הגדרת הגדרות ברירת מחדל למשאבים ב-Cloud Logging

במאמר הזה מוסבר איך להגדיר הגדרות ברירת מחדל של משאבים ב-Cloud Logging. ההגדרות האלה מאפשרות לכם לקבוע איפה ייצרו קטגוריות חדשות של יומנים שנוצרו על ידי המערכת, אם נדרש CMEK לקטגוריות של יומנים ומה ההגדרה של sink ביומן _Default. אפשר להגדיר את ההגדרות האלה לארגונים ולתיקיות, וההגדרות מועברות בירושה למשאבי צאצא. אתם מגדירים את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging באמצעות Google Cloud CLI.

ההגדרות שמתוארות במסמך הזה לא חלות על מאגרי נתונים של יכולת צפייה. אם אתם רוצים לדעת איך מגדירים ברירות מחדל לקטגוריות של נתונים שניתנים למעקב, אתם יכולים לקרוא את המאמר בנושא הגדרת ברירות מחדל לקטגוריות של נתונים שניתנים למעקב.

סקירה כללית

משאב הארגון נמצא ברמה הגבוהה ביותר בהיררכיית המשאבים שלGoogle Cloud . משאב הארגון הוא ההורה של משאבי הצאצא הבאים:Google Cloud פרויקטים, תיקיות, חשבונות לחיוב וקטגוריות של יומנים (בנוגע ל-Logging).

בארגונים ובתיקיות, אפשר להגדיר הגדרות ברירת מחדל למשאבים ב-Cloud Logging. ההגדרות האלה מאפשרות לציין את המיקום של מאגרי היומנים, את מודל ההצפנה ואת ההגדרה של sink ברירת המחדל של היומנים. משאבי צאצא יורשים את הגדרות ברירת המחדל של משאבי ההורה שלהם.

אפשר להשתמש בהגדרות ברירת מחדל של משאבים ב-Cloud Logging כדי להגדיר את הפריטים הבאים:

  • האם קטגוריות חדשות של יומנים במשאב יוצפנו באמצעות מפתח בניהול הלקוח, ואם כן, איזה מפתח Cloud KMS ישמש להצפנה.

  • מיקום האחסון של _Default ושל _Required דלי יומנים חדשים שנוצרו על ידי משאבי צאצא, ושל שאילתות שנשמרו בדפים Logs Explorer או Observability Analytics. הגדרת מיקום האחסון מאפשרת לכם לשלוט במיקום שבו היומנים מאוחסנים.

    אם למשאב יש הגדרות משאב שמוגדרות כברירת מחדל ל-Cloud Logging שמציינות מיקום אחסון אבל לא כוללות הגדרת CMEK, לא נדרש CMEK בקטגוריות חדשות של יומנים במשאב.

  • האם sink ביומן _Default מופעל או מושבת בפרויקטים חדשים במשאב.

  • מסנני ההכללה או מסנני ההחרגה שמוחלים על כל _Defaultיעדי הנתונים החדשים במשאבי הצאצא.

הגדרות לדוגמה:

  • בארגון, הגדרות ברירת המחדל של המשאבים ב-Cloud Logging מציינות מיקום אחסון. בפרויקטים חדשים בארגון, קטגוריות היומן _Default ו-_Required נוצרות במיקום שצוין. בנוסף, שאילתות שנשמרו בדפים של Logs Explorer או של Observability Analytics מאוחסנות במיקום שצוין. השאילתות האלה כוללות את השאילתות האחרונות שנשמרות אוטומטית אחרי ההרצה שלהן, ושאילתות שנשמרו על ידי חברים בGoogle Cloud פרויקט.

  • בארגון, הגדרות ברירת המחדל של המשאבים ב-Cloud Logging מציינות מיקום אחסון. בנוסף, בתיקייה בארגון, הגדרות ברירת המחדל של המשאבים ב-Cloud Logging מציינות מיקום אחסון שונה. בפרויקטים חדשים שנמצאים בתיקייה, מאגרי הנתונים (buckets) _Default ו-_Required נוצרים במיקום שצוין בהגדרות התיקייה. בפרויקטים שלא נמצאים בתיקייה, מאגרי הנתונים מסוג _Default ו-_Required נוצרים במיקום שצוין בהגדרות הארגון.

  • בארגון, מגדירים את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging כדי לציין מיקום ו-CMEK. בתיקייה בשם Non-CMEK, מגדירים את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging כך שיוגדר רק מיקום. אם יוצרים פרויקט שלא נמצא בתיקייה בשם Non-CMEK, הקטגוריות _Default ו-_Required נוצרות באותו מיקום שבו נמצא מפתח Cloud Key Management Service, והקטגוריות האלה של יומני הגישה מוצפנות באמצעות המפתח הזה. עם זאת, אם יוצרים פרויקט חדש בתיקייה בשם Non-CMEK, מאגרי היומנים שלו נוצרים במיקומים שצוינו בהגדרה של התיקייה הזו, והם לא מוצפנים באמצעות CMEK.

  • בארגון, אתם מגדירים את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging כדי להחיל מסנן החרגה שחל על יעד חדש של _Default. המסנן מחריג את יומני הביקורת Data Access מהניתוב דרך אובייקט ה-sink‏ _Default בכל משאבי הצאצא, וכך מונע את האחסון של יומני הביקורת Data Access בקטגוריה _Default.

לפני שמתחילים

במסמך הזה לא מוסבר איך להגדיר את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging כך שיכללו הגדרת CMEK. מידע על הנושא הזה זמין במאמר הגדרת CMEK לרישום ביומן.

צריך לבצע את הפעולות הבאות:

  1. במסוף Google Cloud , מפעילים את Cloud Shell.

    הפעלת Cloud Shell

    בחלק התחתון של Google Cloud המסוף יתחיל סשן של Cloud Shell ותופיע הודעה של שורת הפקודה. Cloud Shell היא סביבת מעטפת שבה ה-CLI של Google Cloud מותקן ומוגדרים ערכים לפרויקט הקיים. הסשן יופעל תוך כמה שניות.

  2. חשוב לוודא שהתפקיד שלכם בניהול הזהויות והגישה (IAM) בארגון או בתיקייה כולל את ההרשאה הבאה של Cloud Logging:

    • logging.settings.get
    • logging.settings.update

  3. מזהים את המיקום שבו רוצים לאחסן את היומנים והשאילתות. רשימת מיקומי האחסון הנתמכים מופיעה במאמר אזורים נתמכים.

הצגת הגדרות ברירת המחדל של המשאבים ב-Cloud Logging

כדי לראות את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging, מפעילים את הפקודה gcloud logging settings describe:

FOLDER 

 gcloud logging settings describe --folder=FOLDER_ID

לפני שמריצים את הפקודה הקודמת, מחליפים את מה שכתוב בשדות הבאים:

ארגון 

gcloud logging settings describe --organization=ORGANIZATION_ID

לפני שמריצים את הפקודה הקודמת, מחליפים את מה שכתוב בשדות הבאים:

הפקודה הקודמת מחזירה מידע על הגדרות ברירת המחדל של המשאבים ב-Cloud Logging. דוגמה לתגובה:

name: organizations/ORGANIZATION_ID/settings
kmsKeyName: KMS_KEY_NAME
kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
storageLocation: europe-west1
disableDefaultSink: false

הערך של SERVICE_ACCT_NAME יכול להיות בפורמט cmek-12345 או service-12345@.... אם אי אפשר להשתמש ב-Google Cloud CLI, מריצים את שיטת Cloud Logging API‏ getSettings.

הגדרת מיקום האחסון

קטגוריות של יומנים הן קונטיינרים בGoogle Cloud פרויקטים, בחשבונות לחיוב, בתיקיות ובארגונים שמאחסנים ומארגנים את נתוני היומנים. לכל Google Cloud פרויקט, חשבון לחיוב, תיקייה וארגון, שירות Logging יוצר באופן אוטומטי שתי קטגוריות של יומנים: _Required ו-_Default, שנשמרות באופן אוטומטי במיקום global.

בארגונים ובתיקיות, הגדרות ברירת המחדל של המשאבים ב-Cloud Logging קובעות איפה נוצרים דלי יומנים חדשים של _Required ושל _Default, ואיפה מאוחסנות השאילתות שאתם מריצים בדפים Logs Explorer ו-Observability Analytics. המיקומים של שאילתות קיימות ושל מאגרי יומנים לא משתנים.

כשמגדירים את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging כדי לציין מיקום לארגונים ולתיקיות, מתרחשים הדברים הבאים:

  • במשאבי צאצא חדשים שנוצרו בארגון או בתיקייה, מאגרי הנתונים מסוג _Required ו-_Default יורשים את הגדרות ברירת המחדל של משאב האב.
  • מציינת את מיקום האחסון של שאילתות חדשות ועדכניות שמופעלות בדפים Logs Explorer או Observability Analytics.

כשמגדירים מיקום בהגדרות ברירת המחדל של המשאבים ב-Cloud Logging, המיקום הזה לא חל על מאגרי יומנים שהוגדרו על ידי המשתמש או על שאילתות שנשמרו באמצעות Logging API.

הגדרת מדיניות הארגון

הרישום תומך במדיניות ארגונית שיכולה להגביל את המקומות שבהם אפשר לאחסן נתונים. אם קיימת מדיניות כזו בארגון שלכם, תוכלו ליצור מאגרי יומנים רק במיקומים שמותרים על פי המדיניות.

אם קיימת מדיניות ארגון שמציינת מגבלת מיקום, ערכי המדיניות של המגבלה חייבים לכלול את המיקום שצוין בהגדרות ברירת המחדל של המשאבים ב-Cloud Logging. לפני שמעדכנים את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging, כדאי לבדוק את מדיניות הארגון ולעדכן אותה אם צריך.

כדי להציג או לעדכן את מדיניות הארגון:

  1. נכנסים לדף Organization Policies במסוף Google Cloud :

    עוברים אל מדיניות הארגון.

    אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שמופיע בה הכותרת המשנית IAM & Admin.

  2. בוחרים את הארגון.

  3. בודקים את ההגבלה ואם צריך, מעדכנים אותה באמצעות המזהה constraints/gcp.resourceLocations. אם המגבלה הזו לא מוגדרת, לא נדרש עדכון.

    במאמר יצירה ועריכה של כללי מדיניות מוסבר איך צופים באילוצים ספציפיים ואיך עורכים אותם.

הגדרת מיקום האחסון של קטגוריות יומנים חדשות שנוצרו על ידי המערכת

כדי להגדיר את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging ולציין הגדרת מיקום, מריצים את הפקודה gcloud logging settings update וכוללים את הדגל --storage-location:

FOLDER 

gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION

לפני שמריצים את הפקודה הקודמת, מחליפים את הערכים הבאים:

  • FOLDER_ID: המזהה המספרי הייחודי של התיקייה. מידע על השימוש בתיקיות זמין במאמר יצירה וניהול של תיקיות.
  • LOCATION: המיקום שבו נוצרות קטגוריות חדשות של יומני _Default ו-_Required, ושבו נשמרות השאילתות. רשימת המיקומים הנתמכים מופיעה במאמר אזורים נתמכים.

ארגון 

gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION

לפני שמריצים את הפקודה הקודמת, מחליפים את הערכים הבאים:

  • ORGANIZATION_ID: המזהה המספרי הייחודי של הארגון. במאמר איך מוצאים את מספר הארגון מוסבר איך לקבל את המזהה הזה.
  • LOCATION: המיקום שבו נוצרות קטגוריות חדשות של יומני _Default ו-_Required, ושבו נשמרות השאילתות. רשימת המיקומים הנתמכים מופיעה במאמר אזורים נתמכים.

אם אי אפשר להשתמש ב-Google Cloud CLI, מריצים את שיטת Cloud Logging API‏ updateSettings.

מידע על פתרון שגיאות זמין במאמר פתרון בעיות בהגדרת המיקום של קטגוריות חדשות של יומנים שנוצרו על ידי המערכת.

הגדרת יעד _Default

ב-Logging יש _Default יעד מוגדר מראש לכל משאב שלGoogle Cloud פרויקט, חשבון לחיוב, תיקייה וארגון. כל יומן שנוצר במשאב שתואם למסנן ההכללה ושלא מוחרג, מנותב למאגר _Default שהוגדר מראש למשאב וששמו תואם.

בהגדרות ברירת המחדל של המשאבים ב-Cloud Logging, אפשר להגדיר את ההתנהגות הבאה של יעד _Default עבור ארגונים ותיקיות:

  • אפשר להשבית את היצירה של יעד _Default למשאבים חדשים של ילדים.

  • אתם יכולים להגדיר מסנן הכללה או כמה מסנני החרגה שיחולו על _Default מאגרי נתונים של פרויקטים חדשים.

השבתת יעד _Default

אפשר להשבית את יעד _Default לכל המשאבים החדשים בארגון או בתיקייה. השבתה של יעד _Default מונעת שמירה של יומנים בדלי _Default של המשאב. אם מפסיקים לאחסן יומנים בדלי _Default של משאב, היומנים שהיו אמורים להיות מנותבים לדלי הזה לא נכללים באחסון ב-Logging, אלא אם היומנים האלה נכללים במפורש ביעד אחר שהוגדר על ידי המשתמש עבור המשאב הזה.

כדי להשבית את _Default sinks למשאב ולכל משאבי הצאצא שלו, מריצים את הפקודה הבאה של gcloud logging settings update:

FOLDER 

gcloud logging settings update --folder=FOLDER_ID--disable-default-sink

לפני שמריצים את הפקודה הקודמת, מחליפים את מה שכתוב בשדות הבאים:

ארגון 

gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink

לפני שמריצים את הפקודה הקודמת, מחליפים את מה שכתוב בשדות הבאים:

הדגל disable-default-sink חל רק על יעד _Default שמעביר יומנים לקטגוריית _Default.

כדי להפעיל מחדש את מאגרי היעד של _Default, מריצים את הפקודה הבאה של gcloud logging settings update:

FOLDER 

gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink

ארגון 

gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink

הגדרת המסננים של מקורות נתונים מסוג _Default

היעד המוגדר מראש _Default sink מעביר כל רשומה ביומן שתואמת לקריטריונים של היעד אל _Default הקטגוריה המתאימה. אתם יכולים לשלוח פקודה של Cloud Logging API כדי לבטל את מסנן ההכללה המובנה ביעד _Default או כדי לצרף מסנן. מסנן ההחרגה המובנה של יעד _Default ריק. עם זאת, פקודת ה-API מאפשרת גם להוסיף מסנני החרגה.

כדי לציין מסנן הכללה או מסנן החרגה שמוחל על כל _Defaultיעדי היצוא של משאבים חדשים בארגון או בתיקייה, מריצים את ה-method updateSettings של Cloud Logging API ומציינים את האובייקט defaultSinkConfig.

אפשר להריץ את ה-method‏ updateSettings באמצעות הווידג'ט APIs Explorer בדף העזר של ה-method. בדוגמה הבאה מוצגים פרמטרים לדוגמה:

  • name (כתובת URL): ‏ organizations/ORGANIZATION_ID/settings
  • updateMask: "default_sink_config"

  • גוף הבקשה, שמכיל מופע של Settings:

    "defaultSinkConfig": {
  {
  "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") "
  "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") "
  "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") "
  "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") "
  "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ",
  "exclusions": [
     {
        "name": "exclude-data-access",
        "description": "Prevents Data Access audit logs from being routed",
        "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")",
     }
  ],
  "mode": OVERWRITE
  }
}

מסנן ההכללה המובנה של יעד _Default כולל את ההצהרה AND NOT LOG_ID("externalaudit.googleapis.com/activity"), שמונעת את הניתוב של יומני הביקורת Admin Activity אל קטגוריית היומן _Default. בדוגמה הקודמת, מסנן ההכללה משתנה כך שיומני הביקורת של פעילות האדמין מנותבים אל קטגוריה ביומן _Default. בדוגמה הזו נוסף גם מסנן החרגה שמונע את הניתוב של יומני הביקורת של גישה לנתונים אל קטגוריית _Default. בדוגמה הקודמת, מסנן ההחרגה נקרא exclude-data-access.

פתרון בעיות בהגדרות

מידע על פתרון בעיות זמין במאמר פתרון בעיות שקשורות ל-CMEK ולהגדרות ברירת המחדל של משאבים ב-Cloud Logging.