu diesem Thema finden Sie unter CMEK für Logging konfigurieren
Erste Schritte mit der Konfiguration der Standardressourceneinstellungen Gehen Sie für Logging so vor:
Installieren Sie die Google Cloud CLI und initialisieren Sie sie mit folgendem Befehl:
gcloud init
Achten Sie darauf, dass Sie die folgenden Cloud Logging-Berechtigungen für den Organisation:
logging.settings.get
logging.settings.update
Machen Sie sich mit den Formatierungsanforderungen für
LogBucket
vertraut, einschließlich den unterstützten Standorten, an denen Sie Ihre Logs speichern können. Eine Liste der unterstützten Speicherorte für Log-Buckets finden Sie unter Regionalität von Daten: unterstützte Regionen.IDs der Organisation oder des Ordners finden, für die bzw. den möchten Sie die Standardressourceneinstellungen konfigurieren:
- ORGANIZATION_ID ist die eindeutige numerische Kennzeichnung des Google Cloud-Organisation. Sie benötigen diesen Wert nicht, wenn Sie nur vorhaben, Standard-Ressourceneinstellung für einen Ordner. Informationen zum Abrufen dieser ID finden Sie unter Organisations-ID abrufen
- FOLDER_ID ist die eindeutige numerische Kennzeichnung des Google Cloud-Ordner. Sie benötigen diesen Wert nicht, wenn Sie nur vorhaben, Standard-Ressourceneinstellung für eine Organisation. Informationen zur Verwendung von Ordnern finden Sie unter Ordner erstellen und verwalten
- LOCATION ist der Ort, an dem Sie Ihre Log-Daten.
Standardressourceneinstellungen für Logging ansehen
So rufen Sie die Standardressourceneinstellungen für Logging auf:
einschließlich des Standardspeicherorts, verwenden Sie
gcloud logging settings describe
Befehl:
ORDNER
gcloud logging settings describe --folder=FOLDER_ID
ORGANISATION
gcloud logging settings describe --organization=ORGANIZATION_ID
Der vorherige Befehl gibt Informationen zu den Standardressourceneinstellungen zurück. Im Folgenden sehen Sie beispielsweise die Standardressourceneinstellungen für eine bestimmte Organisation:
name: organizations/ORGANIZATION_ID/settings kmsKeyName: KMS_KEY_NAME kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com storageLocation: europe-west1 disableDefaultSink: false
Der Wert von SERVICE_ACCT_NAME kann das Format cmek-12345
oder
service-12345@...
Wenn Sie die Google Cloud CLI nicht verwenden können, führen Sie den
Cloud Logging API-Methode getSettings
.
Standardspeicherort festlegen
Log-Buckets sind die Container in Ihrem
Google Cloud-Projekte, Rechnungskonten, Ordner und Organisationen, die speichern
und organisieren Sie Ihre Logdaten. Für jedes Google Cloud-Projekt, jedes Rechnungskonto
Ordner und Organisation haben, erstellt Logging automatisch zwei Log-
Buckets: _Required
und _Default
, die automatisch gespeichert werden in
ein nicht spezifizierter global
-Standort.
Sie können einen Speicherort für _Required
und _Default
angeben.
Buckets, die in einer Organisation oder einem Ordner enthalten sind, indem Sie die
Standard-Ressourceneinstellungen für Logging. Dieser Speicherort hat auch
Legt fest, wo Abfragen auf den Seiten Log-Explorer und Loganalysen ausgeführt werden.
werden gespeichert. Diese Abfragen umfassen kürzlich erfolgte Abfragen, die automatisch gespeichert werden
nach der Ausführung und Abfragen, die von Mitgliedern des Google Cloud-Projekts gespeichert wurden.
Eine Liste der unterstützten Speicherorte finden Sie unter Unterstützte Regionen.
Nachdem Sie den Standardspeicherort für eine Organisation konfiguriert haben, passiert Folgendes:
Vorhandene
_Required
- und_Default
Buckets in dieser Organisation oder diesem Ordner den Speicherort beibehalten, der ihnen zu diesem Zeitpunkt zugewiesen war sie erstellt wurden.Für untergeordnete Ressourcen, die in der Organisation oder im Ordner erstellt wurden nachdem der Standardspeicherort konfiguriert wurde, Die Buckets
_Required
und_Default
übernehmen den Standardspeicherort.Vorhandene Log-Explorer- oder Loganalysen-Abfragen behalten ihr Aktueller Speicherort.
Neue Log-Explorer- oder Loganalysen-Abfragen, die Sie nach dem Standardspeicherort konfiguriert ist, verwenden Sie den Standardspeicherort. Dieser Speicherort gilt auch für die letzten Suchanfragen, die automatisch gespeichert werden.
Der Standardspeicherort für Cloud Logging gilt
nur auf die Log-Buckets _Default
und _Required
sowie auf Abfragen
auf der Seite Log-Explorer oder Loganalysen Zu diesen Abfragen gehören
Abfragen, die nach der Ausführung automatisch gespeichert werden, und Abfragen, die von
Mitglieder des Google Cloud-Projekts. Sie gilt nicht für benutzerdefinierte Logs
Buckets oder Abfragen, die mit der Logging API als Standort gespeichert wurden,
muss in der Anfrage angegeben werden.
Organisationsrichtlinien konfigurieren
Logging unterstützt Organisationsrichtlinien, Sie legen fest, wo Daten gespeichert werden können. Wenn für Ihre Organisation eine solche Richtlinie vorhanden ist, können Sie Log-Buckets an Standorten erstellen, die von der Richtlinie zugelassen sind
Ist eine Organisationsrichtlinie mit Standortbeschränkung vorhanden, müssen die Richtlinienwerte für die Einschränkung den Standort enthalten, der in Standard-Ressourceneinstellungen für Logging. Wenn Sie Ihre Standardressourceneinstellungen ändern möchten, die standardmäßigen Ressourceneinstellungen aktualisieren, prüfen und bei Bedarf aktualisieren und die Organisationsrichtlinien.
So können Sie Organisationsrichtlinien aufrufen oder aktualisieren:
-
Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf:
Wenn Sie diese Seite über die Suchleiste finden, wählen Sie das Ergebnis mit der Zwischenüberschrift IAM und Verwaltung.
Wählen Sie Ihre Organisation aus.
Sehen Sie sich die Einschränkung an und aktualisieren Sie sie bei Bedarf mit der ID
constraints/gcp.resourceLocations
Wenn diese Einschränkung nicht konfiguriert ist, ist kein Update erforderlich.Weitere Informationen zum Anzeigen bestimmter Einschränkungen und zum Bearbeiten Einschränkungen gelten, siehe Richtlinien erstellen und bearbeiten
Standardspeicherort für Logging konfigurieren
Führen Sie den folgenden Befehl aus, um den Standardspeicherort für Cloud Logging zu konfigurieren:
gcloud logging settings update
und fügen Sie das Flag --storage-location
hinzu:
ORDNER
gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION
ORGANISATION
gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION
Wenn Sie die Google Cloud CLI nicht verwenden können, führen Sie den
Cloud Logging API-Methode updateSettings
.
Informationen zum Beheben von Fehlern beim Aktualisieren des Standardspeichers Standort, siehe Fehlerbehebung beim Festlegen des Standardspeicherorts für Ressourcen
_Default
-Senke konfigurieren
Logging bietet eine vordefinierte
_Default
Senke pro
Google Cloud-Projekt, Rechnungskonto, Ordner und Organisationsressource. Beliebig
Protokoll, das in der Ressource generiert wird, die dem Einschlussfilter entspricht, und
die nicht ausgeschlossen ist, an die vordefinierte Ressource
Bucket namens _Default
.
Sie können Standardressourceneinstellungen für die Senke _Default
für Ihr
Organisation und Ordner mit den folgenden Optionen:
Sie können die Senke
_Default
für alle untergeordneten Ressourcen deaktivieren.Sie können einen Einschlussfilter oder mehrere angewendete Ausschlussfilter konfigurieren zur
_Default
-Senke neuer Projekte.
_Default
-Senke deaktivieren
Sie können das Erstellen von _Default
-Senken für alle neuen Ressourcen in
eine Organisation oder einen Ordner; Durch Deaktivieren der _Default
-Senken wird verhindert,
Logs daran gehindert, im Bucket _Default
der Ressource gespeichert zu werden.
Wenn Sie das Speichern von Logs in einem
_Default
der Ressource enthält, sind die Logs, die an diesen Bucket weitergeleitet worden wären,
Bucket sind vom Speicher in Logging ausgeschlossen, sofern diese Logs nicht
explizit in einer anderen benutzerdefinierten Senke für diese Ressource enthalten sind.
So deaktivieren Sie die _Default
-Senken für eine Ressource und ihre untergeordneten Ressourcen:
Ressourcen, führen Sie folgenden Befehl aus:
gcloud logging settings update
Befehl:
ORDNER
gcloud logging settings update --folder=FOLDER_ID--disable-default-sink
ORGANISATION
gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink
Das Flag disable-default-sink
gilt nur für die Senke _Default
, die den Traffic weiterleitet,
Logs im Bucket _Default
ein.
Sie können die _Default
-Senken mit folgendem Befehl wieder aktivieren:
gcloud logging settings update
Befehl:
ORDNER
gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink
ORGANISATION
gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink
Standardfilter von _Default
Senken konfigurieren
Die vordefinierte Senke _Default
leitet alle Logs weiter, die den Senkenkriterien entsprechen.
in den entsprechenden _Default
-Bucket. Sie können
Einschlussfilter
und Ausschlussfilter, um sie zu konfigurieren.
welche Logs für neue _Default
-Senken in einer Organisation ein- und ausgeschlossen werden
Ordner.
Der Einschlussfilter kann entweder
an den _Default
-Senkenfilter und die Ausschlussfilter angehängt
da die Senke _Default
standardmäßig keine Ausschlussfilter hat.
Um einen Einschluss- oder Ausschlussfilter anzugeben, der auf alle angewendet wird,
_Default
Senken neuer Ressourcen in einer Organisation oder einem Ordner,
Führen Sie die Cloud Logging API-Methode updateSettings
mit
defaultSinkConfig
. Sie können nur den Standardfilter festlegen von
_Default
-Senken mithilfe der Logging API.
Sie können die Methode updateSettings
mit dem
APIs Explorer-Widget auf der Referenzseite der Methode hinzu. Die
Das folgende Beispiel zeigt Beispielparameter:
- Name (URL):
organizations/ORGANIZATION_ID/settings
- Aktualisierungsmaske:
"default_sink_config"
Anfragetext, der eine Instanz von
Settings
enthält:"defaultSinkConfig": { { "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ", "exclusions": [ { "name": "exclude-data-access", "description": "Prevents Data Access audit logs from being routed", "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")", } ], "mode": OVERWRITE } }
Im vorherigen Beispiel geschieht Folgendes:
Überschreibt den Einschlussfilter der Senke
_Default
, um „Administrator“ einzubeziehen Aktivität-Audit-Logs, die standardmäßig ausgeschlossen sind.Hängt einen Ausschlussfilter an, der verhindert, dass Audit-Logs zum Datenzugriff erstellt werden an den Bucket
_Default
weitergeleitet.
Konfigurationsfehler beheben
Informationen zur Fehlerbehebung finden Sie unter Fehler bei CMEK und Standardeinstellungen beheben