In diesem Dokument wird beschrieben, wie Sie Standardeinstellungen für Ressourcen für Cloud Logging konfigurieren. Mit diesen Einstellungen können Sie festlegen, wo neue, vom System erstellte Log-Buckets erstellt werden, ob CMEK für Log-Buckets erforderlich ist und wie die _Default-Log-Senke konfiguriert wird.
Sie können diese Einstellungen für Organisationen und Ordner konfigurieren. Die Einstellungen werden von untergeordneten Ressourcen übernommen. Sie konfigurieren die Standardeinstellungen für Ressourcen für Cloud Logging mit
der Google Cloud CLI.
Die in diesem Dokument beschriebenen Einstellungen gelten nicht für Beobachtbarkeits-Buckets. Weitere Informationen zu Beobachtbarkeits-Buckets finden Sie unter Standardeinstellungen für Beobachtbarkeits-Buckets festlegen.
Übersicht
Die Organisationsressource befindet sich auf der höchsten Ebene der Google Cloud Ressourcenhierarchie. Die Organisationsressource ist das übergeordnete Element der folgenden untergeordneten Ressourcen: Google Cloud Projekte, Ordner, Rechnungskonten und in Bezug auf Logging, Log-Buckets.
Für Organisationen und Ordner können Sie Standardeinstellungen für Ressourcen für Cloud Logging konfigurieren. Mit diesen Einstellungen können Sie den Speicherort von Log-Buckets, das Verschlüsselungsmodell und die Konfiguration der Standard-Log-Senke angeben. Untergeordnete Ressourcen übernehmen die Standardeinstellungen für Ressourcen des übergeordneten Elements.
Mit den Standardeinstellungen für Ressourcen für Cloud Logging können Sie Folgendes konfigurieren:
Ob neue Log-Buckets in einer Ressource mit einem vom Kunden verwalteten Schlüssel verschlüsselt werden sollen und wenn ja, welcher Cloud KMS-Schlüssel für die Verschlüsselung verwendet werden soll.
Der Speicherort für neue
_Defaultund_RequiredLog-Buckets , die von untergeordneten Ressourcen erstellt wurden, und für Abfragen, die auf den Seiten Log-Explorer oder Observability Analytics gespeichert wurden. Durch Festlegen des Speicherorts können Sie steuern, wo Ihre Logs gespeichert werden.Wenn für eine Ressource Standardeinstellungen für Ressourcen für Cloud Logging festgelegt sind, die einen Speicherort angeben, aber keine CMEK-Einstellung haben, ist CMEK für neue Log-Buckets in der Ressource nicht erforderlich.
Ob die
_DefaultLog-Senke für neue Projekte in der Ressource aktiviert oder deaktiviert ist.Die Einschluss- oder Ausschlussfilter, die auf alle neuen
_Default-Senken in den untergeordneten Ressourcen angewendet werden.
Beispielkonfigurationen:
- Für eine Organisation wird in den Standardeinstellungen für Ressourcen für Cloud Logging ein Speicherort angegeben.
Für neue Projekte in der Organisation werden die Log-Buckets
_Defaultund_Requiredam angegebenen Speicherort erstellt. Außerdem werden Abfragen, die auf den Seiten Log-Explorer oder Observability Analytics gespeichert wurden, am angegebenen Speicherort gespeichert. Diese Abfragen umfassen die letzten Abfragen, die nach der Ausführung automatisch gespeichert werden, und Abfragen, die von Mitgliedern des Google Cloud Projekts gespeichert wurden.
Für eine Organisation wird in den Standardeinstellungen für Ressourcen für Cloud Logging ein Speicherort angegeben. Außerdem wird für einen Ordner in der Organisation in den Standardeinstellungen für Ressourcen für Cloud Logging ein anderer Speicherort angegeben. Für neue Projekte im Ordner werden die Buckets
_Defaultund_Requiredam Speicherort erstellt, der in den Einstellungen des Ordners angegeben ist. Für Projekte, die sich nicht im Ordner befinden, werden die Buckets_Defaultund_Requiredam Speicherort erstellt, der in den Einstellungen der Organisation angegeben ist.Für eine Organisation konfigurieren Sie die Standardeinstellungen für Ressourcen für Cloud Logging so, dass ein Speicherort und CMEK angegeben werden. Für den Ordner
Non-CMEKkonfigurieren Sie die Standardeinstellungen für Ressourcen für Cloud Logging so, dass nur ein Speicherort angegeben wird. Wenn Sie ein Projekt erstellen, das sich nicht im OrdnerNon-CMEKbefindet, werden die Buckets_Defaultund_Requiredam selben Speicherort wie der Cloud Key Management Service-Schlüssel erstellt und diese Log-Buckets werden mit diesem Schlüssel verschlüsselt. Wenn Sie jedoch ein neues Projekt im OrdnerNon-CMEKerstellen, werden die Log-Buckets an den Speicherorten erstellt, die in den Einstellungen dieses Ordners angegeben sind. Diese Log-Buckets werden nicht mit CMEK verschlüsselt.Für eine Organisation konfigurieren Sie die Standardeinstellungen für Ressourcen für Cloud Logging so, dass ein Ausschlussfilter angewendet wird, der für neue
_Default-Senken gilt. Der Filter verhindert, dass Audit-Logs zum Datenzugriff über die_Default-Senke in allen untergeordneten Ressourcen weitergeleitet werden. Dadurch werden die Audit-Logs zum Datenzugriff nicht im_Default-Bucket gespeichert.
Hinweis
Dieses Dokument enthält keine Informationen zum Konfigurieren der Standardeinstellungen für Ressourcen für Cloud Logging mit einer CMEK-Einstellung. Weitere Informationen zu diesem Thema finden Sie unter CMEK für Logging konfigurieren.
Gehen Sie dazu so vor:
-
Aktivieren Sie in der Google Cloud Console die Cloud Shell.
Unten in der Google Cloud Console wird eine Cloud Shell Sitzung gestartet und eine Befehlszeilenaufforderung angezeigt. Cloud Shell ist eine Shell-Umgebung in der das Google Cloud CLI bereits installiert ist und Werte für Ihr aktuelles Projekt bereits festgelegt sind. Das Initialisieren der Sitzung kann einige Sekunden dauern.
Prüfen Sie, ob Ihre Identity and Access Management-Rolle für die Organisation oder den Ordner die folgende Cloud Logging-Berechtigung enthält:
logging.settings.getlogging.settings.update
Geben Sie den Speicherort an, an dem Sie Ihre Logs und Abfragen speichern möchten. Eine Liste der unterstützten Speicherorte finden Sie unter Unterstützte Regionen.
Standardeinstellungen für Ressourcen für Cloud Logging ansehen
Verwenden Sie den
gcloud logging settings describe
Befehl, um die Standardeinstellungen für Ressourcen für Cloud Logging anzusehen:
FOLDER
gcloud logging settings describe --folder=FOLDER_ID
Ersetzen Sie vor dem Ausführen des vorherigen Befehls Folgendes:
- FOLDER_ID: Die eindeutige numerische ID des Ordners. Informationen zur Verwendung von Ordnern finden Sie unter Ordner erstellen und verwalten.
ORGANISATION
gcloud logging settings describe --organization=ORGANIZATION_ID
Ersetzen Sie vor dem Ausführen des vorherigen Befehls Folgendes:
- ORGANIZATION_ID: Die eindeutige numerische ID der Organisation. Informationen zum Abrufen dieser ID finden Sie unter Organisations-ID abrufen.
Der vorherige Befehl gibt Informationen zu den Standardeinstellungen für Ressourcen für Cloud Logging zurück. Hier ist ein Beispiel für eine Antwort:
name: organizations/ORGANIZATION_ID/settings kmsKeyName: KMS_KEY_NAME kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com storageLocation: europe-west1 disableDefaultSink: false
Der Wert von SERVICE_ACCT_NAME kann das Format cmek-12345 oder
service-12345@... haben. Wenn Sie die Google Cloud CLI nicht verwenden können, führen Sie die
Cloud Logging API-Methode getSettings aus.
Speicherort festlegen
Log-Buckets sind die Container in Ihren
Google Cloud Projekten, Rechnungskonten, Ordnern und Organisationen, in denen Logdaten gespeichert
und organisiert werden. Für jedes Google Cloud Projekt, Rechnungskonto,
jeden Ordner und jede Organisation erstellt Logging automatisch die zwei Log
Buckets: _Required und _Default, die automatisch am Speicherort
global gespeichert werden.
Für Organisationen und Ordner steuern die Standardeinstellungen für Ressourcen für Cloud Logging, wo neue _Required- und _Default-Log-Buckets erstellt werden und wo Abfragen gespeichert werden, die Sie auf den Seiten Log-Explorer und Observability Analytics ausführen. Die Speicherorte vorhandener Abfragen und Log-Buckets werden nicht geändert.
Für Organisationen und Ordner geschieht Folgendes, wenn Sie die Standardeinstellungen für Ressourcen für Cloud Logging so konfigurieren, dass ein Speicherort angegeben wird:
- Für neue untergeordnete Ressourcen, die in der Organisation oder im Ordner erstellt wurden, übernehmen die Buckets
_Requiredund_Defaultdie Standardeinstellungen für Ressourcen des übergeordneten Elements.
- Gibt den Speicherort für neue und letzte Abfragen an, die Sie auf den Seiten Log-Explorer oder Observability Analytics ausführen.
Wenn in den Standardeinstellungen für Ressourcen für Cloud Logging ein Speicherort angegeben ist, gilt dieser Speicherort nicht für benutzerdefinierte Log-Buckets oder für Abfragen, die mit der Logging API gespeichert wurden.
Organisationsrichtlinien konfigurieren
Logging unterstützt Organisationsrichtlinien, mit denen eingeschränkt werden kann, wo Daten gespeichert werden dürfen. Wenn eine solche Richtlinie für Ihre Organisation vorhanden ist, können Sie Log-Buckets nur an Speicherorten erstellen, die von der Richtlinie zugelassen werden.
Wenn eine Organisationsrichtlinie mit einer Speicherorteinschränkung vorhanden ist, müssen die Richtlinienwerte für die Einschränkung den in den Standardeinstellungen für Ressourcen für Cloud Logging angegebenen Speicherort enthalten. Bevor Sie die Standardeinstellungen für Ressourcen für Cloud Logging aktualisieren, prüfen Sie die Organisationsrichtlinien und aktualisieren Sie sie gegebenenfalls.
So rufen Sie Organisationsrichtlinien auf oder aktualisieren sie:
-
Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf:
Zu den Organisationsrichtlinien
Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift IAM &Admin lautet.
Wählen Sie Ihre Organisation aus.
Rufen Sie die Einschränkung mit der ID
constraints/gcp.resourceLocationsauf und aktualisieren Sie sie gegebenenfalls. Wenn diese Einschränkung nicht konfiguriert ist, ist keine Aktualisierung erforderlich.Informationen zum Aufrufen bestimmter Einschränkungen und zum Bearbeiten dieser Einschränkungen finden Sie unter Richtlinien erstellen und bearbeiten.
Speicherort für neue, vom System erstellte Log-Buckets festlegen
Führen Sie den
gcloud logging settings update
Befehl aus und fügen Sie das --storage-location Flag ein, um die Standardeinstellungen für Ressourcen für Cloud Logging so zu konfigurieren, dass eine Speicherorteinstellung angegeben wird:
FOLDER
gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION
Ersetzen Sie vor dem Ausführen des vorherigen Befehls Folgendes:
- FOLDER_ID: Die eindeutige numerische ID des Ordners. Informationen zur Verwendung von Ordnern finden Sie unter Ordner erstellen und verwalten.
- LOCATION: Der Speicherort, an dem neue
_Defaultund_RequiredLog-Buckets erstellt und Abfragen gespeichert werden. Eine Liste der unterstützten Speicherorte finden Sie unter Unterstützte Regionen.
ORGANISATION
gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION
Ersetzen Sie vor dem Ausführen des vorherigen Befehls Folgendes:
- ORGANIZATION_ID: Die eindeutige numerische ID der Organisation. Informationen zum Abrufen dieser ID finden Sie unter Organisations-ID abrufen.
- LOCATION: Der Speicherort, an dem neue
_Defaultund_RequiredLog-Buckets erstellt und Abfragen gespeichert werden. Eine Liste der unterstützten Speicherorte finden Sie unter Unterstützte Regionen.
Wenn Sie die Google Cloud CLI nicht verwenden können, führen Sie die
Cloud Logging API-Methode updateSettings aus.
Informationen zum Beheben von Fehlern finden Sie unter Fehlerbehebung beim Festlegen des Speicherorts für neue, vom System erstellte Log-Buckets.
_Default-Senke konfigurieren
Logging bietet für jede
Google Cloud Projekt-, Rechnungskonto-, Ordner- und Organisationsressource eine vordefinierte
_Default Senke. Alle
Logs, die in der Ressource generiert werden, die mit dem Einschlussfilter übereinstimmen und
nicht ausgeschlossen sind, werden an den vordefinierten, entsprechend
benannten _Default-Bucket der Ressource weitergeleitet.
Für Organisationen und Ordner können Sie mit den Standardeinstellungen für Ressourcen für Cloud Logging das folgende Verhalten der _Default-Senke konfigurieren:
Sie können die Erstellung einer
_Default-Senke für neue untergeordnete Ressourcen deaktivieren.Sie können einen Einschlussfilter oder mehrere Ausschlussfilter konfigurieren, die auf die
_Default-Senken neuer Projekte angewendet werden.
_Default-Senke deaktivieren
Sie können die _Default-Senken für alle neuen Ressourcen in einer Organisation oder einem Ordner deaktivieren. Wenn Sie die _Default-Senken deaktivieren, werden keine Logs im _Default-Bucket der Ressource gespeichert.
Wenn Sie keine Logs mehr im _Default-Bucket einer Ressource speichern, werden die Logs, die an diesen Bucket weitergeleitet worden wären, von der Speicherung in Logging ausgeschlossen, es sei denn, diese Logs sind explizit in einer anderen benutzerdefinierten Senke für diese Ressource enthalten.
Führen Sie den folgenden
gcloud logging settings update
Befehl aus, um die _Default Senken für eine Ressource und alle untergeordneten
Ressourcen zu deaktivieren:
FOLDER
gcloud logging settings update --folder=FOLDER_ID--disable-default-sink
Ersetzen Sie vor dem Ausführen des vorherigen Befehls Folgendes:
- FOLDER_ID: Die eindeutige numerische ID des Ordners. Informationen zur Verwendung von Ordnern finden Sie unter Ordner erstellen und verwalten.
ORGANISATION
gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink
Ersetzen Sie vor dem Ausführen des vorherigen Befehls Folgendes:
- ORGANIZATION_ID: Die eindeutige numerische ID der Organisation. Informationen zum Abrufen dieser ID finden Sie unter Organisations-ID abrufen.
Das Flag disable-default-sink gilt nur für die _Default-Senke, die Logs an den _Default-Bucket weiterleitet.
Sie können die _Default-Senken mit dem folgenden
gcloud logging settings update Befehl wieder aktivieren:
FOLDER
gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink
ORGANISATION
gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink
Filter von _Default-Senken konfigurieren
Die vordefinierte _Default-Senke leitet alle Logeinträge, die den Senkenkriterien entsprechen, an den entsprechenden _Default-Bucket weiter. Sie können einen
Cloud Logging API-Befehl senden, um den integrierten
Einschlussfilter
in der _Default-Senke zu überschreiben oder einen Filter anzuhängen.
Der integrierte Ausschlussfilter für die _Default-Senke ist leer. Mit dem API-Befehl können Sie jedoch auch Ausschlussfilter hinzufügen.
Wenn Sie einen Einschluss- oder Ausschlussfilter angeben möchten, der auf alle
_Default Senken neuer Ressourcen in einer Organisation oder einem Ordner angewendet wird,
führen Sie die Cloud Logging API-Methode updateSettings aus und
geben Sie das Objekt defaultSinkConfig an.
Sie können die updateSettings Methode mit dem
APIs Explorer Widget auf der Referenzseite der Methode ausführen. Das folgende Beispiel zeigt Beispielparameter:
- Name (URL):
organizations/ORGANIZATION_ID/settings - updateMask:
"default_sink_config" Anfragetext, der eine Instanz von
Settingsenthält:"defaultSinkConfig": { { "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ", "exclusions": [ { "name": "exclude-data-access", "description": "Prevents Data Access audit logs from being routed", "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")", } ], "mode": OVERWRITE } }
Der integrierte Einschlussfilter für die _Default-Senke enthält die
Anweisung AND NOT LOG_ID("externalaudit.googleapis.com/activity"), die
verhindert, dass Audit-Logs zur Administratoraktivität an den
_Default-Log-Bucket weitergeleitet werden. Im vorherigen Beispiel wird der Einschlussfilter so geändert, dass Audit-Logs zur Administratoraktivität an den _Default-Log-Bucket weitergeleitet werden. Im Beispiel wird auch ein Ausschlussfilter hinzugefügt, der verhindert, dass Audit-Logs zum Datenzugriff an den _Default-Bucket weitergeleitet werden.
Im vorherigen Beispiel heißt der Ausschlussfilter exclude-data-access.
Konfigurationsfehler beheben
Informationen zur Fehlerbehebung finden Sie unter Fehlerbehebung bei CMEK und Standardeinstellungen für Ressourcen für Cloud Logging.