Questo documento descrive come configurare le impostazioni predefinite delle risorse per Logging utilizzando Google Cloud CLI. Le impostazioni predefinite delle risorse, che possono essere applicate a un'organizzazione o a una cartella, possono determinare quanto segue:
Indica se è necessaria una CMEK per i nuovi bucket di log.
La posizione di archiviazione per i bucket di log
_Default
e_Required
.Indica se il sink
_Default
è abilitato o disabilitato.Il filtro applicato al sink
_Default
delle nuove risorse.
Panoramica
La risorsa organizzazione si trova al livello più alto della gerarchia delle risorse di Google Cloud. La risorsa organizzazione è l'elemento padre di queste risorse figlio: progetti, cartelle e account di fatturazione Google Cloud e, per quanto riguarda Logging, i bucket.
Puoi configurare Logging in modo che utilizzi le impostazioni predefinite delle risorse per un'organizzazione Google Cloud e per le cartelle. Quando crei nuove risorse, queste ereditano le impostazioni predefinite delle risorse padre.
Cloud Logging supporta le seguenti impostazioni predefinite delle risorse:
Indica se i nuovi bucket di log in una risorsa devono essere criptati con una chiave gestita dal cliente e, in questo caso, con la chiave Cloud KMS predefinita da utilizzare per la crittografia.
Se configuri una CMEK per una risorsa, devi anche impostare la località di archiviazione predefinita per i nuovi bucket
_Default
e_Required
creati dalle risorse figlio.La località di archiviazione per i nuovi bucket
_Default
e_Required
. Questa posizione di archiviazione ti consente di controllare la posizione in cui vengono archiviati i log.Se imposti una località di archiviazione predefinita per una risorsa e non configuri CMEK per risorsa, i nuovi bucket di log nella risorsa non richiedono CMEK.
Indica se il sink di log
_Default
è abilitato o disabilitato per i nuovi progetti nella risorsa.I filtri di inclusione o di esclusione applicati a tutti i nuovi sink
_Default
nelle risorse figlio.
Configurazioni di esempio:
Configuri una posizione di archiviazione predefinita per un'organizzazione. Per i nuovi progetti nell'organizzazione, i bucket
_Default
e_Required
vengono creati nella località specificata.Puoi configurare una posizione di archiviazione predefinita per un'organizzazione e una posizione di archiviazione predefinita per ogni cartella al suo interno. Per i nuovi progetti che si trovano in una cartella, i bucket
_Default
e_Required
vengono creati nella località specificata dalle impostazioni della cartella. Per i progetti che non si trovano in una cartella, i relativi bucket_Default
e_Required
vengono creati nella località specificata dalle impostazioni dell'organizzazione.Configuri CMEK per un'organizzazione e per la cartella denominata
Non-CMEK
imposti solo la posizione di archiviazione predefinita. Se crei un progetto che non si trova nella cartella denominataNon-CMEK
, i bucket_Default
e_Required
vengono creati nella stessa posizione della chiave di Cloud Key Management Service e i bucket di log vengono criptati dalla chiave. Tuttavia, se crei un nuovo progetto nella cartella denominataNon-CMEK
, i relativi bucket di log vengono creati nelle località specificate dall'impostazione della cartella e i bucket di log non vengono criptati da CMEK.Configuri un filtro di esclusione che si applica ai nuovi sink
_Default
a livello di organizzazione. Il filtro esclude l'instradamento degli audit log di accesso ai dati tramite il sink_Default
in tutte le risorse figlio, impedendo l'archiviazione degli audit log di accesso ai dati nel bucket_Default
.
Prima di iniziare
Questo documento non contiene informazioni su come configurare CMEK come impostazione delle risorse predefinita per Logging. Per informazioni su quell'argomento, vedi Configurare CMEK per il logging.
Per iniziare a configurare le impostazioni predefinite delle risorse per Logging, segui questi passaggi:
Installa Google Cloud CLI, quindi initialize eseguendo questo comando:
gcloud init
Assicurati di disporre delle seguenti autorizzazioni di Cloud Logging per l'organizzazione:
logging.settings.get
logging.settings.update
Comprendi i requisiti di formattazione di
LogBucket
, incluse le località supportate in cui puoi archiviare i log. Per un elenco delle località di archiviazione supportate per i bucket di log, consulta Regione dei dati: regioni supportate.Trova gli identificatori per l'organizzazione o la cartella per cui vuoi configurare le impostazioni predefinite delle risorse:
- ORGANIZATION_ID è l'identificatore numerico univoco dell'organizzazione Google Cloud. Questo valore non è necessario se prevedi di configurare solo un'impostazione delle risorse predefinita per una cartella. Per informazioni su come ottenere questo identificatore, consulta Recupero dell'ID organizzazione.
- FOLDER_ID è l'identificatore numerico univoco della cartella Google Cloud. Questo valore non è necessario se prevedi di configurare solo un'impostazione predefinita delle risorse per un'organizzazione. Per informazioni sull'utilizzo delle cartelle, consulta Creare e gestire le cartelle.
- LOCATION è la posizione in cui vuoi archiviare i dati di log.
Visualizza le impostazioni predefinite delle risorse per Logging
Per visualizzare le impostazioni predefinite delle risorse per Logging, inclusa la località di archiviazione predefinita, utilizza il comando gcloud logging settings describe
:
CARTELLA
gcloud logging settings describe --folder=FOLDER_ID
ORGANIZZAZIONE
gcloud logging settings describe --organization=ORGANIZATION_ID
Il comando precedente restituisce informazioni sulle impostazioni predefinite delle risorse. Ad esempio, di seguito sono mostrate le impostazioni predefinite delle risorse per una determinata organizzazione:
name: organizations/ORGANIZATION_ID/settings kmsKeyName: KMS_KEY_NAME kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com storageLocation: europe-west1 disableDefaultSink: false
Il valore dell'attributo SERVICE_ACCT_NAME potrebbe avere il formato cmek-12345
o service-12345@...
. Se non puoi utilizzare Google Cloud CLI, esegui il metodo dell'API Cloud Logging getSettings
.
Impostare la posizione di archiviazione predefinita
I bucket di log sono i container dei progetti, degli account di fatturazione, delle cartelle e delle organizzazioni Google Cloud in cui vengono archiviati e organizzati i dati di log. Per ogni progetto, account di fatturazione, cartella e organizzazione Google Cloud, Logging crea automaticamente due bucket di log: _Required
e _Default
, che vengono archiviati automaticamente in una località global
non specificata.
Puoi specificare una località di archiviazione per i bucket _Required
e _Default
contenuti in un'organizzazione o in una cartella modificando le impostazioni predefinite delle risorse per Logging.
Per un elenco delle località di archiviazione supportate, vedi Regioni supportate.
Dopo aver configurato la località di archiviazione predefinita per un'organizzazione, si verifica quanto segue:
I bucket
_Required
e_Default
esistenti nell'organizzazione o nella cartella mantengono la posizione di archiviazione assegnata al momento della creazione.Per le risorse figlio create nell'organizzazione o nella cartella dopo aver configurato la località di archiviazione predefinita, i relativi bucket
_Required
e_Default
ereditano la località di archiviazione predefinita.
La località di archiviazione predefinita per Cloud Logging si applica solo ai bucket di log _Default
e _Required
. Non si applica ai bucket di log
definiti dall'utente.
Configura i criteri dell'organizzazione
Logging supporta i criteri dell'organizzazione che possono limitare le località in cui è possibile archiviare i dati. Se questo criterio esiste per la tua organizzazione, puoi creare bucket di log solo nelle località consentite dal criterio.
Quando esiste un criterio dell'organizzazione che specifica un vincolo di località, i valori del criterio per il vincolo devono includere la località specificata nelle impostazioni predefinite delle risorse per Logging. Inoltre, se prevedi di modificare le impostazioni predefinite delle risorse, prima di aggiornare le impostazioni predefinite delle risorse, rivedi e, se necessario, aggiorna i criteri dell'organizzazione.
Per visualizzare o aggiornare i criteri dell'organizzazione:
-
Nella console Google Cloud, vai alla pagina Criteri dell'organizzazione:
Vai a Criteri dell'organizzazione
Se usi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo IAM e amministrazione.
Seleziona la tua organizzazione.
Visualizza e, se necessario, aggiorna il vincolo con ID
constraints/gcp.resourceLocations
. Se questo vincolo non è configurato, non è necessario un aggiornamento.Per informazioni su come visualizzare e modificare vincoli specifici, consulta Creazione e modifica dei criteri.
Configura la località di archiviazione predefinita per Logging
Per configurare la posizione di archiviazione predefinita per Cloud Logging, esegui il comando gcloud logging settings update
e includi il flag --storage-location
:
CARTELLA
gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION
ORGANIZZAZIONE
gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION
Se non puoi utilizzare Google Cloud CLI, esegui il metodo dell'API Cloud Logging updateSettings
.
Per informazioni sulla risoluzione degli errori durante l'aggiornamento della località di archiviazione predefinita, consulta Risolvere i problemi relativi all'impostazione della località predefinita delle risorse.
Configura il sink _Default
Logging fornisce un sink _Default
predefinito per ogni progetto, account di fatturazione, cartella e risorsa dell'organizzazione di Google Cloud. Tutti i log generati nella risorsa che corrisponde al filtro di inclusione e che non sono esclusi vengono instradati al bucket _Default
predefinito della risorsa, con nome corrispondente.
Puoi configurare le impostazioni predefinite delle risorse per il sink _Default
per la tua organizzazione e le tue cartelle con le seguenti opzioni:
Puoi disabilitare il sink
_Default
per tutte le risorse figlio.Puoi configurare un filtro di inclusione o più filtri di esclusione che si applicano ai sink
_Default
dei nuovi progetti.
Disattiva il sink _Default
Puoi disabilitare la creazione di sink _Default
per tutte le nuove risorse in un'organizzazione o in una cartella; la disabilitazione dei sink _Default
impedisce ai log di essere archiviati nel bucket _Default
della risorsa.
Se interrompi l'archiviazione dei log nel bucket _Default
di una risorsa, i log che sarebbero stati instradati a quel bucket vengono esclusi dall'archiviazione in Logging, a meno che non vengano inclusi esplicitamente in un altro sink definito dall'utente per quella risorsa.
Per disabilitare i sink _Default
per una risorsa e tutte le relative risorse figlio, esegui questo comando gcloud logging settings update
:
CARTELLA
gcloud logging settings update --folder=FOLDER_ID--disable-default-sink
ORGANIZZAZIONE
gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink
Il flag disable-default-sink
si applica solo al sink _Default
che instrada
i log nel bucket _Default
.
Puoi riabilitare i sink _Default
eseguendo questo comando
gcloud logging settings update
:
CARTELLA
gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink
ORGANIZZAZIONE
gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink
Configura il filtro predefinito di _Default
sink
Il sink _Default
predefinito instrada tutti i log corrispondenti ai criteri del sink
al bucket _Default
corrispondente. Puoi utilizzare
filtri di inclusione
e filtri di esclusione per configurare
quali log includere ed esclusi per i nuovi sink _Default
in un'organizzazione
o in una cartella.
Il filtro di inclusione può eseguire l'override o essere aggiunto al filtro del sink _Default
e i filtri di esclusione vengono aggiunti poiché il sink _Default
non ha filtri di esclusione per impostazione predefinita.
Per specificare un filtro di inclusione o un filtro di esclusione applicato a tutti i sink _Default
di nuove risorse in un'organizzazione o una cartella, esegui il metodo dell'API Cloud Logging updateSettings
con l'oggetto defaultSinkConfig
. Puoi impostare il filtro predefinito dei sink _Default
solo utilizzando l'API Logging.
Puoi eseguire il metodo updateSettings
utilizzando il widget Explorer API nella pagina di riferimento del metodo. L'esempio seguente illustra alcuni parametri di esempio:
- name (URL):
organizations/ORGANIZATION_ID/settings
- updateMask:
"default_sink_config"
Corpo della richiesta, che contiene un'istanza di
Settings
:"defaultSinkConfig": { { "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ", "exclusions": [ { "name": "exclude-data-access", "description": "Prevents Data Access audit logs from being routed", "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")", } ], "mode": OVERWRITE } }
Nell'esempio precedente:
Sovrascrive il filtro di inclusione del sink
_Default
per includere gli audit log delle attività di amministrazione, che sono esclusi per impostazione predefinita.Consente di aggiungere un filtro di esclusione che impedisce l'instradamento degli audit log di accesso ai dati al bucket
_Default
.
Risolvere gli errori di configurazione
Per informazioni sulla risoluzione dei problemi, vedi Risolvere gli errori relativi a CMEK e impostazioni predefinite.