为组织和文件夹配置默认设置

本文档介绍了如何为以下各项配置默认设置: 使用 Google Cloud CLI 进行日志记录。 可应用于组织的默认设置 或文件夹,可以确定以下内容:

  • 是否需要为新的日志存储桶使用客户管理的加密密钥 (CMEK)。
  • _Default 接收器是处于启用状态还是已停用。

  • 应用于新资源的 _Default 接收器的过滤条件。

概览

组织资源处于 Google Cloud 资源层次结构。 组织资源是以下子资源的父级:Google Cloud 项目、文件夹、结算账号,以及日志记录方面的日志分桶

您可以将 Logging 配置为使用 Google Cloud 组织和文件夹。创建新资源时,这些资源会继承其父级的默认设置。

Cloud Logging 支持以下默认设置:

  • 是否要使用客户管理的密钥对资源中的新日志存储桶进行加密,如果要加密,则要使用的默认 Cloud KMS 密钥。

  • 为资源中的新项目启用还是停用 _Default 日志接收器

  • 应用于子资源中的所有新 _Default 接收器的包含过滤条件或排除过滤条件。

配置示例:

  • 您可以为组织配置默认存储位置。 对于组织中的新项目,_Default_Required 系统会在指定位置创建日志存储分区。 此外,日志浏览器日志分析页面保存的查询也会存储 指定位置这些查询包括 运行后自动保存的查询,以及由 Google Cloud 项目。
  • 您为组织配置默认存储位置, 为该组织中的每个文件夹配置默认存储位置。 对于文件夹中的新项目,_Default_Required 存储分区 会在文件夹设置指定的位置创建。对于项目 不在文件夹中的此类实例及其 _Default_Required 存储分区 将在组织设置指定的位置创建。

  • 您为一个组织和名为 Non-CMEK 的文件夹配置了 CMEK 您只需设置默认存储位置即可。如果您创建项目 文件不在名为 Non-CMEK 的文件夹中,则 _Default_Required 存储分区的创建位置与 Cloud Key Management Service 密钥,而这些日志存储分区由该密钥加密。 但是,如果您在名为 Non-CMEK 的文件夹中创建一个新项目, 其日志存储分区是在该文件夹的 并且这些日志存储分区不会由 CMEK 加密。

  • 您可以配置一个排除项过滤条件,以应用于_Default 组织级别。过滤器会排除数据访问审核日志 通过所有子资源中的 _Default 接收器进行路由,这会阻止 _Default 存储桶中存储的数据访问审核日志。

准备工作

本文档不包含有关如何将 CMEK 配置为 Logging 的默认设置的信息。有关该主题的信息,请参阅 为 Logging 配置 CMEK

如需开始配置 Logging 的默认设置,请执行以下操作:

  1. Install the Google Cloud CLI, then initialize it by running the following command:

    gcloud init
  2. 请确保您对组织或文件夹拥有的 Identity and Access Management 角色 您要配置的默认设置包括 以下 Cloud Logging 权限:

    • logging.settings.get
    • logging.settings.update
  3. 确定要存储日志和查询的位置。 如需查看受支持的存储位置列表,请参阅 数据区域性:支持的区域

查看“日志记录”的默认设置

如需查看 Logging 的默认设置,请执行以下操作: 包括默认存储位置,请使用 gcloud logging settings describe 命令:

文件夹

 gcloud logging settings describe --folder=FOLDER_ID

在运行上一个命令之前,请进行以下替换:

  • FOLDER_ID:文件夹的唯一数字标识符。有关使用文件夹的信息,请参阅 创建和管理文件夹

单位

gcloud logging settings describe --organization=ORGANIZATION_ID

在运行上一个命令之前,请进行以下替换:

  • ORGANIZATION_ID:唯一数字 组织的标识符。如需了解如何获取此标识符,请参阅 获取您的组织 ID

上一条命令会返回有关默认设置的信息。 例如,下面显示了 特定组织:

name: organizations/ORGANIZATION_ID/settings
kmsKeyName: KMS_KEY_NAME
kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
storageLocation: europe-west1
disableDefaultSink: false

SERVICE_ACCT_NAME 的值可以采用 cmek-12345service-12345@... 格式。如果您无法使用 Google Cloud CLI,请运行 Cloud Logging API 方法 getSettings

设置默认存储位置

日志存储分区是存储分区中的容器 Google Cloud 项目、结算账号、文件夹和组织 和整理日志数据对于每个 Google Cloud 项目、结算账号 Logging 会自动创建两个日志 存储分区:_Required_Default,它们会自动存储在 global 位置。

为组织或文件夹设置默认存储位置后, 您可以指定在什么位置创建新的 _Required_Default 日志存储分区 以及您在日志浏览器日志分析中运行的查询 页面。设置默认存储位置不会影响 现有日志存储分区的位置。同样,对于 它们的存储位置不会改变。

为组织配置默认存储位置后,或 则会发生以下情况:

  • 对于在组织或文件夹中创建的新子资源,其 _Required_Default 存储分区会继承默认存储位置。
  • 您在日志浏览器日志分析页面运行的新查询 会保存在默认存储位置。 此位置也适用于自动保存的近期查询。

Cloud Logging 的默认存储位置不适用于 用户定义的日志存储分区,或者使用 Logging API 保存的查询。

配置组织政策

Logging 支持的组织政策 限制数据的存储位置。 如果您的组织有这样的政策,那么您只能 在政策允许的位置创建日志存储分区。

如果存在指定位置限制条件的组织政策, 限制条件的政策值必须包含在 Logging 的默认设置。 此外,如果您打算修改默认设置,请先查看组织政策,并根据需要更新这些政策,然后再更新默认设置。

如需查看或更新组织政策,请执行以下操作:

  1. 在 Google Cloud 控制台中,前往组织政策页面:

    转到组织政策

    如果您使用搜索栏查找此页面,请选择子标题为 IAM 和管理的结果。

  2. 选择您的组织。

  3. 查看 ID 为 constraints/gcp.resourceLocations 的约束条件,并根据需要对其进行更新。如果未配置此限制条件 则不需要更新。

    有关如何查看特定约束条件以及如何修改 请参阅 创建和修改政策

配置 Logging 的默认存储位置

如需为 Cloud Logging 配置默认存储位置,请运行 gcloud logging settings update 命令并添加 --storage-location 标志:

文件夹

gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION

在运行上一个命令之前,请先进行以下替换:

  • FOLDER_ID:文件夹的唯一数字标识符。有关使用文件夹的信息,请参阅 创建和管理文件夹
  • LOCATION:新 _Default_Required 创建日志存储分区,以及存储查询的位置。如需查看受支持的位置列表,请参阅支持的区域

单位

gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION

在运行上一个命令之前,请先进行以下替换:

  • ORGANIZATION_ID:唯一数字 组织的标识符。如需了解如何获取此标识符,请参阅 获取您的组织 ID
  • LOCATION:用于创建新的 _Default_Required 日志存储桶以及存储查询的位置。如需查看受支持位置的列表,请参阅 支持的区域

如果您无法使用 Google Cloud CLI,请运行 Cloud Logging API 方法 updateSettings

如需了解如何解决更新默认存储位置时出现的错误,请参阅排查设置默认资源位置时出现的问题

配置 _Default 接收器

Logging 提供预定义的 每个接收器有 _Default 个接收器 Google Cloud 项目、结算账号、文件夹和组织资源。不限 这是在与包含过滤器匹配的资源中生成的日志, 将被路由到资源的预定义 名为 _Default 的存储桶。

您可以为 _Default 接收器配置 组织和文件夹。

  • 您可以禁止为新的子资源创建 _Default 接收器。

  • 您可以配置一个或多个适用的包含过滤器 发送到新项目的 _Default 接收器。

停用 _Default 接收器

您可以为组织或文件夹中的所有新资源停用 _Default 接收器;停用 _Default 接收器可防止日志存储在资源的 _Default 存储桶中。如果您停止在资源的 _Default 存储桶中存储日志,则原本会路由到该存储桶的日志将从 Logging 中存储的范围中排除,除非这些日志明确包含在该资源的其他用户定义的接收器中。

为某项资源及其任何子级停用 _Default 接收器 请运行以下命令 gcloud logging settings update 命令:

文件夹

gcloud logging settings update --folder=FOLDER_ID--disable-default-sink

在运行上一个命令之前,请进行以下替换:

  • FOLDER_ID:文件夹的唯一数字标识符。有关使用文件夹的信息,请参阅 创建和管理文件夹

单位

gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink

在运行上一个命令之前,请进行以下替换:

  • ORGANIZATION_ID:唯一数字 组织的标识符。如需了解如何获取此标识符,请参阅 获取您的组织 ID

disable-default-sink 标志仅适用于路由的 _Default 接收器 登录 _Default 存储桶。

您可以通过运行以下命令重新启用 _Default 接收器 gcloud logging settings update 命令:

文件夹

gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink

单位

gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink

配置 _Default 个接收器的默认过滤条件

预定义的“_Default”接收器会路由与该接收器匹配的所有日志条目 添加到相应的 _Default 存储桶。您可以发送 Cloud Logging API 命令,以替换 _Default 接收器中的内置包含过滤条件或附加过滤条件。_Default 接收器的内置排除过滤条件为空。不过,您还可以使用 API 命令添加排除项过滤条件

如需指定要应用于组织或文件夹中新资源的所有 _Default 接收器的包含过滤条件或排除过滤条件,请运行 Cloud Logging API 方法 updateSettings 并指定 defaultSinkConfig 对象。

您可以使用updateSettings 方法参考页面上的 APIs Explorer 微件。通过 以下示例展示了示例参数:

  • 名称(网址):organizations/ORGANIZATION_ID/settings
  • updateMask"default_sink_config"
  • 请求正文,其中包含一个 Settings 实例:

    "defaultSinkConfig": {
      {
      "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") "
      "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") "
      "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") "
      "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") "
      "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ",
      "exclusions": [
         {
            "name": "exclude-data-access",
            "description": "Prevents Data Access audit logs from being routed",
            "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")",
         }
      ],
      "mode": OVERWRITE
      }
    }
    

_Default 接收器的内置包含过滤条件包含语句 AND NOT LOG_ID("externalaudit.googleapis.com/activity"),该语句会阻止将管理员活动审核日志路由到 _Default 日志存储桶。在前面的示例中,包含过滤条件已更改,以便将管理员活动审核日志路由到 _Default 日志存储桶。示例 还添加了一个排除项过滤器,以防止数据访问审核日志被 路由到 _Default 存储桶。

排查配置错误

如需了解问题排查信息,请参阅排查 CMEK 和默认设置错误