Standardressourceneinstellungen für Cloud Logging konfigurieren

In diesem Dokument wird beschrieben, wie Sie Standardressourceneinstellungen für Cloud Logging konfigurieren. Mit diesen Einstellungen können Sie steuern, wo neue vom System erstellte Log-Buckets erstellt werden, ob CMEK für Log-Buckets erforderlich ist und wie der _Default-Logsink konfiguriert wird. Sie können diese Einstellungen für Organisationen und Ordner konfigurieren. Die Einstellungen werden von untergeordneten Ressourcen übernommen. Sie konfigurieren die Standardressourceneinstellungen für Cloud Logging mit der Google Cloud CLI.

Übersicht

Die Organisationsressource befindet sich auf der obersten Ebene der Google Cloud Ressourcenhierarchie. Die Organisationsressource ist das übergeordnete Element der folgenden untergeordneten Ressourcen: Google Cloud Projekte, Ordner, Rechnungskonten und, in Bezug auf Logging, Log-Buckets.

Für Organisationen und Ordner können Sie Standardressourceneinstellungen für Cloud Logging konfigurieren. Mit diesen Einstellungen können Sie den Speicherort von Log-Buckets, das Verschlüsselungsmodell und die Konfiguration des Standard-Log-Senken angeben. Untergeordnete Ressourcen übernehmen die Standardressourceneinstellungen ihrer übergeordneten Ressource.

Mit den Standardressourceneinstellungen für Cloud Logging können Sie Folgendes konfigurieren:

  • Gibt an, ob neue Log-Buckets in einer Ressource mit einem vom Kunden verwalteten Schlüssel verschlüsselt werden sollen und, falls ja, welcher Cloud KMS-Schlüssel für die Verschlüsselung verwendet werden soll.

  • Der Speicherort für neue _Default- und _Required-Log-Buckets, die von untergeordneten Ressourcen erstellt wurden, und für Abfragen, die auf den Seiten Log-Explorer oder Loganalysen gespeichert wurden. Wenn Sie den Speicherort festlegen, können Sie steuern, wo Ihre Logs gespeichert werden.

    Wenn für eine Ressource Standardressourceneinstellungen für Cloud Logging vorhanden sind, in denen ein Speicherort angegeben ist, aber keine CMEK-Einstellung, ist für neue Log-Buckets in der Ressource kein CMEK erforderlich.

  • Gibt an, ob die _Default-Logsink für neue Projekte in der Ressource aktiviert oder deaktiviert ist.

  • Die Einschluss- oder Ausschlussfilter, die auf alle neuen _Default-Senken in den untergeordneten Ressourcen angewendet werden.

Beispielkonfigurationen:

  • Für eine Organisation wird mit den Standardressourceneinstellungen für Cloud Logging ein Speicherort angegeben. Für neue Projekte in der Organisation werden die Log-Buckets _Default und _Required am angegebenen Standort erstellt. Außerdem werden Abfragen, die auf den Seiten Log-Explorer oder Loganalysen gespeichert werden, am angegebenen Speicherort gespeichert. Diese Abfragen umfassen die letzten Abfragen, die nach der Ausführung automatisch gespeichert werden, sowie Abfragen, die von Mitgliedern desGoogle Cloud -Projekts gespeichert wurden.

  • Für eine Organisation wird mit den Standardressourceneinstellungen für Cloud Logging ein Speicherort angegeben. Außerdem wird für einen Ordner in der Organisation in den Standardressourceneinstellungen für Cloud Logging ein anderer Speicherort angegeben. Für neue Projekte im Ordner werden die Buckets _Default und _Required am Standort erstellt, der in den Einstellungen des Ordners angegeben ist. Für Projekte, die sich nicht im Ordner befinden, werden die Buckets _Default und _Required am Standort erstellt, der in den Einstellungen der Organisation angegeben ist.

  • Für eine Organisation konfigurieren Sie die Standardressourceneinstellungen für Cloud Logging, um einen Standort und CMEK anzugeben. Für den Ordner mit dem Namen Non-CMEK konfigurieren Sie die Standardressourceneinstellungen für Cloud Logging so, dass nur ein Standort angegeben wird. Wenn Sie ein Projekt erstellen, das sich nicht im Ordner Non-CMEK befindet, werden die Buckets _Default und _Required am selben Ort wie der Cloud Key Management Service-Schlüssel erstellt und mit diesem Schlüssel verschlüsselt. Wenn Sie jedoch ein neues Projekt im Ordner Non-CMEK erstellen, werden die zugehörigen Log-Buckets an den in der Einstellung des Ordners angegebenen Standorten erstellt und nicht mit CMEK verschlüsselt.

  • Für eine Organisation konfigurieren Sie die Standardressourceneinstellungen für Cloud Logging, um einen Ausschlussfilter anzuwenden, der für neue _Default-Senken gilt. Der Filter verhindert, dass Audit-Logs zum Datenzugriff in allen untergeordneten Ressourcen über die _Default-Senke weitergeleitet werden. Dadurch werden die Audit-Logs zum Datenzugriff nicht im _Default-Bucket gespeichert.

Hinweise

Dieses Dokument enthält keine Informationen dazu, wie Sie die Standardressourceneinstellungen für Cloud Logging so konfigurieren, dass sie eine CMEK-Einstellung haben. Informationen zu diesem Thema finden Sie unter CMEK für Logging konfigurieren.

Gehen Sie dazu so vor:

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Prüfen Sie, ob Ihre IAM-Rolle (Identity and Access Management) für die Organisation oder den Ordner die folgende Cloud Logging-Berechtigung enthält:

    • logging.settings.get
    • logging.settings.update

  3. Legen Sie fest, wo Sie Ihre Logs und Abfragen speichern möchten. Eine Liste der unterstützten Speicherorte finden Sie unter Unterstützte Regionen.

    4. Standardressourceneinstellungen für Cloud Logging ansehen

    Verwenden Sie den Befehl gcloud logging settings describe, um die Standardressourceneinstellungen für Cloud Logging aufzurufen:

    FOLDER 

     gcloud logging settings describe --folder=FOLDER_ID

    Ersetzen Sie vor dem Ausführen des vorherigen Befehls Folgendes:

    ORGANIZATION 

    gcloud logging settings describe --organization=ORGANIZATION_ID

    Ersetzen Sie vor dem Ausführen des vorherigen Befehls Folgendes:

    • ORGANIZATION_ID: Die eindeutige numerische Kennung der Organisation. Informationen zum Abrufen dieser Kennung finden Sie unter Organisations-ID abrufen.

    Der vorherige Befehl gibt Informationen zu den Standardressourceneinstellungen für Cloud Logging zurück. Hier ist ein Beispiel für eine Antwort:

    name: organizations/ORGANIZATION_ID/settings
kmsKeyName: KMS_KEY_NAME
kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
storageLocation: europe-west1
disableDefaultSink: false

    Der Wert von SERVICE_ACCT_NAME kann das Format cmek-12345 oder service-12345@... haben. Wenn Sie die Google Cloud CLI nicht verwenden können, führen Sie die Cloud Logging API-Methode getSettings aus.

    Speicherort festlegen

    Log-Buckets sind die Container in IhrenGoogle Cloud Projekten, Abrechnungskonten, Ordnern und Organisationen, in denen Logdaten gespeichert und organisiert werden. Für jedes Google Cloud Projekt, Rechnungskonto, jeden Ordner und jede Organisation erstellt Logging automatisch die zwei Log-Buckets _Required und _Default, die automatisch am Standort global gespeichert werden.

    Für Organisationen und Ordner wird mit den Standardressourceneinstellungen für Cloud Logging festgelegt, wo neue _Required- und _Default-Log-Buckets erstellt werden und wo Abfragen gespeichert werden, die Sie auf den Seiten Log-Explorer und Log-Analyse ausführen. Die Speicherorte vorhandener Abfragen und Log-Buckets werden nicht geändert.

    Für Organisationen und Ordner gilt Folgendes, wenn Sie die Standardressourceneinstellungen für Cloud Logging konfigurieren, um einen Speicherort anzugeben:

    • Für neue untergeordnete Ressourcen, die in der Organisation oder im Ordner erstellt werden, werden die Standardressourceneinstellungen des übergeordneten Elements für die _Required- und _Default-Buckets übernommen.
    • Gibt den Speicherort für neue und aktuelle Abfragen an, die Sie auf den Seiten Log-Explorer oder Loganalysen ausführen.

    Wenn in den Standardressourceneinstellungen für Cloud Logging ein Standort angegeben ist, gilt dieser Standort nicht für benutzerdefinierte Log-Buckets oder für Abfragen, die mit der Logging API gespeichert wurden.

    Organisationsrichtlinien konfigurieren

    Die Protokollierung unterstützt Organisationsrichtlinien, mit denen eingeschränkt werden kann, wo Daten gespeichert werden dürfen. Wenn eine solche Richtlinie für Ihre Organisation vorhanden ist, können Sie Log-Buckets nur an Standorten erstellen, die von der Richtlinie zugelassen werden.

    Wenn eine Organisationsrichtlinie mit einer Standortbeschränkung vorhanden ist, müssen die Richtlinienwerte für die Beschränkung den in den Standardressourceneinstellungen für Cloud Logging angegebenen Standort enthalten. Bevor Sie die Standardeinstellungen für Ressourcen für Cloud Logging aktualisieren, sollten Sie die Organisationsrichtlinien prüfen und bei Bedarf aktualisieren.

    So rufen Sie Organisationsrichtlinien auf oder aktualisieren sie:

    1. Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf:

      Zu den Organisationsrichtlinien

      Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift IAM & Admin lautet.

    2. Wählen Sie Ihre Organisation aus.

    3. Sehen Sie sich die Einschränkung mit der ID constraints/gcp.resourceLocations an und aktualisieren Sie sie bei Bedarf. Wenn diese Einschränkung nicht konfiguriert ist, ist kein Update erforderlich.

      Informationen zum Ansehen und Bearbeiten bestimmter Einschränkungen finden Sie unter Richtlinien erstellen und bearbeiten.

    Speicherort für neue, vom System erstellte Log-Buckets festlegen

    Wenn Sie die Standardressourceneinstellungen für Cloud Logging konfigurieren möchten, um eine Standorteinstellung anzugeben, führen Sie den Befehl gcloud logging settings update aus und fügen Sie das Flag --storage-location ein:

    FOLDER 

    gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION

    Ersetzen Sie vor dem Ausführen des vorherigen Befehls Folgendes:

    • FOLDER_ID: Die eindeutige numerische Kennung des Ordners. Informationen zur Verwendung von Ordnern finden Sie unter Ordner erstellen und verwalten.
    • LOCATION: Der Speicherort, an dem neue _Default- und _Required-Log-Buckets erstellt und Abfragen gespeichert werden. Eine Liste der unterstützten Standorte finden Sie unter Unterstützte Regionen.

    ORGANIZATION 

    gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION

    Ersetzen Sie vor dem Ausführen des vorherigen Befehls Folgendes:

    • ORGANIZATION_ID: Die eindeutige numerische Kennung der Organisation. Informationen zum Abrufen dieser Kennung finden Sie unter Organisations-ID abrufen.
    • LOCATION: Der Speicherort, an dem neue _Default- und _Required-Log-Buckets erstellt und Abfragen gespeichert werden. Eine Liste der unterstützten Standorte finden Sie unter Unterstützte Regionen.

    Wenn Sie die Google Cloud CLI nicht verwenden können, führen Sie die Cloud Logging API-Methode updateSettings aus.

    Informationen zum Beheben von Fehlern finden Sie unter Fehlerbehebung beim Festlegen des Standorts für neue, vom System erstellte Log-Buckets.

    _Default-Senke konfigurieren

    Logging bietet für jedesGoogle Cloud -Projekt, Rechnungskonto, jeden Ordner und jede Organisationsressource eine vordefinierte _Default-Senke. Alle Logs, die in der Ressource generiert werden, die mit dem Einschlussfilter übereinstimmen und nicht ausgeschlossen werden, werden an den vordefinierten, entsprechend benannten _Default-Bucket der Ressource weitergeleitet.

    Mit den Standardressourceneinstellungen für Cloud Logging können Sie für Organisationen und Ordner das folgende Verhalten des _Default-Senken konfigurieren:

    • Sie können die Erstellung einer _Default-Senke für neue untergeordnete Ressourcen deaktivieren.

    • Sie können einen Einschlussfilter oder mehrere Ausschlussfilter konfigurieren, die für die _Default-Senken neuer Projekte gelten.

    _Default-Senke deaktivieren

    Sie können die _Default-Senken für alle neuen Ressourcen in einer Organisation oder einem Ordner deaktivieren. Dadurch wird verhindert, dass Logs im _Default-Bucket der Ressource gespeichert werden._Default Wenn Sie keine Logs mehr im _Default-Bucket einer Ressource speichern, werden die Logs, die an diesen Bucket weitergeleitet worden wären, vom Speichern in Logging ausgeschlossen, sofern diese Logs nicht explizit in einer anderen benutzerdefinierten Senke für diese Ressource enthalten sind.

    Führen Sie den folgenden gcloud logging settings update-Befehl aus, um die _Default-Senken für eine Ressource und alle zugehörigen untergeordneten Ressourcen zu deaktivieren:

    FOLDER 

    gcloud logging settings update --folder=FOLDER_ID--disable-default-sink

    Ersetzen Sie vor dem Ausführen des vorherigen Befehls Folgendes:

    ORGANIZATION 

    gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink

    Ersetzen Sie vor dem Ausführen des vorherigen Befehls Folgendes:

    • ORGANIZATION_ID: Die eindeutige numerische Kennung der Organisation. Informationen zum Abrufen dieser Kennung finden Sie unter Organisations-ID abrufen.

    Das Flag disable-default-sink gilt nur für die Senke _Default, über die Logs in den Bucket _Default weitergeleitet werden.

    Sie können die _Default-Senken wieder aktivieren, indem Sie den folgenden gcloud logging settings update-Befehl ausführen:

    FOLDER 

    gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink

    ORGANIZATION 

    gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink

    Filter für _Default-Senken konfigurieren

    Die vordefinierte _Default-Senke leitet alle Logeinträge, die den Senkenkriterien entsprechen, an den entsprechenden _Default-Bucket weiter. Sie können einen Cloud Logging API-Befehl senden, um den integrierten Einschlussfilter in der _Default-Senke zu überschreiben oder einen Filter anzuhängen. Der integrierte Ausschlussfilter für die Senke _Default ist leer. Mit dem API-Befehl können Sie jedoch auch Ausschlussfilter hinzufügen.

    Wenn Sie einen Einschluss- oder Ausschlussfilter angeben möchten, der auf alle _Default-Senken neuer Ressourcen in einer Organisation oder einem Ordner angewendet wird, führen Sie die Cloud Logging API-Methode updateSettings aus und geben Sie das defaultSinkConfig-Objekt an.

    Sie können die Methode updateSettings mithilfe des APIs Explorer-Widgets auf der Referenzseite der Methode ausführen. Das folgende Beispiel veranschaulicht Beispielparameter:

    • Name (URL): organizations/ORGANIZATION_ID/settings
    • Aktualisierungsmaske: "default_sink_config"

    • Anfragetext, der eine Instanz von Settings enthält:

      "defaultSinkConfig": {
  {
  "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") "
  "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") "
  "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") "
  "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") "
  "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ",
  "exclusions": [
     {
        "name": "exclude-data-access",
        "description": "Prevents Data Access audit logs from being routed",
        "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")",
     }
  ],
  "mode": OVERWRITE
  }
}

    Der integrierte Einschlussfilter für das Senkenziel _Default enthält die Anweisung AND NOT LOG_ID("externalaudit.googleapis.com/activity"), die verhindert, dass Audit-Logs zu Administratoraktivitäten an den Log-Bucket _Default weitergeleitet werden. Im vorherigen Beispiel wird der Einschlussfilter so geändert, dass Audit-Logs zur Administratoraktivität an den Log-Bucket _Default weitergeleitet werden. Im Beispiel wird auch ein Ausschlussfilter hinzugefügt, der verhindert, dass Audit-Logs zum Datenzugriff an den Bucket _Default weitergeleitet werden. Im vorherigen Beispiel heißt der Ausschlussfilter exclude-data-access.

    Konfigurationsfehler beheben

    Informationen zur Fehlerbehebung finden Sie unter Fehlerbehebung bei CMEK- und Standardressourceneinstellungen für Cloud Logging.