このドキュメントでは、Cloud Logging がログデータの保存に使用するコンテナであるログバケットについて説明します。ログバケットのロケーション、暗号鍵の管理、データの保持に関する情報のほか、組織のポリシーまたはデフォルトのリソース設定を使用して、フォルダまたは組織内の新しいログバケットのロケーションと暗号化を制御できる場所についても説明します。
ログバケットについて
Cloud Logging では、お客様のコンテンツを保存時に暗号化するのがデフォルトの動作です。Logging によってログバケットに保存されたデータは、暗号鍵を使用して暗号化されます。これはエンベロープ暗号化と呼ばれるプロセスです。ロギングデータにアクセスするには、これらの鍵暗号鍵にアクセスする必要があります。デフォルトでは、これらは Google-owned and Google-managed encryption keys で、お客様側でのご対応は必要ありません。
お客様の組織には、デフォルトの保存時の暗号化で提供されない規制、コンプライアンス関連の暗号化、高度な暗号化要件がある場合があります。組織の要件を満たすため、Google-owned and Google-managed encryption keysを使用する代わりに、独自の鍵を管理できます。
ログバケットは、固定された場所にあるリージョン リソースです。アプリケーションがそのリージョン内のゾーン全体で冗長的に利用できるよう、 Google Cloud がインフラストラクチャを管理します。
ログバケットによって保存されるデータの保持期間は、ログバケットによって異なります。このドキュメントでは、データの保持について説明します。
ログバケットのログビューを作成できます。ログビューは、ログバケットに保存されているログデータのサブセットのみへのアクセスを提供します。Cloud Logging は、すべてのログバケットに対して、ログバケット内のすべてのログエントリへのアクセスを提供する 1 つのログビューを自動的に作成します。ログビューへのアクセスは、Identity and Access Management(IAM)を使用して制御します。
ログデータをクエリして表示するには、 Google Cloud コンソールの [ログ エクスプローラ] ページまたは [ログ分析] ページを使用します。
[ログ エクスプローラ] ページは、サービスとアプリケーションのパフォーマンスのトラブルシューティングと分析に役立ちます。個々のログエントリを表示したり、ログデータをフィルタしたりできます。このインターフェースにはスコープ設定があり、プロジェクト、ログバケット、ログビューでログデータを検索できます。
[ログ分析] ページには、分析を使用するようにアップグレードされたログバケットに保存されているログデータについて集計分析を実行できる SQL インターフェースが用意されています。たとえば、このインターフェースを使用して傾向を計算し、グラフ化します。ログビューと分析ビューをクエリできます。
詳細については、ログエントリのクエリと表示をご覧ください。
組織とフォルダのサポート
組織がコンプライアンスと規制のニーズを満たせるよう、Logging は組織のポリシーとデフォルトのリソース設定の両方をサポートしています。
デフォルトのリソース設定では、フォルダまたは組織に新しいリソースが作成されたときに、システムによって作成されるログバケットの場所と暗号鍵の管理方法が指定されます。たとえば、システムによって作成されるログバケットを特定のロケーションに強制的に配置できます。
組織のポリシーを使用して、新しいユーザー定義ログバケットのロケーションを制限できます。Logging は、ログバケットを作成できるリージョンと作成できないリージョンを指定する組織のポリシーをサポートしています。
システムによって作成されるログバケット
Google Cloud プロジェクト、請求先アカウント、フォルダ、組織ごとに、Cloud Logging は 2 つのログバケットを作成します。一つは _Required、もう一つは _Default という名前です。デフォルトのリソース設定が構成されていない場合、これらのログバケットにはGoogle-owned and Google-managed encryption keys が含まれ、Cloud Logging によってロケーションが選択されます。
システムによって作成されるログバケットは削除できません。
システムによって作成されたログバケットをアップグレードして分析を使用できます。このアップグレードにより、SQL をサポートする [ログ分析] ページを使用してログデータをクエリできるようになります。
_Required ログバケット
_Required ログバケットには、コンプライアンスまたは監査目的に必要なログエントリが保存されます。そのため、このログバケットを削除したり、このログバケットに保存されるログエントリを変更したりすることはできません。このログバケットのログエントリは 400 日間保持されます。この保持期間は変更できません。
リソースの _Required ログバケットに保存されるログエントリも、そのリソースから発生します。つまり、 Google Cloud プロジェクトの _Required ログバケットには、そのプロジェクトで発生したログエントリのみを保存できます。
_Required ログバケットには、次のタイプのログエントリが保存されます。
- 管理アクティビティ監査ログ
- システム イベント監査ログ
- Google Workspace 管理者監査ログ
- Enterprise グループ監査ログ
- ログイン監査ログ
_Default ログバケット
_Default ログバケットには、_Required ログバケットに自動的に保存されないログエントリが保存されます。_Default ログバケットはシステムによって作成されるため、削除できません。ただし、このログバケットに保存されるログエントリは変更できます。
バケットのカスタム保持を構成しない限り、Cloud Logging は _Default バケットのログエントリを 30 日間保持します。
たとえば、このログバケットには次のログが保存されます。
- データアクセスの監査ログ。
- ポリシー拒否の監査ログ。
- アプリケーションと Google Cloud サービスによって生成されたログ。
ユーザー定義のログバケット
任意のGoogle Cloud プロジェクトでユーザー定義のログバケットを作成できます。ユーザー定義のログバケットを作成するときに、ロケーションを選択し、データ保持期間を設定します。顧客管理の暗号鍵を指定することもできます。
ユーザー定義のログバケットをアップグレードして分析を使用できます。このアップグレードにより、SQL をサポートする [ログ分析] ページを使用してログデータをクエリできるようになります。
ユーザー定義のログバケットは変更および削除できます。保持期間内のログエントリを保存するログバケットが削除されないようにするには、ログバケットを更新からロックします。
ログバケットへのアクセスを制御する
ログデータへのアクセスは、IAM の権限とロールで制御します。たとえば、次のすべてを行うことができます。
- ログバケットに対する読み取りと編集のアクセス権を付与する。
- タグを使用して、グループ メンバーシップに基づいてログバケットへの編集アクセス権を付与する。
- ログバケットに対するフィールド レベルのアクセスを構成して、ログエントリ内の特定のフィールドへのアクセスを制御する。
ログバケットにログビューを作成して、ログバケット内のログエントリのサブセットへのアクセス権を付与する。
すべてのログバケットにはデフォルトのログビューがあります。通常、このビューにはログバケット内のすべてのログエントリが含まれます。
_Defaultログバケットの場合、デフォルトのログビューではデータアクセス ログエントリが除外されます。
ログエントリの表示と分析に必要な権限をユーザーに付与するには、通常、次のいずれかの IAM ロールを付与します。
ログ閲覧者(
roles/logging.viewer)ロール:_Requiredバケット内のすべてのログエントリと、_Defaultバケットのデフォルトのログビューへのアクセス権を付与します。プライベート ログ閲覧者(
roles/logging.privateLogViewer)ロール: データアクセス ログを含む、_Requiredバケットと_Defaultバケットのすべてのログへのアクセス権を付与します。
ユーザー定義のログバケットまたはログバケットのログビューを作成する場合は、追加の権限が必要です。ロールの詳細については、IAM を使用したアクセス制御をご覧ください。
サポートされているリージョンのリスト
ログバケットは、リージョン リソースです。ログエントリの保存、インデックス登録、検索を行うインフラストラクチャは特定の地理的な場所にあります。global、eu、us リージョンのログバケットを例外として、このインフラストラクチャは、ユーザーのアプリケーションをログバケットのリージョン内のゾーン全体で冗長的に利用できるように Google Cloud が管理しています。
Cloud Logging では、次のリージョンがサポートされています。
グローバル
| リージョン名 | リージョンの説明 |
|---|---|
global |
世界中の任意のデータセンターに保存されているログ。ログが別のデータセンターに移動される場合があります。 Google Cloudの他のグローバル リソースとは異なり、Cloud Logging のグローバル ログバケットは、リージョン ログバケットと比較して、追加の冗長性が保証されません。 |
マルチリージョン: EU と米国
| リージョン名 | リージョンの説明 |
|---|---|
eu |
欧州連合内の任意のデータセンターに保存されているログ。ログが別のデータセンターに移動される場合があります。追加の冗長性は保証されません。 |
us |
米国内の任意のデータセンターに保存されているログ。ログが別のデータセンターに移動される場合があります。追加の冗長性は保証されません。 |
アフリカ
| リージョン名 | リージョンの説明 |
|---|---|
africa-south1 |
ヨハネスブルグ |
南北アメリカ
| リージョン名 | リージョンの説明 |
|---|---|
northamerica-northeast1 |
モントリオール |
northamerica-northeast2 |
トロント |
northamerica-south1 |
メキシコ |
southamerica-east1 |
サンパウロ |
southamerica-west1 |
サンティアゴ |
us-central1 |
アイオワ |
us-east1 |
サウスカロライナ州 |
us-east4 |
北バージニア |
us-east5 |
コロンバス |
us-south1 |
ダラス |
us-west1 |
オレゴン |
us-west2 |
ロサンゼルス |
us-west3 |
ソルトレイクシティ |
us-west4 |
ラスベガス |
アジア太平洋
| リージョン名 | リージョンの説明 |
|---|---|
asia-east1 |
台湾 |
asia-east2 |
香港 |
asia-northeast1 |
東京 |
asia-northeast2 |
大阪 |
asia-northeast3 |
ソウル |
asia-south1 |
ムンバイ |
asia-south2 |
デリー |
asia-southeast1 |
シンガポール |
asia-southeast2 |
ジャカルタ |
australia-southeast1 |
シドニー |
australia-southeast2 |
メルボルン |
ヨーロッパ
| リージョン名 | リージョンの説明 |
|---|---|
europe-central2 |
ワルシャワ |
europe-north1 |
フィンランド |
europe-north2 |
ストックホルム |
europe-southwest1 |
マドリード |
europe-west1 |
ベルギー |
europe-west2 |
ロンドン |
europe-west3 |
フランクフルト |
europe-west4 |
オランダ |
europe-west6 |
チューリッヒ |
europe-west8 |
ミラノ |
europe-west9 |
パリ |
europe-west10 |
ベルリン |
europe-west12 |
トリノ |
中東
| リージョン名 | リージョンの説明 |
|---|---|
me-central1 |
ドーハ |
me-central2 |
ダンマーム |
me-west1 |
テルアビブ |