Questo documento descrive come configurare le impostazioni predefinite delle risorse per Logging utilizzando Google Cloud CLI. Impostazioni predefinite delle risorse, che possono essere applicate a un'organizzazione o in una cartella, possono determinare quanto segue:
Indica se è necessaria una CMEK per i nuovi bucket di log.
La località di archiviazione, che determina quanto segue:
Dove sono archiviati i bucket di log
_Defaulte_Required.Dove vengono visualizzate le query nelle pagine Esplora log o Analisi dei log archiviati, in particolare le query recenti, e le query salvate da un membro del progetto Google Cloud.
Indica se il sink
_Defaultè abilitato o disabilitato.Il filtro applicato al sink
_Defaultdelle nuove risorse.
Panoramica
La risorsa organizzazione si trova al livello più alto Gerarchia delle risorse di Google Cloud. La risorsa organizzazione è l'elemento padre di queste risorse figlio: i progetti, le cartelle, gli account di fatturazione e, Logging, bucket.
Puoi configurare Logging in modo che utilizzi le impostazioni predefinite delle risorse per nell'organizzazione Google Cloud e per le cartelle. Quando crei nuovi risorse, ereditano le impostazioni predefinite delle risorse parent.
Cloud Logging supporta le seguenti impostazioni predefinite delle risorse:
Indica se i nuovi bucket di log in una risorsa devono essere criptati o meno una chiave gestita dal cliente e, in questo caso, la chiave Cloud KMS predefinita per la crittografia.
Se configuri CMEK per una risorsa, devi anche impostare località di archiviazione predefinita per i nuovi bucket
_Defaulte_Requiredcreate dalle risorse figlio.La posizione di archiviazione per i nuovi
_Defaulte_Requiredbucket, e query nelle pagine Esplora log o Analisi dei log. Questa posizione di archiviazione ti consente controllare dove vengono archiviati i log.Se imposti una località di archiviazione predefinita per una risorsa e non configuri CMEK per quella risorsa, i nuovi bucket di log al suo interno non richiedono tramite CMEK.
Indica se il sink di log
_Defaultè abilitato o disabilitato per i nuovi progetti nella risorsa.I filtri di inclusione o di esclusione applicati a tutti i nuovi
_Defaultdi sink nelle risorse figlio.
Configurazioni di esempio:
Configuri una posizione di archiviazione predefinita per un'organizzazione. Per nuovi di progetti nell'organizzazione, i bucket
_Defaulte_Requiredcreato nella località specificata.Configuri una posizione di archiviazione predefinita per un'organizzazione e per te configurare una posizione di archiviazione predefinita per ogni cartella nell'organizzazione. Per i nuovi progetti che si trovano in una cartella, i bucket
_Defaulte_Requiredvengono creati nella posizione specificata dalle impostazioni della cartella. Per i progetti che non si trovano in una cartella, i relativi bucket_Defaulte_Requiredvengono creati nella località specificata dalle impostazioni dell'organizzazione.Configuri una posizione di archiviazione predefinita in cui tutte le query Esplora log. Sono incluse le query recenti automaticamente dopo l'esecuzione e le query salvate dai membri progetto Google Cloud.
Configurerai CMEK per un'organizzazione e per la cartella denominata
Non-CMEKimposti solo la posizione di archiviazione predefinita. Se crei un progetto che non si trova nella cartella denominataNon-CMEK, verrà I bucket_Defaulte_Requiredvengono creati nella stessa località dei bucket chiave di Cloud Key Management Service e i bucket di log sono criptati dalla chiave. Tuttavia, se crei un nuovo progetto nella cartella denominataNon-CMEK, e i rispettivi bucket di log vengono creati nelle posizioni specificate e i bucket di log non saranno criptati da CMEK.Configuri un filtro di esclusione che si applica ai nuovi sink
_Defaultin un a livello di organizzazione. Il filtro esclude che gli audit log di accesso ai dati instradato tramite il sink_Defaultin tutte le risorse figlio, impedendo gli audit log di accesso ai dati non vengano archiviati nel bucket_Default.
Prima di iniziare
Questo documento non contiene informazioni su come configurare CMEK come l'impostazione predefinita delle risorse per Logging. Per informazioni su questo argomento, consulta Configura CMEK per Logging.
Per iniziare a configurare le impostazioni predefinite delle risorse per Logging, segui questi passaggi:
Installa Google Cloud CLI, quindi initialize eseguendo questo comando:
gcloud init
Assicurati di disporre delle seguenti autorizzazioni di Cloud Logging per organizzazione:
logging.settings.getlogging.settings.update
Comprendere i requisiti di formattazione di
LogBucket, ad esempio: le località supportate in cui puoi archiviare i tuoi log. Per un elenco delle località di archiviazione supportate per i bucket di log, consulta Area geografica dei dati: regioni supportate.Trova gli identificatori per l'organizzazione o la cartella per la quale vuoi configurare le impostazioni predefinite delle risorse:
- ORGANIZATION_ID è l'identificatore numerico univoco del dell'organizzazione Google Cloud. Questo valore non è necessario se prevedi di configurare un'impostazione delle risorse predefinita per una cartella. Per informazioni su come ottenere questo identificatore, consulta Recupero dell'ID organizzazione.
- FOLDER_ID è l'identificatore numerico univoco del nella cartella Google Cloud. Questo valore non è necessario se prevedi di configurare un'impostazione delle risorse predefinita per un'organizzazione. Per informazioni sull'utilizzo delle cartelle, vedi Creazione e gestione delle cartelle.
- LOCATION è la posizione in cui vuoi archiviare i tuoi e i dati di log.
Visualizza le impostazioni predefinite delle risorse per Logging
Per visualizzare le impostazioni predefinite delle risorse per Logging,
inclusa la posizione di archiviazione predefinita, utilizza
gcloud logging settings describe
:
CARTELLA
gcloud logging settings describe --folder=FOLDER_ID
ORGANIZZAZIONE
gcloud logging settings describe --organization=ORGANIZATION_ID
Il comando precedente restituisce informazioni sulle impostazioni predefinite delle risorse. Ad esempio, quanto segue mostra le impostazioni predefinite delle risorse per particolare organizzazione:
name: organizations/ORGANIZATION_ID/settings kmsKeyName: KMS_KEY_NAME kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com storageLocation: europe-west1 disableDefaultSink: false
Il valore dell'attributo SERVICE_ACCT_NAME potrebbe avere il formato cmek-12345 o
service-12345@.... Se non puoi utilizzare Google Cloud CLI, esegui
Metodo API Cloud Logging getSettings.
Impostare la posizione di archiviazione predefinita
I bucket di log sono i container
Progetti, account di fatturazione, cartelle e organizzazioni Google Cloud in cui sono archiviati
e organizzare i dati di log. Per ogni progetto Google Cloud, account di fatturazione
alla cartella e all'organizzazione, Logging crea automaticamente due log
bucket: _Required e _Default, che vengono archiviati automaticamente
una località global non specificata.
Puoi specificare una posizione di archiviazione per _Required e _Default
contenuti in un'organizzazione o in una cartella modificando
le impostazioni predefinite delle risorse per Logging. Questa posizione di archiviazione
determina dove le query nelle pagine Esplora log e Analisi dei log
vengono archiviati. Queste query includono query recenti che vengono salvate automaticamente
dopo l'esecuzione e le query salvate dai membri del progetto Google Cloud.
Per un elenco delle posizioni di archiviazione supportate, vedi Regioni supportate.
Dopo aver configurato la posizione di archiviazione predefinita per un'organizzazione, si verifica quanto segue:
Bucket
_Requirede_Defaultesistenti in quell'organizzazione o cartella di conservare la posizione di archiviazione che era loro assegnata in quel momento in cui erano stati creati.Per le risorse figlio create nell'organizzazione o nella cartella una volta configurata la posizione di archiviazione predefinita,
_Requirede_Defaultbucket ereditano la località di archiviazione predefinita.Le query Esplora log o Analisi dei log esistenti mantengono la posizione di archiviazione corrente.
Nuove query Esplora log o Analisi dei log salvate dopo il la posizione di archiviazione predefinita è configurata utilizza la posizione di archiviazione predefinita. Questa località si applica anche alle query recenti che vengono salvate automaticamente.
Si applica la località di archiviazione predefinita per Cloud Logging
solo ai bucket di log _Default e _Required e alle query
nelle pagine Esplora log o Analisi dei log. Queste query includono
salvate automaticamente dopo l'esecuzione e le query salvate
membri del progetto Google Cloud. Non si applica al log definito dall'utente
bucket o alle query salvate usando l'API Logging, come località
deve essere specificato nella richiesta.
Configura i criteri dell'organizzazione
Logging supporta criteri dell'organizzazione che possono limitare le località in cui possono essere archiviati i dati. Se esiste un criterio di questo tipo per la tua organizzazione, puoi solo creare bucket di log nelle località consentite dal criterio.
Quando esiste un criterio dell'organizzazione che specifica un vincolo di località, i valori del criterio per il vincolo devono includere la località specificata le impostazioni predefinite delle risorse per Logging. Inoltre, se prevedi di modificare le impostazioni predefinite delle risorse, prima di aggiornare le impostazioni predefinite delle risorse, rivedere e, se necessario, aggiornare i criteri dell'organizzazione.
Per visualizzare o aggiornare i criteri dell'organizzazione:
-
Nella console Google Cloud, vai alla pagina Criteri dell'organizzazione:
Vai a Criteri dell'organizzazione
Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo IAM e Console di amministrazione.
Seleziona la tua organizzazione.
Visualizza e, se necessario, aggiorna il vincolo con l'ID
constraints/gcp.resourceLocations. Se questo vincolo non è configurato, non è necessario alcun aggiornamento.Per informazioni su come visualizzare vincoli specifici e modificare questi vincoli, vedi Creazione e modifica delle norme.
Configura la località di archiviazione predefinita per Logging
Per configurare la località di archiviazione predefinita per Cloud Logging, esegui
gcloud logging settings update
e includi il flag --storage-location:
CARTELLA
gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION
ORGANIZZAZIONE
gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION
Se non puoi utilizzare Google Cloud CLI, esegui
Metodo API Cloud Logging updateSettings.
Per informazioni sulla risoluzione degli errori durante l'aggiornamento dello spazio di archiviazione predefinito posizione, consulta Risolvi i problemi relativi all'impostazione della località delle risorse predefinita.
Configura il sink _Default
Logging fornisce un modello
_Default sink per ciascuno
Progetto Google Cloud, account di fatturazione, cartella e risorsa dell'organizzazione. Qualsiasi
generato nella risorsa che corrisponde al filtro di inclusione
che non è esclusa, viene indirizzata al valore predefinito della risorsa, di conseguenza
denominato _Default.
Puoi configurare le impostazioni predefinite delle risorse per il sink _Default per il tuo
organizzazione e cartelle con le seguenti opzioni:
Puoi disabilitare il sink
_Defaultper tutte le risorse figlio.Puoi configurare un filtro di inclusione o più filtri di esclusione applicabili nei sink
_Defaultdei nuovi progetti.
Disattiva il sink _Default
Puoi disabilitare la creazione di sink _Default per tutte le nuove risorse in
un'organizzazione o una cartella; la disabilitazione dei sink _Default impedisce
l'archiviazione dei log nel bucket _Default della risorsa.
Se interrompi l'archiviazione dei log in un
il bucket _Default della risorsa, quindi i log che sarebbero stati indirizzati a quel bucket
sono esclusi dall'archiviazione in Logging, a meno che tali log
vengono incluse in modo esplicito in un altro sink definito dall'utente per quella risorsa.
Per disabilitare i sink _Default per una risorsa e i relativi elementi figlio:
di risorse, esegui questo comando
gcloud logging settings update
:
CARTELLA
gcloud logging settings update --folder=FOLDER_ID--disable-default-sink
ORGANIZZAZIONE
gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink
Il flag disable-default-sink si applica solo al sink _Default che instrada
i log nel bucket _Default.
Puoi riattivare i sink _Default eseguendo questo comando
gcloud logging settings update
:
CARTELLA
gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink
ORGANIZZAZIONE
gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink
Configura il filtro predefinito di _Default sink
Il sink _Default predefinito instrada tutti i log che corrispondono ai criteri del sink
al bucket _Default corrispondente. Puoi utilizzare
Filtri di inclusione
e i filtri di esclusione per
quali log sono inclusi ed esclusi per i nuovi sink _Default in un'organizzazione
o cartella.
Il filtro di inclusione può essere sostituito
al filtro del sink _Default e i filtri di esclusione
poiché il sink _Default non ha filtri di esclusione per impostazione predefinita.
Per specificare un filtro di inclusione o un filtro di esclusione applicato a tutti
_Default di sink di nuove risorse in un'organizzazione o una cartella,
esegui il metodo dell'API Cloud Logging updateSettings con
l'oggetto defaultSinkConfig. Puoi impostare solo il filtro predefinito
Sink _Default utilizzando l'API Logging.
Puoi eseguire il metodo updateSettings utilizzando il metodo
Widget Explorer API nella pagina di riferimento del metodo. La
l'esempio seguente illustra alcuni parametri di esempio:
- name (URL):
organizations/ORGANIZATION_ID/settings - updateMask:
"default_sink_config" Corpo della richiesta, che contiene un'istanza di
Settings:"defaultSinkConfig": { { "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ", "exclusions": [ { "name": "exclude-data-access", "description": "Prevents Data Access audit logs from being routed", "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")", } ], "mode": OVERWRITE } }
Nell'esempio precedente:
Sovrascrive il filtro di inclusione del sink
_Defaultper includere l'Amministratore Audit log delle attività, che sono esclusi per impostazione predefinita.Consente di aggiungere un filtro di esclusione che impedisce l'esecuzione degli audit log di accesso ai dati indirizzato al bucket
_Default.
Risolvere gli errori di configurazione
Per informazioni sulla risoluzione dei problemi, vedi Risolvi gli errori relativi a CMEK e impostazioni predefinite.