Este documento apresenta os buckets de registros, que são os contêineres que o Cloud Logging usa para armazenar seus dados de registros. Ele fornece informações sobre localização, gerenciamento da chave de criptografia e retenção de dados para buckets de registros. Ele também destaca onde é possível usar políticas da organização ou configurações de recursos padrão para controlar o local e a criptografia de novos buckets de registro em pastas ou organizações.
Sobre buckets de registros
Por padrão, o Cloud Logging criptografa o conteúdo do cliente armazenado em repouso. Os dados armazenados em buckets de registros pelo Logging são criptografados usando chaves de criptografia de chaves, um processo conhecido como criptografia de envelope. Para acessar os dados de registro, é preciso ter acesso a essas chaves de criptografia de chaves. Por padrão, eles são Google-owned and Google-managed encryption keys e não exigem nenhuma ação da sua parte.
Sua organização pode ter requisitos de criptografia regulamentares, relacionados à conformidade ou avançados que nossa criptografia em repouso padrão não oferece. Para atender aos requisitos da sua organização, em vez de usar Google-owned and Google-managed encryption keys, você pode gerenciar suas próprias chaves.
Os buckets de registro são recursos regionais com um local fixo.O Google Cloud gerencia essa infraestrutura para que seus aplicativos estejam disponíveis de maneira redundante nas zonas dessa região.
O período de armazenamento dos dados armazenados por um bucket de registros depende do bucket. Este documento contém informações sobre retenção de dados.
É possível criar visualizações de registros em um bucket de registros. Uma visualização de registros dá acesso apenas a um subconjunto dos dados de registros armazenados em um bucket de registros. Para cada bucket de registros, o Cloud Logging cria automaticamente uma visualização de registro que fornece acesso a todas as entrada de registro no bucket de registros. Você controla o acesso a uma visualização de registros usando o Identity and Access Management (IAM).
Para consultar e visualizar seus dados de registro, use o Explorador de registros ou as páginas do Log Analytics do console Google Cloud :
A página do Explorador de registros ajuda a resolver problemas e analisar o desempenho dos seus serviços e aplicativos. É possível ver entradas de registro individuais e filtrar os dados de registro. Essa interface tem uma configuração de escopo que permite pesquisar dados de registros por projeto, bucket de registros ou visualização de registros.
A página da Análise de registros oferece uma interface SQL que permite realizar análises agregadas dos dados de registros armazenados em um bucket de registros atualizado para usar a análise. Por exemplo, use essa interface para calcular e criar gráficos de tendências. É possível consultar visualizações de registros e visualizações de análise.
Para saber mais, consulte Consultar e visualizar entradas de registro.
Suporte para organizações e pastas
Para ajudar sua organização a atender às necessidades regulatórias e de compliance, o Logging é compatível com políticas da organização e configurações de recursos padrão:
As configurações padrão de recursos especificam o local e como as chaves de criptografia são gerenciadas para buckets de registros criados pelo sistema quando novos recursos são criados em uma pasta ou organização. Por exemplo, é possível forçar esses buckets de registros criados pelo sistema a ficar em um local específico.
Uma política da organização pode restringir o local de novos buckets de registro definidos pelo usuário. O Logging oferece suporte a políticas da organização que especificam regiões onde os buckets de registro podem ou não ser criados.
Buckets de registros criados pelo sistema
Para cada projeto, conta de faturamento, pasta ou organização do Google Cloud ,
o Cloud Logging cria dois buckets de registro, um chamado _Required e o
outro chamado _Default. A menos que as configurações de recursos padrão sejam configuradas, esses buckets de registro terãoGoogle-owned and Google-managed encryption keys , e o Cloud Logging selecionará o local deles.
Não é possível excluir os buckets de registro criados pelo sistema.
É possível fazer upgrade dos buckets de registros criados pelo sistema para usar a análise. Com esse upgrade, é possível consultar os dados de registros usando a página Análise de dados de registros, que é compatível com SQL.
Bucket de registro _Required
O bucket de registros _Required armazena entradas de registro necessárias para fins de compliance ou auditoria. Por isso, não é possível excluir nem modificar as entradas de registro armazenadas nele.
As entradas de registro nesse bucket de registros são mantidas por 400 dias. Não é possível mudar esse período de armazenamento.
As entradas de registro armazenadas no bucket de registros _Required de um recurso também se originam desse recurso. Ou seja, o bucket de registros _Required em um projeto Google Cloud só pode armazenar entradas de registro originadas nesse projeto.
O bucket de registros _Required armazena os seguintes tipos de entradas de registro:
- Registros de auditoria de atividade do administrador
- Registros de auditoria de eventos do sistema
- Registros de auditoria do administrador do Google Workspace
- Registros de auditoria do Grupos do Google Enterprise
- Registros de auditoria de login
Bucket de registro _Default
O bucket de registros _Default armazena entradas de registro que não são armazenadas automaticamente no bucket de registros _Required. Como o bucket de registros _Default é criado pelo sistema, não é possível excluí-lo. No entanto, é possível
modificar quais entradas de registro são armazenadas nesse bucket de registros.
O Cloud Logging retém as entradas de registro no bucket _Default por 30 dias, a menos que você configure a retenção personalizada para o bucket.
Por exemplo, este bucket de registros armazena:
- Registros de auditoria de acesso a dados.
- Registros de auditoria de política negada.
- Registros gerados por aplicativos e Google Cloud serviços.
Buckets de registros definidos pelo usuário
É possível criar buckets de registros definidos pelo usuário em qualquer projeto doGoogle Cloud . Ao criar um bucket de registros definido pelo usuário, você seleciona o local e define o período de retenção de dados. Você pode fornecer uma chave de criptografia gerenciada pelo cliente.
É possível fazer upgrade dos buckets de registros definidos pelo usuário para usar a análise. Com esse upgrade, é possível consultar os dados de registros usando a página Análise de dados de registros, que é compatível com SQL.
É possível modificar e excluir buckets de registros definidos pelo usuário. Para evitar a exclusão de um bucket de registros que armazena entradas dentro do período de armazenamento, bloqueie o bucket contra atualizações.
Controlar o acesso a um bucket de registros
As permissões e os papéis do IAM controlam o acesso aos dados de registros. Por exemplo, é possível fazer o seguinte:
- Conceda acesso de leitura e edição a um bucket de registros.
- Conceda acesso de edição a um bucket de registros com base na associação ao grupo usando tags.
- Controle o acesso a campos específicos em uma entrada de registro configurando o acesso no nível do campo em um bucket de registros.
Conceda acesso a um subconjunto de entradas de registro em um bucket de registros criando uma visualização de registro nesse bucket.
Cada bucket de registros tem uma visualização de registros padrão, que normalmente inclui todas as entrada de registro no bucket. Para o bucket de registros
_Default, a visualização de registros padrão exclui entradas de registro de acesso a dados.
Para dar a um usuário as permissões necessárias para visualizar e analisar entradas de registro, normalmente um dos seguintes papéis do IAM é concedido:
Papel Visualizador de registros (
roles/logging.viewer): concede acesso a todas as entradas de registro no bucket_Requirede à visualização de registro padrão no bucket_Default.Papel Leitor de registros particulares (
roles/logging.privateLogViewer): concede acesso a todos os registros nos buckets_Requirede_Default, incluindo registros de acesso a dados.
Se você criar buckets de registro ou visualizações de registro definidas pelo usuário em buckets de registro, serão necessárias permissões adicionais. Para mais informações sobre papéis, consulte Controle de acesso com o IAM.
Lista de regiões compatíveis
Os buckets de registro são recursos regionais. A infraestrutura que armazena, indexa e pesquisa suas entradas de registro está localizada em uma região geográfica específica. Com exceção dos buckets de registros nas regiões global, eu ou us, o Google Cloud gerencia a infraestrutura para que seus aplicativos estejam disponíveis de maneira redundante nas zonas da região do bucket de registros.
As regiões a seguir são compatíveis com o Cloud Logging:
Global
| Nome da região | Descrição da região |
|---|---|
global |
Registros armazenados em qualquer data center do mundo. Os registros podem ser movidos para diferentes data centers. Ao contrário de outros recursos globais em Google Cloud, os buckets de registros globais no Cloud Logging não oferecem garantias de redundância adicionais em comparação com um bucket de registros regional. |
Multirregiões: UE e EUA
| Nome da região | Descrição da região |
|---|---|
eu |
Registros armazenados em qualquer data center na União Europeia. Os registros podem ser movidos para diferentes data centers. Sem garantias de redundância adicionais. |
us |
Registros armazenados em data centers nos Estados Unidos. Os registros podem ser movidos para diferentes data centers. Sem garantias de redundância adicionais. |
África
| Nome da região | Descrição da região |
|---|---|
africa-south1 |
Johannesburgo |
Américas
| Nome da região | Descrição da região |
|---|---|
northamerica-northeast1 |
Montreal |
northamerica-northeast2 |
Toronto |
northamerica-south1 |
México |
southamerica-east1 |
São Paulo |
southamerica-west1 |
Santiago |
us-central1 |
Iowa |
us-east1 |
Carolina do Sul |
us-east4 |
Virgínia do Norte |
us-east5 |
Columbus |
us-south1 |
Dallas |
us-west1 |
Oregon |
us-west2 |
Los Angeles |
us-west3 |
Salt Lake City |
us-west4 |
Las Vegas |
Ásia-Pacífico
| Nome da região | Descrição da região |
|---|---|
asia-east1 |
Taiwan |
asia-east2 |
Hong Kong |
asia-northeast1 |
Tóquio |
asia-northeast2 |
Osaka |
asia-northeast3 |
Seul |
asia-south1 |
Mumbai |
asia-south2 |
Délhi |
asia-southeast1 |
Singapura |
asia-southeast2 |
Jacarta |
australia-southeast1 |
Sydney |
australia-southeast2 |
Melbourne |
Europa
| Nome da região | Descrição da região |
|---|---|
europe-central2 |
Varsóvia |
europe-north1 |
Finlândia |
europe-north2 |
Estocolmo |
europe-southwest1 |
Madri |
europe-west1 |
Bélgica |
europe-west2 |
Londres |
europe-west3 |
Frankfurt |
europe-west4 |
Países Baixos |
europe-west6 |
Zurique |
europe-west8 |
Milão |
europe-west9 |
Paris |
europe-west10 |
Berlim |
europe-west12 |
Turim |
Oriente Médio
| Nome da região | Descrição da região |
|---|---|
me-central1 |
Doha |
me-central2 |
Damã |
me-west1 |
Tel Aviv |
A seguir
- Dados de registros de rotas.
- Consultar e visualizar entradas de registro.
- Configurar e gerenciar buckets de registros.
- Definir configurações padrão para organizações e pastas.