本文档介绍了日志存储分区,这是 Cloud Logging 用于存储日志数据的容器。它提供了有关日志存储分区的位置、加密密钥的管理以及数据保留的信息。该图还突出显示了您可以在哪些位置使用组织政策或默认资源设置来控制文件夹或组织中新日志桶的位置和加密方式。
日志存储分区简介
默认情况下,Cloud Logging 会对以静态方式存储的客户内容进行加密。Logging 存储在日志存储桶中的数据使用密钥加密密钥进行加密,此过程称为信封加密。访问日志记录数据需要具有这些密钥加密密钥的访问权限。默认情况下,这些内容是 Google-owned and Google-managed encryption keys ,您自己无需执行任何操作。
您的组织可能具有我们的默认静态加密不提供的监管、合规性相关或高级加密要求。为满足组织的要求,您可以自行管理密钥,而不是使用Google-owned and Google-managed encryption keys。
日志存储分区是具有固定位置的区域性资源。 Google Cloud 管理着该基础架构,以便您的应用在该区域内的各可用区之间以冗余方式提供。
日志存储桶存储的数据的保留期限取决于日志存储桶。本文档包含有关数据保留的信息。
如需查询和查看存储在日志存储桶中日志数据,您可以使用 Google Cloud 控制台的 Logs Explorer 或 Log Analytics 页面。不过,Log Analytics 页面要求您升级日志存储桶以使用分析,并查询一个或多个日志视图。任何日志存储桶都可以升级为使用分析功能。
支持组织和文件夹
为了帮助贵组织满足法规遵从和监管需求,日志记录功能同时支持组织政策和默认资源设置:
默认资源设置用于指定在文件夹或组织中创建新资源时,系统创建的日志存储分区的位置以及加密密钥的管理方式。例如,您可以强制将这些由系统创建的日志存储分区放在特定位置。
组织政策可以限制新建的用户定义日志存储分区的位置。Logging 支持可指定可创建或无法创建日志存储分区的区域的组织政策。
系统创建的日志存储分区
对于每个 Google Cloud 项目、结算账号、文件夹或组织,Cloud Logging 都会创建两个日志存储分区,一个名为 _Required,另一个名为 _Default。对于这些日志存储分区,除非配置了默认资源设置,否则这些存储分区具有Google-owned and Google-managed encryption keys ,并且 Cloud Logging 会选择其位置。
您无法删除系统创建的日志存储分区。
_Required 日志存储分区
_Required 日志存储桶用于存储出于合规性或审核目的而必须保留的日志条目。因此,您无法删除此日志存储桶,也无法修改存储在此日志存储桶中的日志条目。此日志存储桶中的日志条目会保留 400 天;您无法更改此保留期限。
存储在资源的 _Required 日志存储桶中的日志条目也源自该资源。也就是说, Google Cloud 项目中的 _Required 日志存储桶只能存储源自该项目的日志条目。
_Required 日志存储桶存储以下类型的日志条目:
_Default 日志存储分区
_Default 日志存储桶用于存储未自动存储在 _Required 日志存储桶中的日志条目。由于 _Default 日志存储桶是由系统创建的,因此您无法将其删除。不过,您可以修改要存储在此日志存储桶中的日志条目。
Cloud Logging 会将 _Default 存储桶中的日志条目保留 30 天,除非您为该存储桶配置自定义保留。
例如,此日志存储桶会存储:
用户定义的日志存储分区
您可以在任何Google Cloud 项目中创建用户定义的日志存储分区。创建用户定义的日志存储桶时,您可以选择位置并设置数据保留期限。您可以选择提供客户管理的加密密钥。
您可以删除用户定义的日志存储分区。为了防止删除存储处于保留期限内的日志条目的日志存储桶,您可以锁定日志存储桶以防止更新。
控制对日志存储桶的访问权限
Identity and Access Management (IAM) 权限和角色用于控制对日志数据的访问权限。例如,您可以执行以下所有操作:
- 授予对日志存储桶的读取和修改权限。
- 使用标记,根据组成员资格授予对日志存储桶的修改权限。
- 通过在日志存储桶中配置字段级访问权限,控制对日志条目中特定字段的访问权限。
通过在日志存储桶上创建日志视图,授予对日志存储桶中部分日志条目的访问权限。
每个日志存储桶都有一个默认日志视图,其中通常包含日志存储桶中的每个日志条目。对于
_Default日志存储桶,默认日志视图会排除数据访问日志条目。
如需向用户授予查看和分析日志条目所需的权限,通常会授予以下某个 IAM 角色:
Logs Viewer (
roles/logging.viewer) 角色:授予对_Required存储桶中的所有日志条目的访问权限,以及对_Default存储桶上的默认日志视图的访问权限。Private Logs Viewer (
roles/logging.privateLogViewer) 角色:授予对_Required和_Default存储分区中的所有日志(包括数据访问日志)的访问权限。
如果您在日志存储分区中创建用户定义的日志存储分区或日志视图,则需要其他权限。如需详细了解角色,请参阅使用 IAM 进行访问权限控制。
支持的区域列表
日志存储分区属于区域性资源。对日志条目进行存储、编入索引和搜索的基础架构位于特定的地理位置。除了位于 global、eu 或 us 区域的日志存储桶外, Google Cloud 会管理基础架构,以便您的应用在日志存储桶所在区域内的各可用区之间以冗余方式提供。
Cloud Logging 支持以下区域:
全球
| 区域名称 | 区域说明 |
|---|---|
global |
存储在全球任何数据中心的日志。日志可能会移至其他数据中心。与 Google Cloud中的其他全球性资源不同,Cloud Logging 中的全球性日志存储桶与区域日志存储桶相比,不会提供额外的冗余保证。 |
多区域:欧盟和美国
| 区域名称 | 区域说明 |
|---|---|
eu |
存储在欧盟境内任何数据中心的日志。日志可能会移至其他数据中心。没有额外的冗余保证。 |
us |
存储在美国境内任何数据中心的日志。日志可能会移至其他数据中心。没有额外的冗余保证。 |
非洲
| 区域名称 | 区域说明 |
|---|---|
africa-south1 |
约翰内斯堡 |
美洲
| 区域名称 | 区域说明 |
|---|---|
northamerica-northeast1 |
蒙特利尔 |
northamerica-northeast2 |
多伦多 |
northamerica-south1 |
墨西哥 |
southamerica-east1 |
圣保罗 |
southamerica-west1 |
圣地亚哥 |
us-central1 |
艾奥瓦 |
us-east1 |
南卡罗来纳 |
us-east4 |
北弗吉尼亚 |
us-east5 |
哥伦布 |
us-south1 |
达拉斯 |
us-west1 |
俄勒冈 |
us-west2 |
洛杉矶 |
us-west3 |
盐湖城 |
us-west4 |
拉斯维加斯 |
亚太地区
| 区域名称 | 区域说明 |
|---|---|
asia-east1 |
台湾 |
asia-east2 |
香港 |
asia-northeast1 |
东京 |
asia-northeast2 |
大阪 |
asia-northeast3 |
首尔 |
asia-south1 |
孟买 |
asia-south2 |
德里 |
asia-southeast1 |
新加坡 |
asia-southeast2 |
雅加达 |
australia-southeast1 |
悉尼 |
australia-southeast2 |
墨尔本 |
欧洲
| 区域名称 | 区域说明 |
|---|---|
europe-central2 |
华沙 |
europe-north1 |
芬兰 |
europe-north2 |
斯德哥尔摩 |
europe-southwest1 |
马德里 |
europe-west1 |
比利时 |
europe-west2 |
伦敦 |
europe-west3 |
法兰克福 |
europe-west4 |
荷兰 |
europe-west6 |
苏黎世 |
europe-west8 |
米兰 |
europe-west9 |
巴黎 |
europe-west10 |
柏林 |
europe-west12 |
都灵 |
中东
| 区域名称 | 区域说明 |
|---|---|
me-central1 |
多哈 |
me-central2 |
达曼 |
me-west1 |
特拉维夫 |