הגדרת הגדרות ברירת מחדל למשאבים ב-Cloud Logging

במאמר הזה מוסבר איך להגדיר הגדרות ברירת מחדל למשאבים ב-Cloud Logging. ההגדרות האלה מאפשרות לכם לקבוע איפה ייצרו קטגוריות חדשות של יומנים שנוצרו על ידי המערכת, אם נדרש CMEK לקטגוריות של יומנים ומה ההגדרה של sink ביומן _Default. אפשר להגדיר את ההגדרות האלה לארגונים ולתיקיות, וההגדרות מועברות בירושה למשאבי צאצא. אתם מגדירים את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging באמצעות Google Cloud CLI.

ההגדרות שמתוארות במסמך הזה לא חלות על מאגרי נתונים של יכולת צפייה. אם אתם רוצים לדעת איך מגדירים ברירות מחדל לקטגוריות של נתונים שניתנים למעקב, אתם יכולים לקרוא את המאמר הגדרת ברירות מחדל לקטגוריות של נתונים שניתנים למעקב.

סקירה כללית

משאב הארגון נמצא ברמה הגבוהה ביותר בהיררכיית המשאבים שלGoogle Cloud . משאב הארגון הוא ההורה של משאבי הצאצא הבאים:Google Cloud פרויקטים, תיקיות, חשבונות לחיוב ומאגרי יומנים (בנוגע לרישום ביומן).

בארגונים ובתיקיות, אפשר להגדיר הגדרות ברירת מחדל למשאבים ב-Cloud Logging. ההגדרות האלה מאפשרות לכם לציין את המיקום של קטגוריות ביומן, את מודל ההצפנה ואת ההגדרה של sink ברירת המחדל ביומן. משאבי צאצא יורשים את הגדרות ברירת המחדל של משאבי ההורה שלהם.

אפשר להשתמש בהגדרות ברירת מחדל של משאבים ב-Cloud Logging כדי להגדיר את הפריטים הבאים:

  • האם קטגוריות חדשות של יומנים במשאב יוצפנו באמצעות מפתח בניהול הלקוח, ואם כן, איזה מפתח Cloud KMS ישמש להצפנה.

  • האם יעד לניקוז יומנים של _Default מופעל או מושבת בפרויקטים חדשים במשאב.

  • מסנני ההכללה או מסנני ההחרגה שמוחלים על כל _Defaultיעדי הנתונים החדשים במשאבי הצאצא.

הגדרות לדוגמה:

  • בארגון, הגדרות ברירת המחדל של המשאבים ב-Cloud Logging מציינות מיקום אחסון. בפרויקטים חדשים בארגון, קטגוריות היומן _Default ו-_Required נוצרות במיקום שצוין. בנוסף, שאילתות שנשמרו בדפים של Logs Explorer או של Log Analytics מאוחסנות במיקום שצוין. השאילתות האלה כוללות את השאילתות האחרונות שנשמרות אוטומטית אחרי ההרצה שלהן, ושאילתות שנשמרו על ידי חברים בGoogle Cloud פרויקט.

  • בארגון, הגדרות ברירת המחדל של המשאבים ב-Cloud Logging מציינות מיקום אחסון. בנוסף, בתיקייה בארגון, הגדרות ברירת המחדל של המשאבים ב-Cloud Logging מציינות מיקום אחסון שונה. בפרויקטים חדשים שנמצאים בתיקייה, מאגרי _Default ו-_Required נוצרים במיקום שצוין בהגדרות התיקייה. לפרויקטים שלא נמצאים בתיקייה, מאגרי הנתונים מסוג _Default ו-_Required נוצרים במיקום שצוין בהגדרות הארגון.

  • בארגון, אתם מגדירים את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging כדי לציין מיקום ו-CMEK. בתיקייה בשם Non-CMEK, מגדירים את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging כך שיוגדר רק מיקום. אם יוצרים פרויקט שלא נמצא בתיקייה בשם Non-CMEK, קטגוריות יומן הגישה _Default ו-_Required נוצרות באותו מיקום שבו נמצא מפתח Cloud Key Management Service, וקטגוריות יומן הגישה האלה מוצפנות באמצעות המפתח הזה. עם זאת, אם יוצרים פרויקט חדש בתיקייה בשם Non-CMEK, קטגוריות היומנים שלו נוצרות במיקומים שצוינו בהגדרה של התיקייה הזו, וקטגוריות היומנים האלה לא מוצפנות באמצעות CMEK.

  • בארגון, אתם מגדירים את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging כדי להחיל מסנן החרגה שחל על יעד חדש של _Default. המסנן מחריג את יומני הביקורת של Data Access מהניתוב דרך אובייקט ה-sink‏ _Default בכל משאבי הצאצא, וכך מונע את האחסון של יומני הביקורת של Data Access בקטגוריה _Default.

לפני שמתחילים

במסמך הזה לא מוסבר איך להגדיר את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging כך שיכללו הגדרת CMEK. מידע על הנושא הזה זמין במאמר הגדרת CMEK לרישום ביומן.

מבצעים את הפעולות הבאות:

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. חשוב לוודא שהתפקיד שלכם בניהול הזהויות והגישה (IAM) בארגון או בתיקייה כולל את ההרשאה הבאה ב-Cloud Logging:

    • logging.settings.get
    • logging.settings.update

  3. מזהים את המיקום שבו רוצים לאחסן את היומנים והשאילתות. רשימת מיקומי האחסון הנתמכים מופיעה במאמר בנושא אזורים נתמכים.

    4. הצגת הגדרות ברירת המחדל של משאבים ב-Cloud Logging

    כדי לראות את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging, מפעילים את הפקודה gcloud logging settings describe:

    FOLDER 

     gcloud logging settings describe --folder=FOLDER_ID

    לפני שמריצים את הפקודה הקודמת, מחליפים את מה שכתוב בשדות הבאים:

    ארגון 

    gcloud logging settings describe --organization=ORGANIZATION_ID

    לפני שמריצים את הפקודה הקודמת, מחליפים את מה שכתוב בשדות הבאים:

    הפקודה הקודמת מחזירה מידע על הגדרות ברירת המחדל של המשאבים ב-Cloud Logging. זוהי דוגמה לתשובה:

    name: organizations/ORGANIZATION_ID/settings
kmsKeyName: KMS_KEY_NAME
kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
storageLocation: europe-west1
disableDefaultSink: false

    הערך של SERVICE_ACCT_NAME יכול להיות בפורמט cmek-12345 או service-12345@.... אם אתם לא יכולים להשתמש ב-Google Cloud CLI, אתם יכולים להריץ את שיטת Cloud Logging API‏ getSettings.

    הגדרת מיקום האחסון

    מאגרי יומנים הם המאגרים בGoogle Cloud פרויקטים, בחשבונות לחיוב, בתיקיות ובארגונים שבהם מאוחסנים ומאורגנים נתוני היומנים. לכל Google Cloud פרויקט, חשבון לחיוב, תיקייה וארגון, שירות Logging יוצר באופן אוטומטי שתי קטגוריות של יומנים: _Required ו-_Default, שנשמרות אוטומטית במיקום global.

    בהגדרות ברירת המחדל של המשאבים ב-Cloud Logging נקבע איפה ייווצרו דליים חדשים של יומנים _Required ו-_Default, ואיפה יישמרו השאילתות שמריצים בדפים Logs Explorer ו-Log Analytics. המיקומים של שאילתות קיימות ושל קטגוריות של יומנים לא משתנים.

    כשמגדירים את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging כדי לציין מיקום לארגונים ולתיקיות, מתרחשים הדברים הבאים:

    • במשאבי צאצא חדשים שנוצרו בארגון או בתיקייה, מאגרי הנתונים מסוג _Required ו-_Default יורשים את הגדרות ברירת המחדל של משאב האב.
    • מציין את מיקום האחסון של שאילתות חדשות ועדכניות שמופעלות בדפים Logs Explorer או Log Analytics.

    כשבהגדרות ברירת המחדל של המשאבים ב-Cloud Logging מצוין מיקום, המיקום הזה לא חל על מאגרי יומנים שהוגדרו על ידי המשתמש או על שאילתות שנשמרו באמצעות Logging API.

    הגדרת מדיניות הארגון

    הרישום תומך במדיניות ארגונית שיכולה להגביל את המקומות שבהם אפשר לאחסן נתונים. אם קיימת מדיניות כזו בארגון שלכם, תוכלו ליצור מאגרי יומנים רק במיקומים שמותרים על פי המדיניות.

    אם קיימת מדיניות ארגון שמציינת מגבלת מיקום, ערכי המדיניות של המגבלה חייבים לכלול את המיקום שצוין בהגדרות ברירת המחדל של המשאבים ב-Cloud Logging. לפני שמעדכנים את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging, צריך לבדוק את מדיניות הארגון ואם צריך, לעדכן אותה.

    כדי להציג או לעדכן את מדיניות הארגון:

    1. נכנסים לדף Organization Policies במסוף Google Cloud :

      עוברים אל מדיניות הארגון.

      אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שכותרת המשנה שלה היא IAM & Admin.

    2. בוחרים את הארגון.

    3. בודקים את ההגבלה ואם צריך, מעדכנים אותה באמצעות המזהה constraints/gcp.resourceLocations. אם המגבלה הזו לא מוגדרת, לא נדרש עדכון.

      במאמר יצירה ועריכה של כללי מדיניות מוסבר איך צופים באילוצים ספציפיים ואיך עורכים אותם.

    הגדרת מיקום האחסון של קטגוריות יומנים חדשות שנוצרו על ידי המערכת

    כדי להגדיר את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging ולציין הגדרת מיקום, מריצים את הפקודה gcloud logging settings update וכוללים את הדגל --storage-location:

    FOLDER 

    gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION

    לפני שמריצים את הפקודה הקודמת, מחליפים את המשתנים הבאים בערכים:

    • FOLDER_ID: המזהה המספרי הייחודי של התיקייה. מידע על השימוש בתיקיות זמין במאמר יצירה וניהול של תיקיות.
    • LOCATION: המיקום שבו נוצרות קטגוריות חדשות של יומני _Default ו-_Required, ושבו נשמרות השאילתות. רשימת המיקומים הנתמכים מופיעה במאמר אזורים נתמכים.

    ארגון 

    gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION

    לפני שמריצים את הפקודה הקודמת, מחליפים את המשתנים הבאים בערכים:

    • ORGANIZATION_ID: המזהה המספרי הייחודי של הארגון. במאמר איך מוצאים את המזהה של הארגון מוסבר איך מקבלים את המזהה הזה.
    • LOCATION: המיקום שבו נוצרות קטגוריות חדשות של יומני _Default ו-_Required, ושבו נשמרות השאילתות. רשימת המיקומים הנתמכים מופיעה במאמר אזורים נתמכים.

    אם אתם לא יכולים להשתמש ב-Google Cloud CLI, אתם יכולים להריץ את שיטת Cloud Logging API‏ updateSettings.

    מידע על פתרון שגיאות זמין במאמר פתרון בעיות בהגדרת המיקום של קטגוריות חדשות של יומנים שנוצרו על ידי המערכת.

    הגדרת יעד _Default

    שירות Logging מספק _Default יעד מוגדר מראש לכל משאב שלGoogle Cloud פרויקט, חשבון לחיוב, תיקייה וארגון. כל יומן שנוצר במשאב שתואם למסנן ההכללה ושלא הוחרג, מנותב למאגר _Default שהוגדר מראש למשאב ושנקרא בהתאם.

    בהגדרות ברירת המחדל של המשאבים ב-Cloud Logging, אפשר להגדיר את ההתנהגות הבאה של יעד _Default עבור ארגונים ותיקיות:

    • אפשר להשבית את היצירה של יעד _Default למשאבי ילדים חדשים.

    • אתם יכולים להגדיר מסנן הכללה או כמה מסנני החרגה שיחולו על _Default מאגרי נתונים של פרויקטים חדשים.

    השבתת יעד _Default

    אפשר להשבית את יעד _Default לכל המשאבים החדשים בארגון או בתיקייה. השבתה של יעד _Default מונעת שמירה של יומנים בדלי _Default של המשאב. אם מפסיקים לאחסן יומנים בדלי _Default של משאב, היומנים שהיו אמורים להיות מנותבים לדלי הזה לא ייכללו באחסון ב-Logging, אלא אם הם נכללים במפורש ביעד אחר שהוגדר על ידי המשתמש עבור המשאב הזה.

    כדי להשבית את _Default sinks למשאב ולכל משאבי הצאצא שלו, מריצים את הפקודה הבאה של gcloud logging settings update:

    FOLDER 

    gcloud logging settings update --folder=FOLDER_ID--disable-default-sink

    לפני שמריצים את הפקודה הקודמת, מחליפים את מה שכתוב בשדות הבאים:

    ארגון 

    gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink

    לפני שמריצים את הפקודה הקודמת, מחליפים את מה שכתוב בשדות הבאים:

    הדגל disable-default-sink חל רק על יעד _Default שמעביר יומנים לקטגוריית _Default.

    כדי להפעיל מחדש את יעד הנתונים של _Default, מריצים את הפקודה הבאה של gcloud logging settings update:

    FOLDER 

    gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink

    ארגון 

    gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink

    הגדרת המסננים של מקורות נתונים מסוג _Default

    היעד המוגדר מראש _Default מעביר כל רשומה ביומן שתואמת לקריטריונים של היעד אל _Default הקטגוריה המתאימה. אתם יכולים לשלוח פקודה של Cloud Logging API כדי לבטל את מסנן ההכללה המובנה ביעד _Default או כדי לצרף מסנן. מסנן ההחרגה המובנה של יעד _Default ריק. עם זאת, פקודת ה-API מאפשרת גם להוסיף מסנני החרגה.

    כדי לציין מסנן הכללה או מסנן החרגה שיוחל על כל _Defaultיעדי היצוא של משאבים חדשים בארגון או בתיקייה, מריצים את ה-method updateSettings ב-Cloud Logging API ומציינים את האובייקט defaultSinkConfig.

    אפשר להריץ את ה-method‏ updateSettings באמצעות הווידג'ט APIs Explorer בדף העזר של ה-method. בדוגמה הבאה מוצגים פרמטרים לדוגמה:

    • name (כתובת URL): organizations/ORGANIZATION_ID/settings
    • updateMask: "default_sink_config"

    • גוף הבקשה, שמכיל מופע של Settings:

      "defaultSinkConfig": {
  {
  "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") "
  "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") "
  "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") "
  "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") "
  "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ",
  "exclusions": [
     {
        "name": "exclude-data-access",
        "description": "Prevents Data Access audit logs from being routed",
        "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")",
     }
  ],
  "mode": OVERWRITE
  }
}

    מסנן ההכללה המובנה של יעד _Default כולל את ההצהרה AND NOT LOG_ID("externalaudit.googleapis.com/activity"), שמונעת את הניתוב של יומני הביקורת Admin Activity אל קטגוריית היומן _Default. בדוגמה הקודמת, מסנן ההכללה משתנה כך שיומני הביקורת של פעילות האדמין מנותבים אל _Defaultקטגוריה ביומן. בדוגמה הזו מתווסף גם מסנן החרגה שמונע את הניתוב של יומני הביקורת Data Access אל מאגר _Default. בדוגמה הקודמת, מסנן ההחרגה נקרא exclude-data-access.

    פתרון בעיות בהגדרות

    מידע על פתרון בעיות זמין במאמר פתרון בעיות בהגדרות ברירת המחדל של משאבים ו-CMEK ב-Cloud Logging.