Dokumen ini menjelaskan cara mengonfigurasi setelan resource default untuk Cloud Logging. Setelan ini memungkinkan Anda mengontrol tempat pembuatan bucket log baru yang dibuat sistem, apakah CMEK diperlukan untuk bucket log, dan konfigurasi sink log _Default.
Anda dapat mengonfigurasi setelan ini untuk organisasi dan folder, dan setelan
tersebut diwariskan oleh resource turunan. Anda mengonfigurasi setelan resource default untuk Cloud Logging menggunakan
Google Cloud CLI.
Ringkasan
Resource organisasi berada di tingkat tertinggi Google Cloud hierarki resource. Resource organisasi adalah induk dari resource turunan berikut: Google Cloud project, folder, akun penagihan, dan terkait Logging, bucket log.
Untuk organisasi dan folder, Anda dapat mengonfigurasi setelan resource default untuk Cloud Logging. Setelan ini memungkinkan Anda menentukan lokasi bucket log, model enkripsi, dan konfigurasi sink log default. Resource turunan mewarisi setelan resource default induknya.
Anda dapat menggunakan setelan resource default untuk Cloud Logging guna mengonfigurasi hal berikut:
Apakah bucket log baru dalam resource akan dienkripsi dengan kunci yang dikelola pelanggan atau tidak, dan jika ya, kunci Cloud KMS yang akan digunakan untuk enkripsi.
Lokasi penyimpanan untuk bucket log
_Defaultdan_Requiredbaru yang dibuat oleh resource turunan, dan untuk kueri yang disimpan oleh halaman Logs Explorer atau Log Analytics. Dengan menyetel lokasi penyimpanan, Anda dapat mengontrol tempat penyimpanan log Anda.Jika resource memiliki setelan resource default untuk Cloud Logging yang menentukan lokasi penyimpanan, tetapi tidak memiliki setelan CMEK, maka bucket log baru di resource tersebut tidak memerlukan CMEK.
Apakah sink log
_Defaultdiaktifkan atau dinonaktifkan untuk project baru dalam resource.Filter penyertaan atau filter pengecualian yang diterapkan ke semua sink
_Defaultbaru di resource turunan.
Contoh konfigurasi:
- Untuk organisasi, setelan resource default untuk Cloud Logging menentukan lokasi penyimpanan.
Untuk project baru dalam organisasi, bucket log
_Defaultdan_Requireddibuat di lokasi yang ditentukan. Selain itu, kueri yang disimpan oleh halaman Logs Explorer atau Log Analytics disimpan di lokasi yang ditentukan. Kueri ini mencakup kueri terbaru yang disimpan secara otomatis setelah dijalankan, dan kueri yang disimpan oleh anggota projectGoogle Cloud .
Untuk organisasi, setelan resource default untuk Cloud Logging menentukan lokasi penyimpanan. Selain itu, untuk folder di organisasi, setelan resource default untuk Cloud Logging menentukan lokasi penyimpanan yang berbeda. Untuk project baru yang ada di folder, bucket
_Defaultdan_Requireddibuat di lokasi yang ditentukan oleh setelan folder. Untuk project yang tidak ada di folder, bucket_Defaultdan_Required-nya dibuat di lokasi yang ditentukan oleh setelan organisasi.Untuk organisasi, Anda mengonfigurasi setelan resource default untuk Cloud Logging guna menentukan lokasi dan CMEK. Untuk folder bernama
Non-CMEK, Anda mengonfigurasi setelan resource default untuk Cloud Logging agar hanya menentukan lokasi. Jika Anda membuat project yang tidak ada di folder bernamaNon-CMEK, maka bucket_Defaultdan_Requiredakan dibuat di lokasi yang sama dengan kunci Cloud Key Management Service, dan bucket log ini dienkripsi oleh kunci tersebut. Namun, jika Anda membuat project baru di folder bernamaNon-CMEK, bucket lognya akan dibuat di lokasi yang ditentukan oleh setelan folder tersebut, dan bucket log tersebut tidak dienkripsi oleh CMEK.Untuk organisasi, Anda mengonfigurasi setelan resource default untuk Cloud Logging guna menerapkan filter pengecualian yang berlaku untuk sink
_Defaultbaru. Filter mengecualikan log audit Akses Data agar tidak dirutekan melalui sink_Defaultdi semua resource turunan, sehingga mencegah log audit Akses Data disimpan di bucket_Default.
Sebelum memulai
Dokumen ini tidak berisi informasi tentang cara mengonfigurasi setelan resource default untuk Cloud Logging agar memiliki setelan CMEK. Untuk mengetahui informasi tentang topik tersebut, lihat Mengonfigurasi CMEK untuk Logging.
Lakukan tindakan berikut:
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Pastikan peran Identity and Access Management Anda di organisasi atau folder mencakup izin Cloud Logging berikut:
logging.settings.getlogging.settings.update
Identifikasi lokasi tempat Anda ingin menyimpan log dan kueri. Untuk mengetahui daftar lokasi penyimpanan yang didukung, lihat Region yang didukung.
- FOLDER_ID: ID numerik unik folder. Untuk mengetahui informasi tentang cara menggunakan folder, lihat Membuat dan mengelola folder.
- ORGANIZATION_ID: ID numerik unik organisasi. Untuk mengetahui informasi tentang cara mendapatkan ID ini, lihat Mendapatkan ID organisasi Anda.
- Untuk resource turunan baru yang dibuat di organisasi atau folder, bucket
_Requireddan_Default-nya mewarisi setelan resource default induknya. - Menentukan lokasi penyimpanan untuk kueri baru dan terbaru yang Anda jalankan di halaman Logs Explorer atau Log Analytics.
-
Di konsol Google Cloud , buka halaman Organization Policies:
Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah IAM & Admin.
Pilih organisasi Anda.
Lihat, dan jika perlu, perbarui batasan dengan ID
constraints/gcp.resourceLocations. Jika batasan ini tidak dikonfigurasi, update tidak diperlukan.Untuk mengetahui informasi tentang cara melihat batasan tertentu dan cara mengedit batasan ini, lihat Membuat dan mengedit kebijakan.
- FOLDER_ID: ID numerik unik folder. Untuk mengetahui informasi tentang cara menggunakan folder, lihat Membuat dan mengelola folder.
- LOCATION: Lokasi tempat bucket log
_Defaultdan_Requiredbaru dibuat, dan tempat kueri disimpan. Untuk daftar lokasi yang didukung, lihat Region yang didukung. - ORGANIZATION_ID: ID numerik unik organisasi. Untuk mengetahui informasi tentang cara mendapatkan ID ini, lihat Mendapatkan ID organisasi Anda.
- LOCATION: Lokasi tempat bucket log
_Defaultdan_Requiredbaru dibuat, dan tempat kueri disimpan. Untuk daftar lokasi yang didukung, lihat Region yang didukung. Anda dapat menonaktifkan pembuatan sink
_Defaultuntuk resource turunan baru.Anda dapat mengonfigurasi filter penyertaan atau beberapa filter pengecualian yang berlaku untuk sink
_Defaultproject baru.- FOLDER_ID: ID numerik unik folder. Untuk mengetahui informasi tentang cara menggunakan folder, lihat Membuat dan mengelola folder.
- ORGANIZATION_ID: ID numerik unik organisasi. Untuk mengetahui informasi tentang cara mendapatkan ID ini, lihat Mendapatkan ID organisasi Anda.
- name (URL):
organizations/ORGANIZATION_ID/settings - updateMask:
"default_sink_config" Isi permintaan, yang berisi instance
Settings:"defaultSinkConfig": { { "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ", "exclusions": [ { "name": "exclude-data-access", "description": "Prevents Data Access audit logs from being routed", "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")", } ], "mode": OVERWRITE } }
Melihat setelan resource default untuk Cloud Logging
Untuk melihat setelan resource default untuk Cloud Logging, gunakan perintah
gcloud logging settings describe:
FOLDER
gcloud logging settings describe --folder=FOLDER_ID
Sebelum menjalankan perintah sebelumnya, lakukan penggantian berikut:
ORGANISASI
gcloud logging settings describe --organization=ORGANIZATION_ID
Sebelum menjalankan perintah sebelumnya, lakukan penggantian berikut:
Perintah sebelumnya menampilkan informasi tentang setelan resource default untuk Cloud Logging. Berikut adalah contoh respons:
name: organizations/ORGANIZATION_ID/settings kmsKeyName: KMS_KEY_NAME kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com storageLocation: europe-west1 disableDefaultSink: false
Nilai SERVICE_ACCT_NAME mungkin memiliki format cmek-12345 atau
service-12345@.... Jika Anda tidak dapat menggunakan Google Cloud CLI, jalankan metode Cloud Logging API getSettings.
Menetapkan lokasi penyimpanan
Bucket log adalah container di
Google Cloud project, akun penagihan, folder, dan organisasi yang menyimpan
dan mengatur data log Anda. Untuk setiap project Google Cloud , akun penagihan,
folder, dan organisasi, Logging otomatis membuat dua bucket log: _Required dan _Default, yang otomatis disimpan di lokasi global.
Untuk organisasi dan folder, setelan resource default untuk Cloud Logging mengontrol tempat bucket log _Required dan _Default baru dibuat, serta tempat kueri yang Anda jalankan di halaman Logs Explorer dan Log Analytics disimpan. Lokasi kueri dan bucket log yang ada tidak akan berubah.
Untuk organisasi dan folder, hal berikut terjadi saat Anda mengonfigurasi setelan resource default untuk Cloud Logging guna menentukan lokasi:
Jika setelan resource default untuk Cloud Logging menentukan lokasi, lokasi tersebut tidak berlaku untuk bucket log yang ditentukan pengguna atau untuk kueri yang disimpan menggunakan Logging API.
Mengonfigurasi kebijakan organisasi
Logging mendukung kebijakan organisasi yang dapat membatasi tempat penyimpanan data. Jika kebijakan tersebut ada untuk organisasi Anda, Anda hanya dapat membuat bucket log di lokasi yang diizinkan oleh kebijakan tersebut.
Jika ada kebijakan organisasi yang menentukan batasan lokasi, nilai kebijakan untuk batasan tersebut harus menyertakan lokasi yang ditentukan dalam setelan resource default untuk Cloud Logging. Sebelum memperbarui setelan resource default untuk Cloud Logging, tinjau dan, jika perlu, perbarui kebijakan organisasi.
Untuk melihat atau memperbarui kebijakan organisasi, lakukan hal berikut:
Menetapkan lokasi penyimpanan untuk bucket log baru yang dibuat sistem
Untuk mengonfigurasi setelan resource default untuk Cloud Logging guna menentukan setelan lokasi, jalankan perintah
gcloud logging settings update
dan sertakan tanda --storage-location:
FOLDER
gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION
Sebelum menjalankan perintah sebelumnya, lakukan penggantian berikut:
ORGANISASI
gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION
Sebelum menjalankan perintah sebelumnya, lakukan penggantian berikut:
Jika Anda tidak dapat menggunakan Google Cloud CLI, jalankan metode Cloud Logging API updateSettings.
Untuk mengetahui informasi tentang cara mengatasi error, lihat Memecahkan masalah saat menetapkan lokasi untuk bucket log baru yang dibuat sistem.
Mengonfigurasi tujuan _Default
Logging menyediakan sink _Default yang telah ditentukan sebelumnya untuk setiap resource project, akun penagihan, folder, dan organisasiGoogle Cloud . Setiap
log yang dibuat di resource yang cocok dengan filter penyertaan dan
yang tidak dikecualikan, akan dirutekan ke bucket _Default yang telah ditentukan sebelumnya dan diberi nama sesuai dengan resource.
Untuk organisasi dan folder, setelan resource default untuk Cloud Logging memungkinkan Anda mengonfigurasi
perilaku sink _Default berikut:
Menonaktifkan sink _Default
Anda dapat menonaktifkan sink _Default untuk semua resource baru di organisasi atau folder; menonaktifkan sink _Default akan mencegah log disimpan di bucket _Default resource.
Jika Anda berhenti menyimpan log di bucket _Default resource, log yang seharusnya dirutekan ke bucket tersebut akan dikecualikan dari penyimpanan di Logging, kecuali jika log tersebut secara eksplisit disertakan dalam sink yang ditentukan pengguna lain untuk resource tersebut.
Untuk menonaktifkan sink _Default untuk resource dan semua resource turunannya, jalankan perintah
gcloud logging settings update
berikut:
FOLDER
gcloud logging settings update --folder=FOLDER_ID--disable-default-sink
Sebelum menjalankan perintah sebelumnya, lakukan penggantian berikut:
ORGANISASI
gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink
Sebelum menjalankan perintah sebelumnya, lakukan penggantian berikut:
Flag disable-default-sink hanya berlaku untuk sink _Default yang merutekan
log ke bucket _Default.
Anda dapat mengaktifkan kembali sink _Default dengan menjalankan perintah
gcloud logging settings update berikut:
FOLDER
gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink
ORGANISASI
gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink
Mengonfigurasi filter sink _Default
Sink _Default yang telah ditentukan sebelumnya merutekan entri log apa pun yang cocok dengan kriteria sink ke bucket _Default yang sesuai. Anda dapat mengirim perintah Cloud Logging API untuk mengganti filter penyertaan bawaan di sink _Default atau menambahkan filter.
Filter pengecualian bawaan untuk sink _Default kosong. Namun,
perintah API juga memungkinkan Anda
menambahkan filter pengecualian.
Untuk menentukan filter penyertaan atau filter pengecualian yang diterapkan ke semua sink _Default resource baru dalam organisasi atau folder, jalankan metode Cloud Logging API updateSettings dan tentukan objek defaultSinkConfig.
Anda dapat menjalankan metode updateSettings menggunakan widget
APIs Explorer di halaman referensi metode. Contoh berikut mengilustrasikan parameter contoh:
Filter penyertaan bawaan untuk sink _Default mencakup pernyataan AND NOT LOG_ID("externalaudit.googleapis.com/activity"), yang mencegah log audit Aktivitas Admin dirutekan ke bucket log _Default. Pada contoh sebelumnya, filter penyertaan diubah sehingga log audit Aktivitas Admin dirutekan ke bucket log _Default. Contoh ini juga menambahkan filter pengecualian yang mencegah
log audit Akses Data dirutekan ke bucket _Default.
Dalam contoh sebelumnya, filter pengecualian diberi nama exclude-data-access.
Memecahkan masalah error konfigurasi
Untuk mengetahui informasi pemecahan masalah, lihat Memecahkan masalah CMEK dan setelan resource default untuk Cloud Logging.