In diesem Dokument werden Log-Buckets vorgestellt. Das sind die Container, in denen Cloud Logging Ihre Logdaten speichert. Sie enthält Informationen zum Speicherort, zur Verwaltung des Verschlüsselungsschlüssels und zur Datenaufbewahrung für Log-Buckets. Außerdem wird erläutert, wo Sie Organisationsrichtlinien oder Standardressourceneinstellungen verwenden können, um den Speicherort und die Verschlüsselung für neue Log-Buckets in Ordnern oder Organisationen zu steuern.
Log-Buckets
In Cloud Logging werden inaktive Kundendaten standardmäßig verschlüsselt. In Log-Buckets von Logging gespeicherte Daten werden mit Schlüsselverschlüsselungsschlüsseln verschlüsselt. Dieser Vorgang wird als Envelope-Verschlüsselung bezeichnet. Der Zugriff auf Ihre Logging-Daten erfordert den Zugriff auf diese Schlüsselverschlüsselungsschlüssel. Standardmäßig sind das Google-owned and Google-managed encryption keys und Sie müssen nichts weiter tun.
Ihre Organisation hat möglicherweise rechtliche, Compliance-bezogene oder erweiterte Verschlüsselungsanforderungen, die unsere Standardverschlüsselung ruhender Daten nicht erfüllt. AnstattGoogle-owned and Google-managed encryption keyszu verwenden, können Sie Ihre Schlüssel selbst verwalten.
Log-Buckets sind regionale Ressourcen mit einem festen Standort. Google Cloud verwaltet diese Infrastruktur, sodass Ihre Anwendungen in den Zonen innerhalb dieser Region redundant verfügbar sind.
Die Aufbewahrungsdauer für die in einem Log-Bucket gespeicherten Daten hängt vom Log-Bucket ab. Dieses Dokument enthält Informationen zur Datenaufbewahrung.
Sie können Logansichten für einen Log-Bucket erstellen. Eine Logansicht bietet Zugriff auf nur eine Teilmenge der in einem Log-Bucket gespeicherten Logdaten. Für jeden Log-Bucket erstellt Cloud Logging automatisch eine Log-Ansicht, die Zugriff auf jeden Logeintrag im Log-Bucket bietet. Sie steuern den Zugriff auf eine Logansicht mithilfe von Identity and Access Management (IAM).
Verwenden Sie den Log-Explorer oder die Seiten für die Loganalyse in der Google Cloud -Konsole, um Ihre Logdaten abzufragen und anzusehen:
Auf der Seite „Logs Explorer“ können Sie die Leistung Ihrer Dienste und Anwendungen analysieren und Fehler beheben. Sie können sich einzelne Logeinträge ansehen und Ihre Logdaten filtern. Diese Oberfläche hat eine Bereichseinstellung, mit der Sie Logdaten nach Projekt, Log-Bucket oder Logansicht suchen können.
Die Seite „Loganalysen“ bietet eine SQL-Schnittstelle, mit der Sie eine aggregierte Analyse Ihrer Logdaten durchführen können, die in einem Log-Bucket gespeichert sind, das für die Verwendung von Analysen aktualisiert wurde. Mit dieser Schnittstelle können Sie beispielsweise Trends berechnen und darstellen. Sie können Protokollansichten und Analytics-Ansichten abfragen.
Weitere Informationen finden Sie unter Logeinträge abfragen und ansehen.
Unterstützung für Organisationen und Ordner
Damit Ihre Organisation Compliance- und behördliche Anforderungen erfüllen kann, werden beim Logging sowohl Organisationsrichtlinien als auch Standardressourceneinstellungen unterstützt:
In den Standardeinstellungen für Ressourcen wird der Speicherort und die Verwaltung von Verschlüsselungsschlüsseln für systemgenerierte Log-Buckets angegeben, wenn neue Ressourcen in einem Ordner oder einer Organisation erstellt werden. Sie können beispielsweise erzwingen, dass diese vom System erstellten Log-Buckets sich an einem bestimmten Ort befinden.
Mit einer Organisationsrichtlinie können Sie den Standort neuer benutzerdefinierter Log-Buckets einschränken. Das Logging unterstützt Organisationsrichtlinien, in denen Regionen angegeben werden, in denen Log-Buckets erstellt werden können oder nicht.
Vom System erstellte Log-Buckets
Für jedes Google Cloud Projekt, Rechnungskonto, Ordner oder jede Organisation erstellt Cloud Logging zwei Log-Buckets: _Required und _Default. Sofern keine Standardressourceneinstellungen konfiguriert sind, haben diese Log-BucketsGoogle-owned and Google-managed encryption keys und Cloud Logging wählt ihren Standort aus.
Sie können die vom System erstellten Log-Buckets nicht löschen.
Sie können von Systemen erstellte Log-Buckets upgraden, um Analysen zu verwenden. Nach dem Upgrade können Sie Ihre Logdaten über die Seite Loganalysen abfragen, die SQL unterstützt.
_Required Log-Bucket
Im Log-Bucket _Required werden Logeinträge gespeichert, die für Compliance- oder Auditzwecke erforderlich sind. Aus diesem Grund können Sie diesen Log-Bucket nicht löschen und auch nicht ändern, welche Logeinträge darin gespeichert werden.
Logeinträge in diesem Log-Bucket werden 400 Tage lang aufbewahrt. Sie können diese Aufbewahrungsdauer nicht ändern.
Die Logeinträge, die im _Required-Log-Bucket für eine Ressource gespeichert sind, stammen auch aus dieser Ressource. Das bedeutet, dass im _Required-Log-Bucket in einem Google Cloud -Projekt nur Logeinträge gespeichert werden können, die aus diesem Projekt stammen.
Im Log-Bucket _Required werden die folgenden Arten von Logeinträgen gespeichert:
- Audit-Logs zur Administratoraktivität
- Audit-Logs zu Systemereignissen
- Admin-Audit-Logs von Google Workspace
- Audit-Logs zu Unternehmensgruppen
- Audit-Logs für die Anmeldung
_Default Log-Bucket
Im Log-Bucket _Default werden Logeinträge gespeichert, die nicht automatisch im Log-Bucket _Required gespeichert werden. Der Log-Bucket _Default wurde vom System erstellt und kann daher nicht gelöscht werden. Sie können jedoch ändern, welche Logeinträge in diesem Log-Bucket gespeichert werden.
Cloud Logging speichert die Logeinträge im _Default-Bucket 30 Tage lang, es sei denn, Sie konfigurieren die benutzerdefinierte Aufbewahrungsregeln für den Bucket.
In diesem Log-Bucket werden beispielsweise folgende Informationen gespeichert:
- Audit-Logs zum Datenzugriff.
- Audit-Logs zu Richtlinienverstößen
- Von Anwendungen und Google Cloud -Diensten generierte Logs.
Benutzerdefinierte Log-Buckets
Sie können benutzerdefinierte Log-Buckets in jedemGoogle Cloud -Projekt erstellen. Wenn Sie einen benutzerdefinierten Log-Bucket erstellen, wählen Sie den Speicherort aus und legen den Zeitraum für die Datenaufbewahrung fest. Sie haben die Möglichkeit, einen vom Kunden verwalteten Verschlüsselungsschlüssel anzugeben.
Sie können benutzerdefinierte Log-Buckets upgraden, um Analysen zu verwenden. Nach dem Upgrade können Sie Ihre Logdaten über die Seite Loganalysen abfragen, die SQL unterstützt.
Sie können benutzerdefinierte Log-Buckets ändern und löschen. Um zu verhindern, dass ein Log-Bucket gelöscht wird, in dem Logeinträge gespeichert sind, die sich noch innerhalb ihres Aufbewahrungszeitraums befinden, können Sie den Log-Bucket gegen Aktualisierungen sperren.
Zugriff auf einen Log-Bucket steuern
Der Zugriff auf Logdaten wird über IAM-Berechtigungen und -Rollen gesteuert. Sie haben zum Beispiel folgende Möglichkeiten:
- Lese- und Bearbeitungszugriff auf einen Log-Bucket gewähren
- Sie können den Bearbeitungszugriff auf einen Log-Bucket basierend auf der Gruppenmitgliedschaft mithilfe von Tags gewähren.
- Sie können den Zugriff auf bestimmte Felder in einem Logeintrag steuern, indem Sie Zugriff auf Feldebene für einen Log-Bucket konfigurieren.
Sie können Zugriff auf eine Teilmenge von Logeinträgen in einem Log-Bucket gewähren, indem Sie eine Logansicht für diesen Log-Bucket erstellen.
Jeder Log-Bucket hat eine Standardlogansicht, die in der Regel alle Logeinträge im Log-Bucket enthält. Für den Log-Bucket
_Defaultwerden in der Standardlogansicht keine Datenzugriffslog-Einträge angezeigt.
Damit ein Nutzer Logeinträge ansehen und analysieren kann, wird ihm in der Regel eine der folgenden IAM-Rollen zugewiesen:
Rolle Log-Betrachter (
roles/logging.viewer): Gewährt Zugriff auf alle Logeinträge im Bucket_Requiredund auf die Standardlogansicht im Bucket_Default.Rolle Betrachter privater Logs (
roles/logging.privateLogViewer): Gewährt Zugriff auf alle Logs in den Buckets_Requiredund_Default, einschließlich der Logs zum Datenzugriff.
Wenn Sie benutzerdefinierte Log-Buckets oder Log-Ansichten für Log-Buckets erstellen, sind zusätzliche Berechtigungen erforderlich. Weitere Informationen zu Rollen finden Sie unter Zugriffssteuerung mit IAM.
Liste der unterstützten Regionen
Log-Buckets sind regionale Ressourcen. Die Infrastruktur, in der Ihre Logeinträge gespeichert, indexiert und durchsucht werden, befindet sich an einem bestimmten geografischen Standort. Mit Ausnahme von Log-Buckets in den Regionen global, eu oder us Google Cloud verwaltet die Infrastruktur so, dass Ihre Anwendungen in den Zonen innerhalb der Region des Log-Buckets redundant verfügbar sind.
Die folgenden Regionen werden von Cloud Logging unterstützt:
Global
| Name der Region | Beschreibung der Region |
|---|---|
global |
Protokolle, die in Rechenzentren auf der ganzen Welt gespeichert sind. Logs können in andere Rechenzentren verschoben werden. Im Gegensatz zu anderen globalen Ressourcen in Google Cloud bieten globale Log-Buckets in Cloud Logging keine zusätzlichen Redundanzgarantien im Vergleich zu einem regionalen Log-Bucket. |
Multiregional: EU und USA
| Name der Region | Beschreibung der Region |
|---|---|
eu |
Protokolle, die in Rechenzentren in der Europäischen Union gespeichert sind. Logs können in andere Rechenzentren verschoben werden. Keine zusätzlichen Garantien für Redundanz. |
us |
Protokolle, die in Rechenzentren in den USA gespeichert sind. Logs können in andere Rechenzentren verschoben werden. Keine zusätzlichen Garantien für Redundanz. |
Afrika
| Name der Region | Beschreibung der Region |
|---|---|
africa-south1 |
Johannesburg |
Nord- und Südamerika
| Name der Region | Beschreibung der Region |
|---|---|
northamerica-northeast1 |
Montreal |
northamerica-northeast2 |
Toronto |
northamerica-south1 |
Mexiko |
southamerica-east1 |
São Paulo |
southamerica-west1 |
Santiago |
us-central1 |
Iowa |
us-east1 |
South Carolina |
us-east4 |
North Virginia |
us-east5 |
Columbus |
us-south1 |
Dallas |
us-west1 |
Oregon |
us-west2 |
Los Angeles |
us-west3 |
Salt Lake City |
us-west4 |
Las Vegas |
Asiatisch-pazifischer Raum
| Name der Region | Beschreibung der Region |
|---|---|
asia-east1 |
Taiwan |
asia-east2 |
Hongkong |
asia-northeast1 |
Tokio |
asia-northeast2 |
Osaka |
asia-northeast3 |
Seoul |
asia-south1 |
Mumbai |
asia-south2 |
Delhi |
asia-southeast1 |
Singapur |
asia-southeast2 |
Jakarta |
australia-southeast1 |
Sydney |
australia-southeast2 |
Melbourne |
Europa
| Name der Region | Beschreibung der Region |
|---|---|
europe-central2 |
Warschau |
europe-north1 |
Finnland |
europe-north2 |
Stockholm |
europe-southwest1 |
Madrid |
europe-west1 |
Belgien |
europe-west2 |
London |
europe-west3 |
Frankfurt |
europe-west4 |
Niederlande |
europe-west6 |
Zürich |
europe-west8 |
Mailand |
europe-west9 |
Paris |
europe-west10 |
Berlin |
europe-west12 |
Turin |
Naher Osten
| Name der Region | Beschreibung der Region |
|---|---|
me-central1 |
Doha |
me-central2 |
Dammam |
me-west1 |
Tel Aviv |
Nächste Schritte
- Routenprotokolldaten
- Logeinträge abfragen und ansehen
- Log-Buckets konfigurieren und verwalten
- Standardeinstellungen für Organisationen und Ordner konfigurieren