本文档介绍了如何为以下各项配置默认设置: 使用 Google Cloud CLI 进行日志记录。 可应用于组织的默认设置 或文件夹,可以确定以下内容:
- 是否需要为新的日志存储桶使用客户管理的加密密钥 (CMEK)。
- 新 Pod 的存储位置
_Default
和_Required
存储分区, 日志浏览器或日志分析页面中运行的查询。
_Default
接收器是处于启用状态还是已停用。应用于新资源的
_Default
接收器的过滤条件。
概览
组织资源处于 Google Cloud 资源层次结构。 组织资源是以下子资源的父级:Google Cloud 项目、文件夹、结算账号,以及日志记录方面的日志分桶。
您可以将 Logging 配置为使用 Google Cloud 组织和文件夹。创建新资源时,这些资源会继承其父级的默认设置。
Cloud Logging 支持以下默认设置:
是否要使用客户管理的密钥对资源中的新日志存储桶进行加密,如果要加密,则要使用的默认 Cloud KMS 密钥。
新 Pod 的存储位置
_Default
和_Required
日志存储分区 由子资源创建的 日志浏览器或日志分析页面保存的查询。 通过设置存储位置,您可以 控制日志的存储位置。如果您为资源设置默认存储位置,但未配置 CMEK,则资源中的新日志存储分区不需要 CMEK。
为资源中的新项目启用还是停用
_Default
日志接收器。应用于子资源中的所有新
_Default
接收器的包含过滤条件或排除过滤条件。
配置示例:
- 您可以为组织配置默认存储位置。
对于组织中的新项目,
_Default
和_Required
系统会在指定位置创建日志存储分区。 此外,日志浏览器或日志分析页面保存的查询也会存储 指定位置这些查询包括 运行后自动保存的查询,以及由 Google Cloud 项目。
您为组织配置默认存储位置, 为该组织中的每个文件夹配置默认存储位置。 对于文件夹中的新项目,
_Default
和_Required
存储分区 会在文件夹设置指定的位置创建。对于项目 不在文件夹中的此类实例及其_Default
和_Required
存储分区 将在组织设置指定的位置创建。您为一个组织和名为
Non-CMEK
的文件夹配置了 CMEK 您只需设置默认存储位置即可。如果您创建项目 文件不在名为Non-CMEK
的文件夹中,则_Default
和_Required
存储分区的创建位置与 Cloud Key Management Service 密钥,而这些日志存储分区由该密钥加密。 但是,如果您在名为Non-CMEK
的文件夹中创建一个新项目, 其日志存储分区是在该文件夹的 并且这些日志存储分区不会由 CMEK 加密。您可以配置一个排除项过滤条件,以应用于
_Default
组织级别。过滤器会排除数据访问审核日志 通过所有子资源中的_Default
接收器进行路由,这会阻止_Default
存储桶中存储的数据访问审核日志。
准备工作
本文档不包含有关如何将 CMEK 配置为 Logging 的默认设置的信息。有关该主题的信息,请参阅 为 Logging 配置 CMEK。
如需开始配置 Logging 的默认设置,请执行以下操作:
-
Install the Google Cloud CLI, then initialize it by running the following command:
gcloud init
请确保您对组织或文件夹拥有的 Identity and Access Management 角色 您要配置的默认设置包括 以下 Cloud Logging 权限:
logging.settings.get
logging.settings.update
确定要存储日志和查询的位置。 如需查看受支持的存储位置列表,请参阅 数据区域性:支持的区域。
查看“日志记录”的默认设置
如需查看 Logging 的默认设置,请执行以下操作:
包括默认存储位置,请使用
gcloud logging settings describe
命令:
文件夹
gcloud logging settings describe --folder=FOLDER_ID
在运行上一个命令之前,请进行以下替换:
- FOLDER_ID:文件夹的唯一数字标识符。有关使用文件夹的信息,请参阅 创建和管理文件夹。
单位
gcloud logging settings describe --organization=ORGANIZATION_ID
在运行上一个命令之前,请进行以下替换:
- ORGANIZATION_ID:唯一数字 组织的标识符。如需了解如何获取此标识符,请参阅 获取您的组织 ID。
上一条命令会返回有关默认设置的信息。 例如,下面显示了 特定组织:
name: organizations/ORGANIZATION_ID/settings kmsKeyName: KMS_KEY_NAME kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com storageLocation: europe-west1 disableDefaultSink: false
SERVICE_ACCT_NAME 的值可以采用 cmek-12345
或 service-12345@...
格式。如果您无法使用 Google Cloud CLI,请运行
Cloud Logging API 方法 getSettings
。
设置默认存储位置
日志存储分区是存储分区中的容器
Google Cloud 项目、结算账号、文件夹和组织
和整理日志数据对于每个 Google Cloud 项目、结算账号
Logging 会自动创建两个日志
存储分区:_Required
和 _Default
,它们会自动存储在
global
位置。
为组织或文件夹设置默认存储位置后,
您可以指定在什么位置创建新的 _Required
和 _Default
日志存储分区
以及您在日志浏览器和日志分析中运行的查询
页面。设置默认存储位置不会影响
现有日志存储分区的位置。同样,对于
它们的存储位置不会改变。
为组织配置默认存储位置后,或 则会发生以下情况:
- 对于在组织或文件夹中创建的新子资源,其
_Required
和_Default
存储分区会继承默认存储位置。
- 您在日志浏览器或日志分析页面运行的新查询 会保存在默认存储位置。 此位置也适用于自动保存的近期查询。
Cloud Logging 的默认存储位置不适用于 用户定义的日志存储分区,或者使用 Logging API 保存的查询。
配置组织政策
Logging 支持的组织政策 限制数据的存储位置。 如果您的组织有这样的政策,那么您只能 在政策允许的位置创建日志存储分区。
如果存在指定位置限制条件的组织政策, 限制条件的政策值必须包含在 Logging 的默认设置。 此外,如果您打算修改默认设置,请先查看组织政策,并根据需要更新这些政策,然后再更新默认设置。
如需查看或更新组织政策,请执行以下操作:
-
在 Google Cloud 控制台中,前往组织政策页面:
如果您使用搜索栏查找此页面,请选择子标题为 IAM 和管理的结果。
选择您的组织。
查看 ID 为
constraints/gcp.resourceLocations
的约束条件,并根据需要对其进行更新。如果未配置此限制条件 则不需要更新。有关如何查看特定约束条件以及如何修改 请参阅 创建和修改政策。
配置 Logging 的默认存储位置
如需为 Cloud Logging 配置默认存储位置,请运行
gcloud logging settings update
命令并添加 --storage-location
标志:
文件夹
gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION
在运行上一个命令之前,请先进行以下替换:
单位
gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION
在运行上一个命令之前,请先进行以下替换:
如果您无法使用 Google Cloud CLI,请运行
Cloud Logging API 方法 updateSettings
。
如需了解如何解决更新默认存储位置时出现的错误,请参阅排查设置默认资源位置时出现的问题。
配置 _Default
接收器
Logging 提供预定义的
每个接收器有 _Default
个接收器
Google Cloud 项目、结算账号、文件夹和组织资源。不限
这是在与包含过滤器匹配的资源中生成的日志,
将被路由到资源的预定义
名为 _Default
的存储桶。
您可以为 _Default
接收器配置
组织和文件夹。
您可以禁止为新的子资源创建
_Default
接收器。您可以配置一个或多个适用的包含过滤器 发送到新项目的
_Default
接收器。
停用 _Default
接收器
您可以为组织或文件夹中的所有新资源停用 _Default
接收器;停用 _Default
接收器可防止日志存储在资源的 _Default
存储桶中。如果您停止在资源的 _Default
存储桶中存储日志,则原本会路由到该存储桶的日志将从 Logging 中存储的范围中排除,除非这些日志明确包含在该资源的其他用户定义的接收器中。
为某项资源及其任何子级停用 _Default
接收器
请运行以下命令
gcloud logging settings update
命令:
文件夹
gcloud logging settings update --folder=FOLDER_ID--disable-default-sink
在运行上一个命令之前,请进行以下替换:
- FOLDER_ID:文件夹的唯一数字标识符。有关使用文件夹的信息,请参阅 创建和管理文件夹。
单位
gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink
在运行上一个命令之前,请进行以下替换:
- ORGANIZATION_ID:唯一数字 组织的标识符。如需了解如何获取此标识符,请参阅 获取您的组织 ID。
disable-default-sink
标志仅适用于路由的 _Default
接收器
登录 _Default
存储桶。
您可以通过运行以下命令重新启用 _Default
接收器
gcloud logging settings update
命令:
文件夹
gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink
单位
gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink
配置 _Default
个接收器的默认过滤条件
预定义的“_Default
”接收器会路由与该接收器匹配的所有日志条目
添加到相应的 _Default
存储桶。您可以发送 Cloud Logging API 命令,以替换 _Default
接收器中的内置包含过滤条件或附加过滤条件。_Default
接收器的内置排除过滤条件为空。不过,您还可以使用 API 命令添加排除项过滤条件。
如需指定要应用于组织或文件夹中新资源的所有 _Default
接收器的包含过滤条件或排除过滤条件,请运行 Cloud Logging API 方法 updateSettings
并指定 defaultSinkConfig
对象。
您可以使用updateSettings
方法参考页面上的 APIs Explorer 微件。通过
以下示例展示了示例参数:
- 名称(网址):
organizations/ORGANIZATION_ID/settings
- updateMask:
"default_sink_config"
请求正文,其中包含一个
Settings
实例:"defaultSinkConfig": { { "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ", "exclusions": [ { "name": "exclude-data-access", "description": "Prevents Data Access audit logs from being routed", "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")", } ], "mode": OVERWRITE } }
_Default
接收器的内置包含过滤条件包含语句 AND NOT LOG_ID("externalaudit.googleapis.com/activity")
,该语句会阻止将管理员活动审核日志路由到 _Default
日志存储桶。在前面的示例中,包含过滤条件已更改,以便将管理员活动审核日志路由到 _Default
日志存储桶。示例
还添加了一个排除项过滤器,以防止数据访问审核日志被
路由到 _Default
存储桶。
排查配置错误
如需了解问题排查信息,请参阅排查 CMEK 和默认设置错误。