Este documento descreve como definir as configurações de recursos padrão para Geração de registros usando a Google Cloud CLI. Configurações de recursos padrão, que podem ser aplicadas a uma organização ou para uma pasta, pode determinar o seguinte:
Define se a CMEK é necessária para novos buckets de registros.
O local de armazenamento, que determina o seguinte:
Onde os buckets de registro
_Default
e_Required
são armazenados.Onde as consultas nas páginas Análise de registros ou Análise de registros estão armazenadas, especificamente as consultas recentes e as consultas salvas por um membro da projeto do Google Cloud.
Se o coletor
_Default
está ativado ou desativado.O filtro aplicado ao coletor
_Default
de novos recursos.
Visão geral
O recurso da organização está no nível mais alto Hierarquia de recursos do Google Cloud. O recurso da organização é o pai destes recursos filhos: projetos, pastas, contas de faturamento do Google Cloud e, o Logging, buckets.
É possível configurar o Logging para usar as configurações de recursos padrão para uma organização do Google Cloud e para pastas. Ao criar um novo recursos herdam as configurações padrão dos recursos pai
O Cloud Logging é compatível com as seguintes configurações de recurso padrão:
Se os novos buckets de registro em um recurso precisam ser criptografados com uma chave gerenciada pelo cliente e, em caso afirmativo, a chave do Cloud KMS padrão para criptografia.
Se você configurar a CMEK para um recurso, também precisará definir o local de armazenamento padrão para os novos buckets
_Default
e_Required
criados por recursos filhos.O local de armazenamento dos novos Buckets
_Default
e_Required
, e consultas nas páginas Análise de registros ou Análise de registros. Esse local de armazenamento permite controlar onde seus registros são armazenados.Se você definir um local de armazenamento padrão para um recurso e não configurar CMEK para esse recurso, os novos buckets de registro no recurso não precisarão CMEK.
Se o coletor de registros
_Default
está ativado ou desativado para novos projetos no recurso.Os filtros de inclusão ou de exclusão que são aplicados a todas as novas Coletores
_Default
nos recursos filhos.
Exemplos de configuração:
Você configura um local de armazenamento padrão para uma organização. Para novos projetos na organização, os buckets
_Default
e_Required
estão criados no local especificado.Você configura um local de armazenamento padrão para uma organização configurar um local de armazenamento padrão para cada pasta nessa organização. Para novos projetos que estão em uma pasta, os buckets
_Default
e_Required
são criados no local especificado pelas configurações da pasta. Para projetos que não estejam em uma pasta, os buckets_Default
e_Required
são criadas no local especificado pelas configurações da organização.Configure um local de armazenamento padrão em que todas as consultas do Análise de registros são armazenados. Isso inclui consultas recentes que são salvas automaticamente após serem executadas, e as consultas salvas pelos membros do projeto do Google Cloud.
Você configura a CMEK para uma organização e para a pasta chamada
Non-CMEK
você só define o local de armazenamento padrão. Se você criar um projeto que não esteja na pastaNon-CMEK
, Os buckets_Default
e_Required
são criados no mesmo local que o do Cloud Key Management Service e esses buckets de registro são criptografados por essa chave. No entanto, se você criar um novo projeto na pastaNon-CMEK
, os buckets de registros sejam criados nos locais especificados e esses buckets de registros não são criptografados pela CMEK.Você configura um filtro de exclusão que se aplica a novos coletores
_Default
em um no nível da organização. O filtro impede que os registros de auditoria de acesso a dados sejam roteadas pelo coletor_Default
em todos os recursos filhos, o que impede os registros de auditoria de acesso a dados sejam armazenados no bucket_Default
.
Antes de começar
Este documento não contém informações sobre como configurar a CMEK como um configuração de recurso padrão para o Logging. Para mais informações sobre esse assunto, consulte Configure a CMEK para o Logging.
Para começar a definir as configurações de recursos padrão para o Logging, faça o seguinte:
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
Verifique se você tem as seguintes permissões do Cloud Logging para o organização:
logging.settings.get
logging.settings.update
Entenda os requisitos de formatação do
LogBucket
, incluindo: os locais compatíveis para armazenar registros. Para conferir uma lista dos locais de armazenamento compatíveis com buckets de registros, consulte Regionalidade de dados: regiões compatíveis.Encontre os identificadores da organização ou a pasta Se você quiser definir as configurações de recursos padrão:
- ORGANIZATION_ID é o identificador numérico exclusivo do organização do Google Cloud. Esse valor não é necessário se você planeja apenas configurar uma configuração de recurso padrão para uma pasta. Para informações sobre como conseguir esse identificador, consulte Encontrando o ID da organização.
- FOLDER_ID é o identificador numérico exclusivo do do Google Cloud. Esse valor não é necessário se você planeja apenas configurar é uma configuração de recurso padrão para uma organização. Para mais informações sobre o uso de pastas, consulte Como criar e gerenciar pastas.
- LOCATION é o local onde você quer armazenar o dados de registro.
Ver as configurações de recursos padrão do Logging
Para conferir as configurações de recursos padrão do Logging,
incluindo o local de armazenamento padrão,
gcloud logging settings describe
comando:
PASTA
gcloud logging settings describe --folder=FOLDER_ID
ORGANIZAÇÃO
gcloud logging settings describe --organization=ORGANIZATION_ID
O comando anterior retorna informações sobre as configurações de recursos padrão. Por exemplo, isto mostra as configurações de recursos padrão para um organização específica:
name: organizations/ORGANIZATION_ID/settings kmsKeyName: KMS_KEY_NAME kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com storageLocation: europe-west1 disableDefaultSink: false
O valor de SERVICE_ACCT_NAME pode ter o formato cmek-12345
ou
service-12345@...
Se não for possível usar a Google Cloud CLI, execute o
Método getSettings
da API Cloud Logging.
Definir o local de armazenamento padrão
Buckets de registros são os contêineres
Projetos do Google Cloud, contas de faturamento, pastas e organizações que armazenam
e organizar os dados de registro. Para cada projeto do Google Cloud, conta de faturamento,
pasta e organização, o Logging cria dois registros
buckets: _Required
e _Default
, que são armazenados automaticamente em
um local global
não especificado.
É possível especificar um local de armazenamento para _Required
e _Default
que estão contidos em uma organização ou pasta, modificando o
as configurações de recurso padrão do Logging. Este local de armazenamento também
determina onde as consultas nas páginas Análise de registros e Análise de registros
são armazenados. Essas consultas incluem consultas recentes salvas automaticamente
após a execução e consultas salvas por membros do projeto do Google Cloud.
Para conferir uma lista dos locais de armazenamento compatíveis, consulte Regiões com suporte.
Depois que você configurar o local de armazenamento padrão de uma organização, o o seguinte acontece:
Buckets
_Required
e_Default
atuais nesta organização ou pasta manter o local de armazenamento atribuído a eles no momento em que foram criados.Para recursos filhos criados na organização ou na pasta depois que o local de armazenamento padrão for configurado, os Os buckets
_Required
e_Default
herdam o local de armazenamento padrão.As consultas atuais da Análise de registros ou da Análise de registros mantêm os local de armazenamento atual.
As novas consultas da Análise de registros ou da Análise de registros que você salva após o padrão estiver configurado para usar o local de armazenamento padrão. Esse local também se aplica a consultas recentes salvas automaticamente.
O local de armazenamento padrão do Cloud Logging é aplicado
apenas aos buckets de registro _Default
e _Required
e às consultas
nas páginas Análise de registros ou Análise de registros. Essas consultas incluem
consultas salvas automaticamente após serem executadas e consultas salvas pelo
membros do projeto do Google Cloud. Isso não se aplica a registros definidos pelo usuário
buckets ou consultas salvas usando a API Logging, como um local
precisa ser especificado na solicitação.
Configurar as políticas da organização
O Logging oferece suporte às políticas da organização restringir onde os dados podem ser armazenados. Se houver uma política desse tipo para sua organização, você só poderá criar buckets de registros em locais permitidos pela política.
Quando existe uma política da organização que especifica uma restrição de local, os valores da política para a restrição devem incluir o local especificado no as configurações de recursos padrão do Logging. Além disso, se você planeja modificar as configurações padrão de recursos, atualizar as configurações padrão de recursos, revisar e, se necessário, atualizar as políticas da organização.
Para ver ou atualizar as políticas da organização, faça o seguinte:
-
No console do Google Cloud, acesse a página Políticas da organização:
Acessar Políticas da organização
Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo IAM e administrador.
Selecione a organização.
Visualize e, se necessário, atualize a restrição com o ID
constraints/gcp.resourceLocations
: Se essa restrição não for configurada, não precisará atualizar.Para mais informações sobre como visualizar restrições específicas e como editar essas restrições, consulte Como criar e editar políticas.
Configurar o local de armazenamento padrão do Logging
Para configurar o local de armazenamento padrão do Cloud Logging, execute o
gcloud logging settings update
e inclua a sinalização --storage-location
:
PASTA
gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION
ORGANIZAÇÃO
gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION
Se não for possível usar a Google Cloud CLI, execute o
Método updateSettings
da API Cloud Logging.
Para informações sobre como resolver erros ao atualizar o armazenamento padrão local, consulte Resolver problemas ao definir o local padrão de recursos.
Configurar o coletor _Default
O Logging fornece um
_Default
coletor para cada
Projeto do Google Cloud, conta de faturamento, pasta e recurso da organização. Qualquer um
que é gerado no recurso que corresponde ao filtro de inclusão e
que não for excluído, é encaminhado para o sistema predefinido do recurso,
chamado _Default
.
É possível definir configurações de recurso padrão para o coletor _Default
do seu
organização e pastas com as seguintes opções:
É possível desativar o coletor
_Default
para todos os recursos filhos.Você pode configurar um ou vários filtros de inclusão que se aplicam aos coletores
_Default
de novos projetos.
Desativar o coletor _Default
É possível desativar a criação de coletores _Default
para todos os novos recursos no
uma organização ou pasta, desativar os coletores _Default
impede que
que os registros sejam armazenados no bucket _Default
do recurso.
Se você parar de armazenar registros em um
bucket _Default
do recurso, os registros que teriam sido roteados para ele
do bucket são excluídos do armazenamento no Logging, a menos que esses registros
são explicitamente incluídos em outro coletor definido pelo usuário para esse recurso.
Desativar os coletores _Default
de um recurso e de qualquer filho
recursos, execute o seguinte
gcloud logging settings update
comando:
PASTA
gcloud logging settings update --folder=FOLDER_ID--disable-default-sink
ORGANIZAÇÃO
gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink
A sinalização disable-default-sink
se aplica apenas ao coletor _Default
que roteia
registros no bucket _Default
.
Para reativar os coletores _Default
, execute o seguinte
gcloud logging settings update
comando:
PASTA
gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink
ORGANIZAÇÃO
gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink
Configurar o filtro padrão de _Default
coletores
O coletor _Default
predefinido roteia todos os registros que correspondam aos critérios do coletor.
para o bucket _Default
correspondente. Você pode usar
filtros de inclusão
e filtros de exclusão para configurar
quais registros são incluídos e excluídos para novos coletores _Default
em uma organização
ou pasta.
O filtro de inclusão pode substituir ou ser
anexado ao filtro do coletor _Default
, e os filtros de exclusão serão anexados
porque o coletor _Default
não tem filtros de exclusão por padrão.
Para especificar um filtro de inclusão ou de exclusão que seja aplicado a todas
_Default
coletores de novos recursos em uma organização ou pasta,
execute o método updateSettings
da API Cloud Logging com
objeto defaultSinkConfig
. Só é possível definir o filtro padrão
Coletores _Default
usando a API Logging.
É possível executar o método updateSettings
usando o
widget do APIs Explorer na página de referência do método. A
exemplo a seguir ilustra parâmetros de amostra:
- nome (URL):
organizations/ORGANIZATION_ID/settings
- updateMask:
"default_sink_config"
Corpo da solicitação, que contém uma instância de
Settings
:"defaultSinkConfig": { { "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ", "exclusions": [ { "name": "exclude-data-access", "description": "Prevents Data Access audit logs from being routed", "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")", } ], "mode": OVERWRITE } }
O exemplo anterior faz o seguinte:
Substitui o filtro de inclusão do coletor
_Default
para incluir a de administrador Registros de auditoria de atividade, que são excluídos por padrão.anexa um filtro de exclusão que impede que os registros de auditoria de acesso a dados sejam roteada para o bucket
_Default
.
Resolver problemas de configuração
Para informações sobre solução de problemas, consulte Resolver erros de CMEK e configuração padrão.