Mengonfigurasi setelan default untuk organisasi dan folder

Dokumen ini menjelaskan cara mengonfigurasi setelan default untuk logging menggunakan Google Cloud CLI. Setelan default, yang dapat diterapkan ke organisasi atau folder, dapat menentukan hal berikut:

  • Apakah kunci enkripsi yang dikelola pelanggan (CMEK) diperlukan untuk bucket log baru.

  • Apakah sink _Default diaktifkan atau dinonaktifkan.

  • Filter yang diterapkan ke sink _Default resource baru.

Ringkasan

Resource organisasi berada di tingkat tertinggi dalam hierarki resource Google Cloud. Resource organisasi adalah induk dari resource turunan berikut: project, folder, akun penagihan Google Cloud, dan, terkait Logging, bucket log.

Anda dapat mengonfigurasi Logging untuk menggunakan setelan default untuk organisasi Google Cloud dan untuk folder. Saat Anda membuat resource baru, resource tersebut akan mewarisi setelan default induk.

Cloud Logging mendukung setelan default berikut:

  • Apakah bucket log baru dalam resource akan dienkripsi dengan kunci yang dikelola pelanggan atau tidak, dan jika ya, kunci Cloud KMS default yang akan digunakan untuk enkripsi.

  • Lokasi penyimpanan untuk bucket log _Default dan _Required baru yang dibuat oleh resource turunan, dan untuk kueri yang disimpan oleh halaman Logs Explorer atau Log Analytics. Dengan menetapkan lokasi penyimpanan, Anda dapat mengontrol lokasi penyimpanan log.

    Jika Anda menetapkan lokasi penyimpanan default untuk resource dan tidak mengonfigurasiCMEK untuk resource tersebut, bucket log baru di resource tidak memerlukanCMEK.

  • Apakah sink log _Default diaktifkan atau dinonaktifkan untuk project baru di resource.

  • Filter penyertaan atau filter pengecualian yang diterapkan ke semua sink _Default baru di resource turunan.

Contoh konfigurasi:

  • Anda mengonfigurasi lokasi penyimpanan default untuk organisasi. Untuk project baru di organisasi, bucket log _Default dan _Required dibuat di lokasi yang ditentukan. Selain itu, kueri yang disimpan oleh halaman Logs Explorer atau Log Analytics disimpan di lokasi yang ditentukan. Kueri ini mencakup kueri terbaru yang disimpan secara otomatis setelah dijalankan, dan kueri yang disimpan oleh anggota project Google Cloud.

  • Anda mengonfigurasi lokasi penyimpanan default untuk organisasi dan mengonfigurasi lokasi penyimpanan default untuk setiap folder di organisasi tersebut. Untuk project baru yang berada dalam folder, bucket _Default dan _Required dibuat di lokasi yang ditentukan oleh setelan folder. Untuk project yang tidak berada dalam folder, bucket _Default dan _Required-nya dibuat di lokasi yang ditentukan oleh setelan organisasi.

  • Anda mengonfigurasi CMEK untuk organisasi, dan untuk folder bernama Non-CMEK, Anda hanya menetapkan lokasi penyimpanan default. Jika Anda membuat project yang tidak berada di folder bernama Non-CMEK, bucket _Default dan _Required akan dibuat di lokasi yang sama dengan kunci Cloud Key Management Service, dan bucket log ini dienkripsi oleh kunci tersebut. Namun, jika Anda membuat project baru di folder bernama Non-CMEK, bucket log-nya akan dibuat di lokasi yang ditentukan oleh setelan folder tersebut, dan bucket log tersebut tidak dienkripsi oleh CMEK.

  • Anda mengonfigurasi filter pengecualian yang berlaku untuk sink _Default baru di level organisasi. Filter mengecualikan log audit Akses Data agar tidak dirutekan melalui sink _Default di semua resource turunan, sehingga mencegah log audit Akses Data disimpan di bucket _Default.

Sebelum memulai

Dokumen ini tidak berisi informasi tentang cara mengonfigurasi CMEK sebagai setelan default untuk Logging. Untuk mengetahui informasi tentang topik tersebut, lihat Mengonfigurasi CMEK untuk Logging.

Untuk mulai mengonfigurasi setelan default untuk Logging, lakukan hal berikut:

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Pastikan peran Identity and Access Management Anda di organisasi atau folder yang setelan defaultnya ingin Anda konfigurasi menyertakan izin Cloud Logging berikut:

    • logging.settings.get
    • logging.settings.update

  3. Identifikasi lokasi tempat Anda ingin menyimpan log dan kueri. Untuk mengetahui daftar lokasi penyimpanan yang didukung, lihat Region yang didukung.

Melihat setelan default untuk Logging

Untuk melihat setelan default Logging, termasuk lokasi penyimpanan default, gunakan perintah gcloud logging settings describe:

FOLDER 

 gcloud logging settings describe --folder=FOLDER_ID

Sebelum menjalankan perintah sebelumnya, buat penggantian berikut:

ORGANISASI 

gcloud logging settings describe --organization=ORGANIZATION_ID

Sebelum menjalankan perintah sebelumnya, buat penggantian berikut:

  • ORGANIZATION_ID: ID numerik unik organisasi. Untuk informasi tentang cara mendapatkan ID ini, lihat Mendapatkan ID organisasi.

Perintah sebelumnya menampilkan informasi tentang setelan default. Misalnya, berikut adalah setelan default untuk organisasi tertentu:

name: organizations/ORGANIZATION_ID/settings
kmsKeyName: KMS_KEY_NAME
kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.
storageLocation: europe-west1
disableDefaultSink: false

Nilai SERVICE_ACCT_NAME mungkin memiliki format cmek-12345 atau service-12345@.... Jika Anda tidak dapat menggunakan Google Cloud CLI, jalankan metode Cloud Logging API getSettings.

Menetapkan lokasi penyimpanan default

Bucket log adalah penampung di project, akun penagihan, folder, dan organisasi Google Cloud Anda yang menyimpan dan mengatur data log. Untuk setiap project, akun penagihan, folder, dan organisasi Google Cloud, Logging otomatis membuat dua bucket log: _Required dan _Default, yang otomatis disimpan di lokasi global.

Saat menetapkan lokasi penyimpanan default untuk organisasi atau folder, Anda menentukan tempat bucket log _Required dan _Default baru dibuat dan tempat kueri yang Anda jalankan di halaman Logs Explorer dan Log Analytics disimpan. Menetapkan lokasi penyimpanan default tidak memengaruhi lokasi bucket log yang ada. Demikian pula, untuk kueri yang telah disimpan, lokasi penyimpanannya tidak akan berubah.

Setelah Anda mengonfigurasi lokasi penyimpanan default untuk organisasi atau folder, hal berikut akan terjadi:

  • Untuk resource turunan baru yang dibuat di organisasi atau folder, bucket _Required dan _Default-nya mewarisi lokasi penyimpanan default.
  • Kueri baru yang Anda jalankan di halaman Logs Explorer atau Log Analytics disimpan di lokasi penyimpanan default. Lokasi ini juga berlaku untuk kueri terbaru yang disimpan secara otomatis.

Lokasi penyimpanan default untuk Cloud Logging tidak berlaku untuk bucket log yang ditentukan pengguna atau untuk kueri yang disimpan menggunakan Logging API.

Mengonfigurasi kebijakan organisasi

Logging mendukung kebijakan organisasi yang dapat membatasi tempat data dapat disimpan. Jika kebijakan tersebut ada untuk organisasi Anda, Anda hanya dapat membuat bucket log di lokasi yang diizinkan oleh kebijakan.

Jika ada kebijakan organisasi yang menentukan batasan lokasi, nilai kebijakan untuk batasan tersebut harus menyertakan lokasi yang ditentukan dalam setelan default untuk Logging. Selain itu, jika Anda berencana mengubah setelan default, sebelum memperbarui setelan default, tinjau dan, jika perlu, perbarui kebijakan organisasi.

Untuk melihat atau memperbarui kebijakan organisasi, lakukan hal berikut:

  1. Di konsol Google Cloud, buka halaman Organization Policies:

    Buka Kebijakan Organisasi

    Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah IAM & Admin.

  2. Pilih organisasi Anda.

  3. Lihat, dan jika perlu, perbarui batasan dengan ID constraints/gcp.resourceLocations. Jika batasan ini tidak dikonfigurasi, update tidak diperlukan.

    Untuk informasi tentang cara melihat batasan tertentu dan cara mengedit batasan ini, lihat Membuat dan mengedit kebijakan.

Mengonfigurasi lokasi penyimpanan default untuk Logging

Untuk mengonfigurasi lokasi penyimpanan default untuk Cloud Logging, jalankan perintah gcloud logging settings update dan sertakan flag --storage-location:

FOLDER 

gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION

Sebelum menjalankan perintah sebelumnya, buat penggantian berikut:

  • FOLDER_ID: ID numerik unik folder. Untuk informasi tentang cara menggunakan folder, lihat Membuat dan mengelola folder.
  • LOCATION: Lokasi tempat bucket log _Default dan _Required baru dibuat, dan tempat kueri disimpan. Untuk mengetahui daftar lokasi yang didukung, lihat Region yang didukung.

ORGANISASI 

gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION

Sebelum menjalankan perintah sebelumnya, buat penggantian berikut:

  • ORGANIZATION_ID: ID numerik unik organisasi. Untuk informasi tentang cara mendapatkan ID ini, lihat Mendapatkan ID organisasi.
  • LOCATION: Lokasi tempat bucket log _Default dan _Required baru dibuat, dan tempat kueri disimpan. Untuk mengetahui daftar lokasi yang didukung, lihat Region yang didukung.

Jika Anda tidak dapat menggunakan Google Cloud CLI, jalankan metode Cloud Logging API updateSettings.

Untuk mengetahui informasi tentang cara mengatasi error saat memperbarui lokasi penyimpanan default, lihat Memecahkan masalah penetapan lokasi resource default.

Mengonfigurasi sink _Default

Logging menyediakan sink _Default yang telah ditentukan sebelumnya untuk setiap project, akun penagihan, folder, dan resource organisasi Google Cloud. Setiap log yang dihasilkan di resource yang cocok dengan filter penyertaan dan yang tidak dikecualikan akan dirutekan ke bucket _Default yang telah ditentukan sebelumnya dan diberi nama sesuai dengan resource.

Anda dapat mengonfigurasi setelan default untuk sink _Default untuk organisasi dan folder dengan opsi berikut:

  • Anda dapat menonaktifkan pembuatan sink _Default untuk resource turunan baru.

  • Anda dapat mengonfigurasi filter penyertaan atau beberapa filter pengecualian yang berlaku untuk sink _Default project baru.

Menonaktifkan sink _Default

Anda dapat menonaktifkan sink _Default untuk semua resource baru di organisasi atau folder; menonaktifkan sink _Default akan mencegah log disimpan di bucket _Default resource. Jika Anda berhenti menyimpan log di bucket _Default resource, log yang akan dirutekan ke bucket tersebut akan dikecualikan dari penyimpanan di Logging, kecuali jika log tersebut secara eksplisit disertakan dalam sink lain yang ditentukan pengguna untuk resource tersebut.

Untuk menonaktifkan sink _Default untuk resource dan resource turunannya, jalankan perintah gcloud logging settings update berikut:

FOLDER 

gcloud logging settings update --folder=FOLDER_ID--disable-default-sink

Sebelum menjalankan perintah sebelumnya, buat penggantian berikut:

ORGANISASI 

gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink

Sebelum menjalankan perintah sebelumnya, buat penggantian berikut:

  • ORGANIZATION_ID: ID numerik unik organisasi. Untuk informasi tentang cara mendapatkan ID ini, lihat Mendapatkan ID organisasi.

Flag disable-default-sink hanya berlaku untuk sink _Default yang merutekan log ke bucket _Default.

Anda dapat mengaktifkan kembali sink _Default dengan menjalankan perintah gcloud logging settings update berikut:

FOLDER 

gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink

ORGANISASI 

gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink

Mengonfigurasi filter default sink _Default

Sink _Default yang telah ditentukan sebelumnya merutekan entri log apa pun yang cocok dengan kriteria sink ke bucket _Default yang sesuai. Anda dapat mengirim perintah Cloud Logging API untuk mengganti filter penyertaan bawaan di sink _Default atau menambahkan filter. Filter pengecualian bawaan untuk sink _Default kosong. Namun, perintah API juga memungkinkan Anda menambahkan filter pengecualian.

Untuk menentukan filter penyertaan atau filter pengecualian yang diterapkan ke semua sink _Default resource baru di organisasi atau folder, jalankan metode Cloud Logging API updateSettings dan tentukan objek defaultSinkConfig.

Anda dapat menjalankan metode updateSettings menggunakan widget APIs Explorer di halaman referensi metode. Contoh berikut mengilustrasikan parameter contoh:

  • name (URL): organizations/ORGANIZATION_ID/settings
  • updateMask: "default_sink_config"

  • Isi permintaan, yang berisi instance Settings:

    "defaultSinkConfig": {
  {
  "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") "
  "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") "
  "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") "
  "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") "
  "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ",
  "exclusions": [
     {
        "name": "exclude-data-access",
        "description": "Prevents Data Access audit logs from being routed",
        "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")",
     }
  ],
  "mode": OVERWRITE
  }
}

Filter penyertaan bawaan untuk sink _Default menyertakan pernyataan AND NOT LOG_ID("externalaudit.googleapis.com/activity"), yang mencegah log audit Aktivitas Admin dirutekan ke bucket log _Default. Pada contoh sebelumnya, filter penyertaan diubah sehingga log audit Aktivitas Admin dirutekan ke bucket log _Default. Contoh ini juga menambahkan filter pengecualian yang mencegah log audit Akses Data dirutekan ke bucket _Default. Pada contoh sebelumnya, filter pengecualian diberi nama exclude-data-access.

Memecahkan masalah error konfigurasi

Untuk mengetahui informasi pemecahan masalah, lihat Memecahkan masalah CMEK dan error setelan default.