Configura los parámetros de configuración predeterminados de los recursos para Cloud Logging

En este documento, se describe cómo configurar los parámetros de configuración predeterminados de los recursos para Cloud Logging. Estos parámetros de configuración te permiten controlar dónde se crean los buckets de registros nuevos creados por el sistema, si se requiere CMEK para los buckets de registros y la configuración del receptor de registros _Default. Puedes configurar estos parámetros para organizaciones y carpetas, y los recursos secundarios heredan la configuración. Para configurar los parámetros de configuración predeterminados de los recursos de Cloud Logging, usa la CLI de Google Cloud.

Descripción general

El recurso de organización se encuentra en el nivel más alto de la Google Cloud jerarquía de recursos. El recurso de organización es el principal de los siguientes recursos secundarios: Google Cloud proyectos, carpetas, cuentas de facturación y, en relación con el registro, buckets de registros.

En el caso de las organizaciones y las carpetas, puedes configurar los parámetros de configuración predeterminados de los recursos para Cloud Logging. Estos parámetros de configuración te permiten especificar la ubicación de los buckets de registros, el modelo de encriptación y la configuración del receptor de registros predeterminado. Los recursos secundarios heredan la configuración predeterminada de recursos de su recurso superior.

Puedes usar la configuración predeterminada de recursos para Cloud Logging y configurar lo siguiente:

  • Indica si los buckets de registros nuevos de un recurso se encriptarán con una clave administrada por el cliente y, de ser así, la clave de Cloud KMS que se usará para la encriptación.

  • Ubicación de almacenamiento para los nuevos buckets de registros _Default y _Required creados por recursos secundarios, y para las consultas guardadas por las páginas del Explorador de registros o el Análisis de registros Si configuras la ubicación de almacenamiento, puedes controlar dónde se almacenan tus registros.

    Si un recurso tiene una configuración predeterminada de recursos para Cloud Logging que especifica una ubicación de almacenamiento, pero no tiene un parámetro de configuración de CMEK, los buckets de registros nuevos del recurso no requieren CMEK.

  • Indica si el registro de _Default está habilitado o inhabilitado para los proyectos nuevos en el recurso.

  • Son los filtros de inclusión o exclusión que se aplican a todos los receptores _Default nuevos en los recursos secundarios.

Ejemplos de configuraciones:

  • En el caso de una organización, la configuración predeterminada de los recursos de Cloud Logging especifica una ubicación de almacenamiento. En el caso de los proyectos nuevos de la organización, los buckets de registros _Default y _Required se crean en la ubicación especificada. Además, las consultas guardadas por las páginas del Explorador de registros o del Análisis de registros se almacenan en la ubicación especificada. Estas consultas incluyen las consultas recientes que se guardan automáticamente después de ejecutarse y las consultas que guardan los miembros del proyecto deGoogle Cloud .

  • En el caso de una organización, la configuración predeterminada de los recursos de Cloud Logging especifica una ubicación de almacenamiento. Además, para una carpeta de la organización, la configuración predeterminada de los recursos de Cloud Logging especifica una ubicación de almacenamiento diferente. En el caso de los proyectos nuevos que se encuentran en la carpeta, los buckets _Default y _Required se crean en la ubicación especificada por la configuración de la carpeta. En el caso de los proyectos que no se encuentran en la carpeta, sus buckets _Default y _Required se crean en la ubicación especificada por la configuración de la organización.

  • En el caso de una organización, debes configurar los parámetros de configuración predeterminados de los recursos para Cloud Logging y especificar una ubicación y una CMEK. Para la carpeta llamada Non-CMEK, configura los parámetros de configuración predeterminados del recurso para Cloud Logging de modo que solo se especifique una ubicación. Si creas un proyecto que no está en la carpeta llamada Non-CMEK, los buckets _Default y _Required se crearán en la misma ubicación que la clave de Cloud Key Management Service, y esos buckets de registros se encriptarán con esa clave. Sin embargo, si creas un proyecto nuevo en la carpeta llamada Non-CMEK, sus buckets de registros se crearán en las ubicaciones especificadas por la configuración de esa carpeta, y esos buckets de registros no estarán encriptados con la CMEK.

  • En el caso de una organización, puedes configurar los parámetros de configuración predeterminados de los recursos para Cloud Logging de modo que se aplique un filtro de exclusión a los receptores _Default nuevos. El filtro excluye los registros de auditoría de acceso a los datos del enrutamiento a través del receptor _Default en todos los recursos secundarios, lo que evita que los registros de auditoría de acceso a los datos se almacenen en el bucket _Default.

Antes de comenzar

Este documento no contiene información sobre cómo configurar los parámetros de configuración predeterminados de recursos para que Cloud Logging tenga un parámetro de configuración de CMEK. Para obtener información sobre ese tema, consulta Cómo configurar CMEK para Logging.

Haz lo siguiente:

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Asegúrate de que tu rol de Identity and Access Management en la organización o carpeta incluya el siguiente permiso de Cloud Logging:

    • logging.settings.get
    • logging.settings.update

  3. Identifica la ubicación en la que deseas almacenar tus registros y búsquedas. Para obtener una lista de las ubicaciones de almacenamiento admitidas, consulta Regiones admitidas.

    4. Consulta la configuración predeterminada de los recursos de Cloud Logging

    Para ver la configuración predeterminada de los recursos de Cloud Logging, usa el comando gcloud logging settings describe:

    FOLDER 

     gcloud logging settings describe --folder=FOLDER_ID

    Antes de ejecutar el comando anterior, realiza el siguiente reemplazo:

    • FOLDER_ID: Es el identificador numérico único de la carpeta. Para obtener información sobre cómo usar las carpetas, consulta Crea y administra carpetas.

    ORGANIZACIÓN 

    gcloud logging settings describe --organization=ORGANIZATION_ID

    Antes de ejecutar el comando anterior, realiza el siguiente reemplazo:

    • ORGANIZATION_ID: Es el identificador numérico único de la organización. Para obtener información sobre cómo obtener este identificador, consulta Obtén el ID de tu organización.

    El comando anterior devuelve información sobre la configuración predeterminada de recursos para Cloud Logging. A continuación, se muestra una respuesta de ejemplo:

    name: organizations/ORGANIZATION_ID/settings
kmsKeyName: KMS_KEY_NAME
kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
storageLocation: europe-west1
disableDefaultSink: false

    El valor de SERVICE_ACCT_NAME puede tener el formato cmek-12345 o service-12345@.... Si no puedes usar Google Cloud CLI, ejecuta el método de la API de Cloud Logging getSettings.

    Cómo establecer la ubicación de almacenamiento

    Los buckets de registros son los contenedores en tusGoogle Cloud proyectos, cuentas de facturación, carpetas y organizaciones que almacenan y organizan tus datos de registros. Para cada proyecto, cuenta de facturación, carpeta y organización de Google Cloud , Logging crea automáticamente dos buckets de registros: _Required y _Default, que se almacenan automáticamente en la ubicación global.

    En el caso de las organizaciones y las carpetas, la configuración predeterminada de los recursos de Cloud Logging controla dónde se crean los buckets de registros _Required y _Default nuevos, y dónde se almacenan las consultas que ejecutas en las páginas del Explorador de registros y de Log Analytics. No se cambian las ubicaciones de los buckets de registros ni las consultas existentes.

    En el caso de las organizaciones y las carpetas, ocurre lo siguiente cuando configuras los parámetros de configuración predeterminados de los recursos de Cloud Logging para especificar una ubicación:

    • En el caso de los recursos secundarios nuevos creados en la organización o la carpeta, sus buckets de _Required y _Default heredan la configuración predeterminada de recursos de su recurso principal.
    • Especifica la ubicación de almacenamiento para las consultas nuevas y recientes que ejecutas en las páginas del Explorador de registros o de Estadísticas de registros.

    Cuando la configuración predeterminada de recursos para Cloud Logging especifica una ubicación, esa ubicación no se aplica a los buckets de registros definidos por el usuario ni a las consultas guardadas con la API de Logging.

    Configura las políticas de la organización

    El registro admite políticas de la organización que pueden restringir dónde se pueden almacenar los datos. Si existe una política de este tipo para tu organización, solo puedes crear buckets de registros en las ubicaciones que permite la política.

    Cuando existe una política de la organización que especifica una restricción de ubicación, los valores de la política para la restricción deben incluir la ubicación especificada en la configuración predeterminada de recursos para Cloud Logging. Antes de actualizar la configuración predeterminada de los recursos de Cloud Logging, revisa y, si es necesario, actualiza las políticas de la organización.

    Para ver o actualizar las políticas de la organización, haz lo siguiente:

    1. En la consola de Google Cloud , ve a la página Políticas de la organización:

      Ir a Políticas de la organización

      Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es IAM y administrador.

    2. Selecciona tu organización.

    3. Consulta y, si es necesario, actualiza la restricción con el ID constraints/gcp.resourceLocations. Si esta restricción no está configurada, no se requiere una actualización.

      Para obtener información sobre cómo ver restricciones específicas y cómo editarlas, consulta Crea y edita políticas.

    Cómo establecer la ubicación de almacenamiento para los buckets de registros nuevos creados por el sistema

    Para configurar los parámetros predeterminados del recurso de Cloud Logging y especificar un parámetro de configuración de ubicación, ejecuta el comando gcloud logging settings update y, luego, incluye la marca --storage-location:

    FOLDER 

    gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION

    Antes de ejecutar el comando anterior, realiza los siguientes reemplazos:

    • FOLDER_ID: Es el identificador numérico único de la carpeta. Para obtener información sobre cómo usar las carpetas, consulta Crea y administra carpetas.
    • LOCATION: Es la ubicación en la que se crean los nuevos buckets de registros _Default y _Required, y en la que se almacenan las consultas. Para obtener una lista de las ubicaciones admitidas, consulta Regiones admitidas.

    ORGANIZACIÓN 

    gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION

    Antes de ejecutar el comando anterior, realiza los siguientes reemplazos:

    • ORGANIZATION_ID: Es el identificador numérico único de la organización. Para obtener información sobre cómo obtener este identificador, consulta Obtén el ID de tu organización.
    • LOCATION: Es la ubicación en la que se crean los nuevos buckets de registros _Default y _Required, y en la que se almacenan las consultas. Para obtener una lista de las ubicaciones admitidas, consulta Regiones admitidas.

    Si no puedes usar Google Cloud CLI, ejecuta el método de la API de Cloud Logging updateSettings.

    Para obtener información sobre cómo resolver errores, consulta Soluciona problemas relacionados con la configuración de la ubicación de los buckets de registros creados por el sistema.

    Configura el receptor de _Default

    Logging proporciona un receptor _Default predefinido para cada recurso deGoogle Cloud proyecto, cuenta de facturación, carpeta y organización. Cualquier registro que se genere en el recurso que coincida con el filtro de inclusión y que no se excluya se enruta al bucket _Default predefinido del recurso con el nombre correspondiente.

    En el caso de las organizaciones y las carpetas, la configuración predeterminada de recursos de Cloud Logging te permite configurar el siguiente comportamiento del receptor _Default:

    • Puedes inhabilitar la creación de un receptor _Default para los recursos secundarios nuevos.

    • Puedes configurar un filtro de inclusión o varios filtros de exclusión que se apliquen a los receptores _Default de proyectos nuevos.

    Inhabilita el receptor _Default

    Puedes inhabilitar los receptores de _Default para todos los recursos nuevos en una organización o carpeta. Inhabilitar los receptores de _Default impide que los registros se almacenen en el bucket de _Default del recurso. Si dejas de almacenar registros en el bucket _Default de un recurso, los registros que se habrían enrutado a ese bucket se excluirán del almacenamiento en Logging, a menos que se incluyan explícitamente en otro receptor definido por el usuario para ese recurso.

    Para inhabilitar los receptores de _Default para un recurso y cualquiera de sus recursos secundarios, ejecuta el siguiente comando de gcloud logging settings update:

    FOLDER 

    gcloud logging settings update --folder=FOLDER_ID--disable-default-sink

    Antes de ejecutar el comando anterior, realiza el siguiente reemplazo:

    • FOLDER_ID: Es el identificador numérico único de la carpeta. Para obtener información sobre cómo usar las carpetas, consulta Crea y administra carpetas.

    ORGANIZACIÓN 

    gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink

    Antes de ejecutar el comando anterior, realiza el siguiente reemplazo:

    • ORGANIZATION_ID: Es el identificador numérico único de la organización. Para obtener información sobre cómo obtener este identificador, consulta Obtén el ID de tu organización.

    La marca disable-default-sink solo se aplica al receptor _Default que enruta los registros al bucket _Default.

    Puedes volver a habilitar los receptores de _Default ejecutando el siguiente comando de gcloud logging settings update:

    FOLDER 

    gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink

    ORGANIZACIÓN 

    gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink

    Configura los filtros de los receptores de _Default

    El receptor _Default predefinido enruta cualquier entrada de registro que coincida con los criterios del receptor al bucket _Default correspondiente. Puedes enviar un comando de la API de Cloud Logging para anular el filtro de inclusión integrado en el receptor _Default o para agregar un filtro. El filtro de exclusión integrado para el receptor _Default está vacío. Sin embargo, el comando de la API también te permite agregar filtros de exclusión.

    Para especificar un filtro de inclusión o exclusión que se aplique a todos los receptores _Default de los recursos nuevos en una organización o carpeta, ejecuta el método updateSettings de la API de Cloud Logging y especifica el objeto defaultSinkConfig.

    Puedes ejecutar el método updateSettings con el widget del Explorador de APIs en la página de referencia del método. En el siguiente ejemplo, se ilustran parámetros de muestra:

    • Nombre (URL): organizations/ORGANIZATION_ID/settings
    • updateMask: "default_sink_config"

    • Cuerpo de la solicitud, que contiene una instancia de Settings:

      "defaultSinkConfig": {
  {
  "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") "
  "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") "
  "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") "
  "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") "
  "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ",
  "exclusions": [
     {
        "name": "exclude-data-access",
        "description": "Prevents Data Access audit logs from being routed",
        "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")",
     }
  ],
  "mode": OVERWRITE
  }
}

    El filtro de inclusión integrado para el receptor _Default incluye la instrucción AND NOT LOG_ID("externalaudit.googleapis.com/activity"), que evita que los registros de auditoría de actividad del administrador se enruten al bucket de registros _Default. En el ejemplo anterior, el filtro de inclusión se cambia para que los registros de auditoría de actividad del administrador se enruten al bucket de registros _Default. En el ejemplo, también se agrega un filtro de exclusión que evita que los registros de auditoría de acceso a los datos se enruten al bucket _Default. En el ejemplo anterior, el filtro de exclusión se llama exclude-data-access.

    Soluciona problemas de errores de configuración

    Para obtener información sobre la solución de problemas, consulta Soluciona problemas de la CMEK y la configuración predeterminada de recursos para Cloud Logging.