为组织和文件夹配置默认设置

本文档介绍了如何为以下各项配置默认设置： 使用 Google Cloud CLI 进行日志记录。 可应用于组织的默认设置 或文件夹，可以确定以下内容：

• 是否需要为新的日志存储桶使用客户管理的加密密钥 (CMEK)。

• 新 Pod 的存储位置 _Default 和 _Required 存储分区， 日志浏览器或日志分析页面中运行的查询。

• _Default 接收器是处于启用状态还是已停用。

• 应用于新资源的 _Default 接收器的过滤条件。

概览

组织资源处于 Google Cloud 资源层次结构。 组织资源是以下子资源的父级：Google Cloud 项目、文件夹、结算账号，以及日志记录方面的日志分桶。

您可以将 Logging 配置为使用 Google Cloud 组织和文件夹。创建新资源时，这些资源会继承其父级的默认设置。

Cloud Logging 支持以下默认设置：

• 是否要使用客户管理的密钥对资源中的新日志存储桶进行加密，如果要加密，则要使用的默认 Cloud KMS 密钥。

• 新 Pod 的存储位置 _Default 和 _Required 日志存储分区 由子资源创建的 日志浏览器或日志分析页面保存的查询。 通过设置存储位置，您可以 控制日志的存储位置。

  如果您为资源设置默认存储位置，但未配置 CMEK，则资源中的新日志存储分区不需要 CMEK。

• 为资源中的新项目启用还是停用 _Default 日志接收器。

• 应用于子资源中的所有新 _Default 接收器的包含过滤条件或排除过滤条件。

配置示例：

• 您可以为组织配置默认存储位置。 对于组织中的新项目，_Default和_Required 系统会在指定位置创建日志存储分区。 此外，日志浏览器或日志分析页面保存的查询也会存储 指定位置这些查询包括 运行后自动保存的查询，以及由 Google Cloud 项目。

• 您为组织配置默认存储位置， 为该组织中的每个文件夹配置默认存储位置。 对于文件夹中的新项目，_Default 和 _Required 存储分区 会在文件夹设置指定的位置创建。对于项目 不在文件夹中的此类实例及其 _Default 和 _Required 存储分区 将在组织设置指定的位置创建。

• 您为一个组织和名为 Non-CMEK 的文件夹配置了 CMEK 您只需设置默认存储位置即可。如果您创建项目 文件不在名为 Non-CMEK 的文件夹中，则 _Default 和 _Required 存储分区的创建位置与 Cloud Key Management Service 密钥，而这些日志存储分区由该密钥加密。 但是，如果您在名为 Non-CMEK 的文件夹中创建一个新项目， 其日志存储分区是在该文件夹的 并且这些日志存储分区不会由 CMEK 加密。

• 您可以配置一个排除项过滤条件，以应用于_Default 组织级别。过滤器会排除数据访问审核日志 通过所有子资源中的 _Default 接收器进行路由，这会阻止 _Default 存储桶中存储的数据访问审核日志。

准备工作

本文档不包含有关如何将 CMEK 配置为 Logging 的默认设置的信息。有关该主题的信息，请参阅 为 Logging 配置 CMEK。

如需开始配置 Logging 的默认设置，请执行以下操作：

1. Install the Google Cloud CLI, then initialize it by running the following command:

   gcloud init

2. 请确保您对组织或文件夹拥有的 Identity and Access Management 角色 您要配置的默认设置包括 以下 Cloud Logging 权限：

   • logging.settings.get
   • logging.settings.update

3. 确定要存储日志和查询的位置。 如需查看受支持的存储位置列表，请参阅 数据区域性：支持的区域。

查看“日志记录”的默认设置

如需查看 Logging 的默认设置，请执行以下操作： 包括默认存储位置，请使用 gcloud logging settings describe 命令：

 gcloud logging settings describe --folder=FOLDER_ID

gcloud logging settings describe --organization=ORGANIZATION_ID

上一条命令会返回有关默认设置的信息。 例如，下面显示了 特定组织：

name: organizations/ORGANIZATION_ID/settings
kmsKeyName: KMS_KEY_NAME
kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
storageLocation: europe-west1
disableDefaultSink: false

SERVICE_ACCT_NAME 的值可以采用 cmek-12345 或 service-12345@... 格式。如果您无法使用 Google Cloud CLI，请运行 Cloud Logging API 方法 getSettings。

设置默认存储位置

日志存储分区是存储分区中的容器 Google Cloud 项目、结算账号、文件夹和组织 和整理日志数据对于每个 Google Cloud 项目、结算账号 Logging 会自动创建两个日志 存储分区：_Required 和 _Default，它们会自动存储在 global 位置。

为组织或文件夹设置默认存储位置后， 您可以指定在什么位置创建新的 _Required 和 _Default 日志存储分区 以及您在日志浏览器和日志分析中运行的查询 页面。设置默认存储位置不会影响 现有日志存储分区的位置。同样，对于 它们的存储位置不会改变。

为组织配置默认存储位置后，或 则会发生以下情况：

• 对于在组织或文件夹中创建的新子资源，其 _Required 和 _Default 存储分区会继承默认存储位置。

• 您在日志浏览器或日志分析页面运行的新查询 会保存在默认存储位置。 此位置也适用于自动保存的近期查询。

Cloud Logging 的默认存储位置不适用于 用户定义的日志存储分区，或者使用 Logging API 保存的查询。

配置组织政策

Logging 支持的组织政策 限制数据的存储位置。 如果您的组织有这样的政策，那么您只能 在政策允许的位置创建日志存储分区。

如果存在指定位置限制条件的组织政策， 限制条件的政策值必须包含在 Logging 的默认设置。 此外，如果您打算修改默认设置，请先查看组织政策，并根据需要更新这些政策，然后再更新默认设置。

如需查看或更新组织政策，请执行以下操作：

1. 在 Google Cloud 控制台中，前往组织政策页面：

   转到组织政策

   如果您使用搜索栏查找此页面，请选择子标题为 IAM 和管理的结果。

2. 选择您的组织。

3. 查看 ID 为 constraints/gcp.resourceLocations 的约束条件，并根据需要对其进行更新。如果未配置此限制条件 则不需要更新。

   有关如何查看特定约束条件以及如何修改 请参阅 创建和修改政策。

配置 Logging 的默认存储位置

如需为 Cloud Logging 配置默认存储位置，请运行 gcloud logging settings update 命令并添加 --storage-location 标志：

gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION

gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION

如果您无法使用 Google Cloud CLI，请运行 Cloud Logging API 方法 updateSettings。

如需了解如何解决更新默认存储位置时出现的错误，请参阅排查设置默认资源位置时出现的问题。

配置 _Default 接收器

Logging 提供预定义的 每个接收器有 _Default 个接收器 Google Cloud 项目、结算账号、文件夹和组织资源。不限 这是在与包含过滤器匹配的资源中生成的日志， 将被路由到资源的预定义 名为 _Default 的存储桶。

您可以为 _Default 接收器配置 组织和文件夹。

• 您可以禁止为新的子资源创建 _Default 接收器。

• 您可以配置一个或多个适用的包含过滤器 发送到新项目的 _Default 接收器。

停用 _Default 接收器

您可以为组织或文件夹中的所有新资源停用 _Default 接收器；停用 _Default 接收器可防止日志存储在资源的 _Default 存储桶中。如果您停止在资源的 _Default 存储桶中存储日志，则原本会路由到该存储桶的日志将从 Logging 中存储的范围中排除，除非这些日志明确包含在该资源的其他用户定义的接收器中。

为某项资源及其任何子级停用 _Default 接收器 请运行以下命令 gcloud logging settings update 命令：

gcloud logging settings update --folder=FOLDER_ID--disable-default-sink

gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink

disable-default-sink 标志仅适用于路由的 _Default 接收器 登录 _Default 存储桶。

您可以通过运行以下命令重新启用 _Default 接收器 gcloud logging settings update 命令：

gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink

gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink

配置 _Default 个接收器的默认过滤条件

预定义的“_Default”接收器会路由与该接收器匹配的所有日志条目 添加到相应的 _Default 存储桶。您可以发送 Cloud Logging API 命令，以替换 _Default 接收器中的内置包含过滤条件或附加过滤条件。_Default 接收器的内置排除过滤条件为空。不过，您还可以使用 API 命令添加排除项过滤条件。

如需指定要应用于组织或文件夹中新资源的所有 _Default 接收器的包含过滤条件或排除过滤条件，请运行 Cloud Logging API 方法 updateSettings 并指定 defaultSinkConfig 对象。

您可以使用updateSettings 方法参考页面上的 APIs Explorer 微件。通过 以下示例展示了示例参数：

• 名称（网址）：organizations/ORGANIZATION_ID/settings
• updateMask："default_sink_config"

• 请求正文，其中包含一个 Settings 实例：

  "defaultSinkConfig": {
    {
    "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") "
    "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") "
    "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") "
    "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") "
    "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ",
    "exclusions": [
       {
          "name": "exclude-data-access",
          "description": "Prevents Data Access audit logs from being routed",
          "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")",
       }
    ],
    "mode": OVERWRITE
    }
  }
  

_Default 接收器的内置包含过滤条件包含语句 AND NOT LOG_ID("externalaudit.googleapis.com/activity")，该语句会阻止将管理员活动审核日志路由到 _Default 日志存储桶。在前面的示例中，包含过滤条件已更改，以便将管理员活动审核日志路由到 _Default 日志存储桶。示例 还添加了一个排除项过滤器，以防止数据访问审核日志被 路由到 _Default 存储桶。

排查配置错误

如需了解问题排查信息，请参阅排查 CMEK 和默认设置错误。