Ce document explique comment configurer les paramètres de ressource par défaut pour Cloud Logging. Ces paramètres vous permettent de contrôler l'emplacement de création des buckets de journaux créés par le système, si le chiffrement CMEK est requis pour les buckets de journaux et la configuration du récepteur de journaux _Default.
Vous pouvez configurer ces paramètres pour les organisations et les dossiers. Les ressources enfants en héritent. Vous configurez les paramètres de ressource par défaut pour Cloud Logging à l'aide de
Google Cloud CLI.
Les paramètres décrits dans ce document ne s'appliquent pas aux buckets d'observabilité. Si vous êtes intéressé par les buckets d'observabilité, consultez Définir des valeurs par défaut pour les buckets d'observabilité.
Présentation
La ressource "Organisation" se trouve au niveau le plus élevé de la Google Cloud hiérarchie des ressources. La ressource "Organisation" est le parent des ressources enfants suivantes : Google Cloud projets, dossiers, comptes de facturation et, en ce qui concerne Logging, buckets de journaux.
Pour les organisations et les dossiers, vous pouvez configurer les paramètres de ressource par défaut pour Cloud Logging. Ces paramètres vous permettent de spécifier l'emplacement des buckets de journaux, le modèle de chiffrement et la configuration du récepteur de journaux par défaut. Les ressources enfants héritent des paramètres de ressource par défaut de leur parent.
Vous pouvez utiliser les paramètres de ressource par défaut pour Cloud Logging afin de configurer les éléments suivants :
Si les nouveaux buckets de journaux d'une ressource doivent être chiffrés avec une clé gérée par le client et, le cas échéant, la clé Cloud KMS à utiliser pour le chiffrement.
L'emplacement de stockage des nouveaux
_Defaultet_Requiredbuckets de journaux créés par les ressources enfants, ainsi que des requêtes enregistrées par les pages Explorateur de journaux ou Analyse d'observabilité. En définissant l'emplacement de stockage, vous pouvez contrôler l'emplacement de stockage de vos journaux.Si une ressource dispose de paramètres de ressource par défaut pour Cloud Logging qui spécifient un emplacement de stockage, mais ne comportent pas de paramètre CMEK, les nouveaux buckets de journaux de la ressource ne nécessitent pas de CMEK.
Si le
_Defaultrécepteur de journaux est activé ou désactivé pour les nouveaux projets de la ressource.Les filtres d'inclusion ou d'exclusion qui sont appliqués à tous les nouveaux récepteurs
_Defaultdans les ressources enfants.
Exemples de configurations :
- Pour une organisation, les paramètres de ressource par défaut pour Cloud Logging spécifient un emplacement de stockage.
Pour les nouveaux projets de l'organisation, les buckets de journaux
_Defaultet_Requiredsont créés à l'emplacement spécifié. De plus, les requêtes enregistrées par les pages Explorateur de journaux ou Analyse d'observabilité sont stockées à l'emplacement spécifié. Ces requêtes incluent les requêtes récentes qui sont automatiquement enregistrées après leur exécution, ainsi que les requêtes enregistrées par les membres du Google Cloud projet.
Pour une organisation, les paramètres de ressource par défaut pour Cloud Logging spécifient un emplacement de stockage. De plus, pour un dossier de l'organisation, les paramètres de ressource par défaut pour Cloud Logging spécifient un autre emplacement de stockage. Pour les nouveaux projets qui se trouvent dans le dossier, les buckets
_Defaultet_Requiredsont créés à l'emplacement spécifié par les paramètres du dossier. Pour les projets qui ne se trouvent pas dans le dossier, leurs buckets_Defaultet_Requiredsont créés à l'emplacement spécifié par les paramètres de l'organisation.Pour une organisation, vous configurez les paramètres de ressource par défaut pour Cloud Logging afin de spécifier un emplacement et une clé CMEK. Pour le dossier nommé
Non-CMEK, vous configurez les paramètres de ressource par défaut pour Cloud Logging afin de spécifier uniquement un emplacement. Si vous créez un projet qui ne se trouve pas dans le dossier nomméNon-CMEK, les buckets_Defaultet_Requiredsont créés au même emplacement que la clé Cloud Key Management Service, et ces buckets de journaux sont chiffrés par cette clé. Toutefois, si vous créez un projet dans le dossier nomméNon-CMEK, ses buckets de journaux sont créés aux emplacements spécifiés par le paramètre de ce dossier, et ces buckets de journaux ne sont pas chiffrés par CMEK.Pour une organisation, vous configurez les paramètres de ressource par défaut pour Cloud Logging afin d'appliquer un filtre d'exclusion qui s'applique aux nouveaux récepteurs
_Default. Le filtre empêche le routage des journaux d'audit d'accès aux données via le récepteur_Defaultdans toutes les ressources enfants, ce qui empêche le stockage des journaux d'audit d'accès aux données dans le bucket_Default.
Avant de commencer
Ce document ne contient pas d'informations sur la configuration des paramètres de ressource par défaut pour Cloud Logging afin d'inclure un paramètre CMEK. Pour en savoir plus à ce sujet, consultez Configurer CMEK pour Logging.
Procédez comme suit :
-
Dans la Google Cloud console, activez Cloud Shell.
En bas de la Google Cloud console, une session Cloud Shell démarre et affiche une invite de ligne de commande. Cloud Shell est un environnement shell dans lequel Google Cloud CLI est déjà installé, et dans lequel des valeurs sont déjà définies pour votre projet actuel. L'initialisation de la session peut prendre quelques secondes.
Assurez-vous que votre rôle Identity and Access Management dans l'organisation ou le dossier inclut l'autorisation Cloud Logging suivante :
logging.settings.getlogging.settings.update
Identifiez l'emplacement où vous souhaitez stocker vos journaux et vos requêtes. Pour obtenir la liste des emplacements de stockage compatibles, consultez Régions compatibles.
Afficher les paramètres de ressource par défaut pour Cloud Logging
Pour afficher les paramètres de ressource par défaut pour Cloud Logging, utilisez la
gcloud logging settings describe
commande :
FOLDER
gcloud logging settings describe --folder=FOLDER_ID
Avant d'exécuter la commande précédente, effectuez le remplacement suivant :
- FOLDER_ID : identifiant numérique unique du dossier. Pour en savoir plus sur l'utilisation des dossiers, consultez Créer et gérer des dossiers.
ORGANIZATION
gcloud logging settings describe --organization=ORGANIZATION_ID
Avant d'exécuter la commande précédente, effectuez le remplacement suivant :
- ORGANIZATION_ID : identifiant numérique unique de l'organisation. Pour savoir comment obtenir cet identifiant, consultez Obtenir l'ID de votre organisation.
La commande précédente renvoie des informations sur les paramètres de ressource par défaut pour Cloud Logging. Voici un exemple de réponse :
name: organizations/ORGANIZATION_ID/settings kmsKeyName: KMS_KEY_NAME kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com storageLocation: europe-west1 disableDefaultSink: false
La valeur de SERVICE_ACCT_NAME peut être au format cmek-12345 ou
service-12345@.... Si vous ne pouvez pas utiliser Google Cloud CLI, exécutez la méthode getSettings de l'API Cloud Logging.
Définir l'emplacement de stockage
Les buckets de journaux sont les conteneurs de vos
Google Cloud projets, comptes de facturation, dossiers et organisations qui stockent
et organisent les données de vos journaux. Pour chaque Google Cloud projet, compte de facturation,
dossier et organisation, Logging crée automatiquement deux buckets de journaux
: _Required et _Default, qui sont automatiquement stockés à
l'emplacement global.
Pour les organisations et les dossiers, les paramètres de ressource par défaut pour Cloud Logging contrôlent l'emplacement de création des nouveaux buckets de journaux _Required et _Default, ainsi que l'emplacement de stockage des requêtes que vous exécutez dans les pages Explorateur de journaux et Analyse d'observabilité. Les emplacements des requêtes et des buckets de journaux existants ne sont pas modifiés.
Pour les organisations et les dossiers, les éléments suivants se produisent lorsque vous configurez les paramètres de ressource par défaut pour Cloud Logging afin de spécifier un emplacement :
- Pour les nouvelles ressources enfants créées dans l'organisation ou le dossier, leurs buckets
_Requiredet_Defaulthéritent des paramètres de ressource par défaut de leur parent.
- Spécifie l'emplacement de stockage des requêtes nouvelles et récentes que vous exécutez dans les pages Explorateur de journaux ou Analyse d'observabilité.
Lorsque les paramètres de ressource par défaut pour Cloud Logging spécifient un emplacement, cet emplacement ne s'applique pas aux buckets de journaux définis par l'utilisateur ni aux requêtes enregistrées à l'aide de l'API Logging.
Configurer les règles d'administration
Logging est compatible avec les règles d'administration qui peuvent limiter l'emplacement de stockage des données. Si une telle règle existe pour votre organisation, vous ne pouvez créer des buckets de journaux qu'aux emplacements autorisés par la règle.
Lorsqu'une règle d'administration spécifiant une contrainte d'emplacement existe, les valeurs de la règle pour la contrainte doivent inclure l'emplacement spécifié dans les paramètres de ressource par défaut pour Cloud Logging. Avant de mettre à jour les paramètres de ressource par défaut pour Cloud Logging, examinez et, si nécessaire, mettez à jour les règles d'administration.
Pour afficher ou mettre à jour les règles d'administration, procédez comme suit :
-
Dans la Google Cloud console, accédez à la page Règles d'administration :
Accéder à la page Règles d'administration
Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est IAM et administration.
Sélectionner votre organisation.
Affichez et, si nécessaire, mettez à jour la contrainte avec l'ID
constraints/gcp.resourceLocations. Si cette contrainte n'est pas configurée, aucune mise à jour n'est requise.Pour savoir comment afficher des contraintes spécifiques et les modifier, consultez Créer et modifier des règles.
Définir l'emplacement de stockage des nouveaux buckets de journaux créés par le système
Pour configurer les paramètres de ressource par défaut pour Cloud Logging afin de spécifier un paramètre d'emplacement, exécutez la
gcloud logging settings update
commande et incluez l'indicateur --storage-location :
FOLDER
gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION
Avant d'exécuter la commande précédente, effectuez le remplacement suivant :
- FOLDER_ID : identifiant numérique unique du dossier. Pour en savoir plus sur l'utilisation des dossiers, consultez Créer et gérer des dossiers.
- LOCATION : emplacement où les nouveaux
_Defaultet_Requiredbuckets de journaux sont créés, et où les requêtes sont stockées. Pour obtenir la liste des emplacements compatibles, consultez Régions compatibles.
ORGANIZATION
gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION
Avant d'exécuter la commande précédente, effectuez le remplacement suivant :
- ORGANIZATION_ID : identifiant numérique unique de l'organisation. Pour savoir comment obtenir cet identifiant, consultez Obtenir l'ID de votre organisation.
- LOCATION : emplacement où les nouveaux
_Defaultet_Requiredbuckets de journaux sont créés, et où les requêtes sont stockées. Pour obtenir la liste des emplacements compatibles, consultez Régions compatibles.
Si vous ne pouvez pas utiliser Google Cloud CLI, exécutez la
méthode updateSettingsde l'API Cloud Logging.
Pour en savoir plus sur la résolution des erreurs, consultez Résoudre les problèmes liés à la définition de l'emplacement des nouveaux buckets de journaux créés par le système.
Configurer le récepteur _Default
Logging fournit un récepteur
_Default prédéfini pour chaque
Google Cloud ressource de projet, compte de facturation, dossier et organisation. Tous les
journaux générés dans la ressource qui correspondent au filtre d'inclusion et
qui ne sont pas exclus sont acheminés vers le bucket _Default prédéfini de la ressource, nommé en conséquence.
Pour les organisations et les dossiers, les paramètres de ressource par défaut pour Cloud Logging vous permettent de configurer le comportement suivant du récepteur _Default :
Vous pouvez désactiver la création d'un récepteur
_Defaultpour les nouvelles ressources enfants.Vous pouvez configurer un filtre d'inclusion ou plusieurs filtres d'exclusion qui s'appliquent aux récepteurs
_Defaultdes nouveaux projets.
Désactiver le récepteur _Default
Vous pouvez désactiver les récepteurs _Default pour toutes les nouvelles ressources d'une organisation ou d'un dossier. La désactivation des récepteurs _Default empêche le stockage des journaux dans le bucket _Default de la ressource.
Si vous arrêtez de stocker des journaux dans le bucket _Default d'une ressource, les journaux qui auraient été acheminés vers ce bucket sont exclus du stockage dans Logging, sauf s'ils sont explicitement inclus dans un autre récepteur défini par l'utilisateur pour cette ressource.
Pour désactiver les _Default récepteurs pour une ressource et toutes ses ressources enfants, exécutez la commande suivante :gcloud logging settings update
FOLDER
gcloud logging settings update --folder=FOLDER_ID--disable-default-sink
Avant d'exécuter la commande précédente, effectuez le remplacement suivant :
- FOLDER_ID : identifiant numérique unique du dossier. Pour en savoir plus sur l'utilisation des dossiers, consultez Créer et gérer des dossiers.
ORGANIZATION
gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink
Avant d'exécuter la commande précédente, effectuez le remplacement suivant :
- ORGANIZATION_ID : identifiant numérique unique de l'organisation. Pour savoir comment obtenir cet identifiant, consultez Obtenir l'ID de votre organisation.
L'indicateur disable-default-sink ne s'applique qu'au récepteur _Default qui achemine les journaux vers le bucket _Default.
Vous pouvez réactiver les récepteurs _Default en exécutant la commande
gcloud logging settings update suivante :
FOLDER
gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink
ORGANIZATION
gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink
Configurer les filtres des récepteurs _Default
Le récepteur _Default prédéfini achemine toutes les entrées de journal qui correspondent aux critères du récepteur vers le bucket _Default correspondant. Vous pouvez envoyer une commande d'API Cloud Logging pour remplacer le filtre d'inclusion intégré dans le récepteur _Default ou pour ajouter un filtre.
Le filtre d'exclusion intégré pour le récepteur _Default est vide. Toutefois,
la commande d'API vous permet également d'
ajouter des filtres d'exclusion.
Pour spécifier un filtre d'inclusion ou d'exclusion qui est appliqué à tous les
_Default récepteurs des nouvelles ressources d'une organisation ou d'un dossier,
exécutez la méthode updateSettings de l'API Cloud Logging et
spécifiez l'objet defaultSinkConfig.
Vous pouvez exécuter la méthode updateSettings à l'aide du
widget Explorateur d'API sur la page de référence de la méthode. L'exemple suivant illustre des exemples de paramètres :
- name (URL):
organizations/ORGANIZATION_ID/settings - updateMask:
"default_sink_config" Corps de la requête, qui contient une instance de
Settings:"defaultSinkConfig": { { "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ", "exclusions": [ { "name": "exclude-data-access", "description": "Prevents Data Access audit logs from being routed", "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")", } ], "mode": OVERWRITE } }
Le filtre d'inclusion intégré pour le récepteur _Default inclut l'
instruction AND NOT LOG_ID("externalaudit.googleapis.com/activity"), qui
empêche le routage des journaux d'audit des activités d'administration vers le
bucket de journaux _Default. Dans l'exemple précédent, le filtre d'inclusion est modifié de sorte que les journaux d'audit des activités d'administration soient acheminés vers le bucket de journaux _Default. L'exemple ajoute également un filtre d'exclusion qui empêche le routage des journaux d'audit d'accès aux données vers le bucket _Default.
Dans l'exemple précédent, le filtre d'exclusion est nommé exclude-data-access.
Résoudre les erreurs de configuration
Pour obtenir des informations de dépannage, consultez Résoudre les problèmes liés à CMEK et aux paramètres de ressource par défaut pour Cloud Logging.