Questo documento introduce i bucket di log, ovvero i container che Cloud Logging utilizza per archiviare i dati di log. Fornisce informazioni su posizione, gestione della chiave di crittografia e conservazione dei dati per i bucket log. Inoltre, evidenzia dove puoi utilizzare le policy dell'organizzazione o le impostazioni predefinite delle risorse per controllare la posizione e la crittografia dei nuovi bucket di log nelle cartelle o nelle organizzazioni.
Informazioni sui bucket di log
Per impostazione predefinita, Cloud Logging cripta i contenuti inattivi dei clienti. I dati archiviati nei bucket dei log da Logging vengono criptati utilizzando chiavi di crittografia delle chiavi, un processo noto come crittografia envelope. L'accesso ai dati di logging richiede l'accesso a queste chiavi di crittografia delle chiavi. Per impostazione predefinita, questi sono Google-owned and Google-managed encryption keys e non richiedono alcuna azione da parte tua.
La tua organizzazione potrebbe avere requisiti normativi, di conformità o di crittografia avanzata che la nostra crittografia at-rest predefinita non fornisce. Per soddisfare i requisiti della tua organizzazione, anziché utilizzare Google-owned and Google-managed encryption keys, puoi gestire le tue chiavi.
I bucket di log sono risorse regionali con una posizione fissa. Google Cloud gestisce l'infrastruttura in modo che le tue applicazioni siano disponibili in modo ridondante nelle zone all'interno di quella regione.
Il periodo di conservazione dei dati archiviati da un bucket dei log dipende dal bucket dei log. Questo documento contiene informazioni sulla conservazione dei dati.
Puoi creare visualizzazioni dei log in un bucket di log. Una visualizzazione log fornisce l'accesso solo a un sottoinsieme dei dati di log archiviati in un bucket di log. Per ogni bucket di log, Cloud Logging crea automaticamente una visualizzazione di log che fornisce l'accesso a ogni voce di log nel bucket di log. Controlli l'accesso a una visualizzazione log utilizzando Identity and Access Management (IAM).
Per eseguire query e visualizzare i dati dei log, utilizza le pagine Esplora log o Log Analytics della console Google Cloud :
La pagina Esplora log ti aiuta a risolvere i problemi e analizzare le prestazioni dei tuoi servizi e delle tue applicazioni. Puoi visualizzare le singole voci di log e filtrare i dati di log. Questa interfaccia ha un'impostazione dell'ambito, che consente di cercare i dati di log per progetto, bucket di log o visualizzazione log.
La pagina Analisi dei log offre un'interfaccia SQL che consente di eseguire analisi aggregate sui dati di log archiviati in un bucket di log di cui è stato eseguito l'upgrade per utilizzare l'analisi. Ad esempio, utilizza questa interfaccia per calcolare e rappresentare graficamente le tendenze. Puoi eseguire query su viste dei log e viste di analisi.
Per saperne di più, consulta Eseguire query e visualizzare le voci di log.
Supporto per organizzazioni e cartelle
Per aiutare la tua organizzazione a soddisfare le esigenze di conformità e normative, Logging supporta sia i criteri dell'organizzazione sia le impostazioni predefinite delle risorse:
Le impostazioni predefinite delle risorse specificano la posizione e la modalità di gestione delle chiavi di crittografia per i bucket log creati dal sistema quando vengono create nuove risorse in una cartella o un'organizzazione. Ad esempio, puoi forzare questi bucket di log creati dal sistema a trovarsi in una posizione specifica.
Un criterio dell'organizzazione può limitare la posizione dei nuovi bucket di log definiti dall'utente. La registrazione supporta i criteri dell'organizzazione che specificano le regioni in cui è possibile o meno creare bucket log.
Bucket di log creati dal sistema
Per ogni progetto, account di fatturazione, cartella o organizzazione Google Cloud ,
Cloud Logging crea due bucket di log, uno denominato _Required e l'altro
denominato _Default. A meno che non siano configurate le impostazioni predefinite delle risorse, per questi bucket di log, questi bucket hannoGoogle-owned and Google-managed encryption keys e Cloud Logging seleziona la loro posizione.
Non puoi eliminare i bucket di log creati dal sistema.
Puoi eseguire l'upgrade dei bucket di log creati dal sistema per utilizzare l'analisi. Questo upgrade ti consente di eseguire query sui dati di log utilizzando la pagina Analisi dei log, che supporta SQL.
_Required bucket di log
Il bucket di log _Required archivia le voci di log necessarie per la conformità
o per scopi di controllo. Per questo motivo, non puoi eliminare questo bucket log e non puoi modificare le voci di log archiviate in questo bucket log.
Le voci di log in questo bucket di log vengono conservate per
400 giorni; non puoi modificare questo periodo di conservazione.
Le voci di log archiviate nel bucket di log _Required per una risorsa
hanno origine anche in quella risorsa. ovvero il bucket di log _Required in un progetto Google Cloud può archiviare solo le voci di log provenienti da quel progetto.
Il bucket log _Required archivia i seguenti tipi di voci di log:
- Audit log delle attività di amministrazione
- Audit log degli eventi di sistema
- Audit log dell'amministratore di Google Workspace
- Log di controllo di Enterprise Groups
- Log di controllo degli accessi
_Default bucket di log
Il bucket di log _Default archivia le voci di log che non vengono archiviate automaticamente
nel bucket di log _Required. Poiché il bucket di log _Default è
stato creato dal sistema, non puoi eliminarlo. Tuttavia, puoi
modificare le voci di log archiviate in questo bucket di log.
Cloud Logging conserva le voci di log nel bucket _Default per 30 giorni, a meno che tu non configuri la conservazione personalizzata per il bucket.
Ad esempio, questo bucket di log memorizza:
- Audit log degli accessi ai dati.
- Audit log negati da criteri.
- Log generati da applicazioni e servizi. Google Cloud
Bucket di log definiti dall'utente
Puoi creare bucket di log definiti dall'utente in qualsiasi progettoGoogle Cloud . Quando crei un bucket di log definito dall'utente, selezioni la posizione e imposti il periodo di conservazione dei dati. Hai la possibilità di fornire una chiave di crittografia gestita dal cliente.
Puoi eseguire l'upgrade dei bucket di log definiti dall'utente per utilizzare l'analisi. Questo upgrade ti consente di eseguire query sui dati di log utilizzando la pagina Analisi dei log, che supporta SQL.
Puoi modificare ed eliminare i bucket di log definiti dall'utente. Per proteggerti dall'eliminazione di un bucket di log che archivia voci di log che rientrano nel periodo di conservazione, puoi bloccare il bucket di log per impedire gli aggiornamenti.
Controllare l'accesso a un bucket di log
I ruoli e le autorizzazioni IAM controllano l'accesso ai dati di log. Ad esempio, puoi eseguire tutte le seguenti operazioni:
- Concedi l'accesso in lettura e modifica a un bucket di log.
- Concedi l'accesso in modifica a un bucket log in base all'appartenenza al gruppo utilizzando i tag.
- Controlla l'accesso a campi specifici in una voce di log configurando l'accesso a livello di campo in un bucket di log.
Concedi l'accesso a un sottoinsieme di voci di log in un bucket di log creando una visualizzazione dei log in quel bucket di log.
Ogni bucket di log ha una visualizzazione di log predefinita, che in genere include ogni voce di log nel bucket di log. Per il bucket di log
_Default, la visualizzazione dei log predefinita esclude le voci dei log di accesso ai dati.
Per concedere a un utente le autorizzazioni necessarie per visualizzare e analizzare le voci di log, in genere viene concesso uno dei seguenti ruoli IAM:
Ruolo Logs Viewer (
roles/logging.viewer): concede l'accesso a tutte le voci di log nel bucket_Requirede alla visualizzazione log predefinita nel bucket_Default.Ruolo Visualizzatore log privati (
roles/logging.privateLogViewer): concede l'accesso a tutti i log nei bucket_Requirede_Default, inclusi i log di accesso ai dati.
Se crei bucket di log o visualizzazioni di log definiti dall'utente nei bucket di log, sono necessarie autorizzazioni aggiuntive. Per saperne di più sui ruoli, consulta Controllo dell'accesso con IAM.
Elenco delle regioni supportate
I bucket di log sono risorse a livello di regione. L'infrastruttura che archivia,
indicizza e cerca le voci di log si trova in una posizione geografica
specifica. Ad eccezione dei bucket di log nelle regioni global, eu o us, Google Cloud gestisce l'infrastruttura in modo che le tue applicazioni siano disponibili in modo ridondante nelle zone all'interno della regione del bucket di log.
Cloud Logging supporta le seguenti regioni:
Globale
| Nome regione | Descrizione della regione |
|---|---|
global |
Log archiviati in qualsiasi data center del mondo. I log potrebbero essere spostati in data center diversi. A differenza di altre risorse globali in Google Cloud, i bucket di log globali in Cloud Logging non forniscono garanzie di ridondanza aggiuntive rispetto a un bucket di log regionale. |
Multiregioni: UE e Stati Uniti
| Nome regione | Descrizione della regione |
|---|---|
eu |
Log archiviati in qualsiasi data center all'interno dell'Unione Europea. I log potrebbero essere spostati in data center diversi. Nessuna garanzia di ridondanza aggiuntiva. |
us |
Log archiviati in qualsiasi data center negli Stati Uniti. I log potrebbero essere spostati in data center diversi. Nessuna garanzia di ridondanza aggiuntiva. |
Africa
| Nome regione | Descrizione della regione |
|---|---|
africa-south1 |
Johannesburg |
Americhe
| Nome regione | Descrizione della regione |
|---|---|
northamerica-northeast1 |
Montréal |
northamerica-northeast2 |
Toronto |
northamerica-south1 |
Messico |
southamerica-east1 |
San Paolo |
southamerica-west1 |
Santiago |
us-central1 |
Iowa |
us-east1 |
Carolina del Sud |
us-east4 |
Virginia del Nord |
us-east5 |
Columbus |
us-south1 |
Dallas |
us-west1 |
Oregon |
us-west2 |
Los Angeles |
us-west3 |
Salt Lake City |
us-west4 |
Las Vegas |
Asia Pacifico
| Nome regione | Descrizione della regione |
|---|---|
asia-east1 |
Taiwan |
asia-east2 |
Hong Kong |
asia-northeast1 |
Tokyo |
asia-northeast2 |
Osaka |
asia-northeast3 |
Seul |
asia-south1 |
Mumbai |
asia-south2 |
Delhi |
asia-southeast1 |
Singapore |
asia-southeast2 |
Giacarta |
australia-southeast1 |
Sydney |
australia-southeast2 |
Melbourne |
Europa
| Nome regione | Descrizione della regione |
|---|---|
europe-central2 |
Varsavia |
europe-north1 |
Finlandia |
europe-north2 |
Stoccolma |
europe-southwest1 |
Madrid |
europe-west1 |
Belgio |
europe-west2 |
Londra |
europe-west3 |
Francoforte |
europe-west4 |
Paesi Bassi |
europe-west6 |
Zurigo |
europe-west8 |
Milano |
europe-west9 |
Parigi |
europe-west10 |
Berlino |
europe-west12 |
Torino |
Medio Oriente
| Nome regione | Descrizione della regione |
|---|---|
me-central1 |
Doha |
me-central2 |
Dammam |
me-west1 |
Tel Aviv |
Passaggi successivi
- Dati dei log di percorso.
- Eseguire query e visualizzare le voci di log.
- Configura e gestisci i bucket di log.
- Configurare le impostazioni predefinite per organizzazioni e cartelle.