Configurar as definições de recursos padrão do Cloud Logging

Neste documento, descrevemos como configurar as configurações de recursos padrão para o Cloud Logging. Com essas configurações, é possível controlar onde os novos buckets de registros criados pelo sistema são criados, se a CMEK é necessária para os buckets de registros e a configuração do coletor de registros _Default. É possível configurar essas opções para organizações e pastas, e as configurações são herdadas pelos recursos filhos. Para configurar as definições de recursos padrão do Cloud Logging, use a Google Cloud CLI.

Visão geral

O recurso organização está no nível mais alto da hierarquia de recursos doGoogle Cloud . O recurso de organização é o pai destes recursos filhos: Google Cloud projetos, pastas, contas de faturamento e, em relação ao Logging, buckets de registros.

Para organizações e pastas, é possível configurar as configurações de recursos padrão do Cloud Logging. Com essas configurações, é possível especificar o local dos buckets de registros, o modelo de criptografia e a configuração do coletor de registros padrão. Os recursos filhos herdam as configurações de recursos padrão dos pais.

É possível usar as configurações de recursos padrão do Cloud Logging para configurar o seguinte:

  • Se os novos buckets de registros em um recurso serão criptografados com uma chave gerenciada pelo cliente e, em caso afirmativo, a chave do Cloud KMS a ser usada para criptografia.

  • O local de armazenamento para novos buckets de registros _Default e _Required criados por recursos filhos e para consultas salvas nas páginas Explorador de registros ou Análise de dados de registros. Ao definir o local de armazenamento, você pode controlar onde os registros são armazenados.

    Se um recurso tiver configurações padrão do Cloud Logging que especifiquem um local de armazenamento, mas não tiver uma configuração de CMEK, os novos buckets de registros no recurso não vão exigir CMEK.

  • Se o gravador de registros _Default está ativado ou desativado para novos projetos no recurso.

  • Os filtros de inclusão ou exclusão aplicados a todos os novos coletores de _Default nos recursos filhos.

Exemplos de configurações:

  • Para uma organização, as configurações de recursos padrão do Cloud Logging especificam um local de armazenamento. Para novos projetos na organização, os buckets de registros _Default e _Required são criados no local especificado. Além disso, as consultas salvas nas páginas do Explorador de registros ou da Análise de dados de registros são armazenadas no local especificado. Essas consultas incluem as consultas recentes que são salvas automaticamente após a execução e as consultas salvas por membros do projetoGoogle Cloud .

  • Para uma organização, as configurações de recursos padrão do Cloud Logging especificam um local de armazenamento. Além disso, para uma pasta na organização, as configurações de recursos padrão do Cloud Logging especificam um local de armazenamento diferente. Para novos projetos na pasta, os buckets _Default e _Required são criados no local especificado pelas configurações da pasta. Para projetos que não estão na pasta, os buckets _Default e _Required são criados no local especificado pelas configurações da organização.

  • Para uma organização, configure as definições de recursos padrão do Cloud Logging para especificar um local e a CMEK. Para a pasta chamada Non-CMEK, configure as definições de recursos padrão do Cloud Logging para especificar apenas um local. Se você criar um projeto que não esteja na pasta chamada Non-CMEK, os buckets _Default e _Required serão criados no mesmo local da chave do Cloud Key Management Service, e esses buckets de registros serão criptografados por essa chave. No entanto, se você criar um projeto na pasta chamada Non-CMEK, os buckets de registros dele serão criados nos locais especificados pela configuração dessa pasta e não serão criptografados pela CMEK.

  • Para uma organização, configure as configurações de recursos padrão do Cloud Logging para aplicar um filtro de exclusão que se aplica a novos coletores _Default. O filtro impede que os registros de auditoria de acesso a dados sejam encaminhados pelo coletor _Default em todos os recursos filhos, o que impede que eles sejam armazenados no bucket _Default.

Antes de começar

Este documento não contém informações sobre como configurar as configurações de recursos padrão do Cloud Logging para ter uma configuração de CMEK. Para mais informações sobre esse tópico, consulte Configurar a CMEK para o Logging.

Faça o seguinte:

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Verifique se o papel do Identity and Access Management na organização ou pasta inclui a seguinte permissão do Cloud Logging:

    • logging.settings.get
    • logging.settings.update

  3. Identifique o local em que você quer armazenar seus registros e consultas. Para conferir uma lista de locais de armazenamento compatíveis, consulte Regiões compatíveis.

    4. Ver as configurações de recursos padrão do Cloud Logging

    Para conferir as configurações de recursos padrão do Cloud Logging, use o comando gcloud logging settings describe:

    FOLDER 

     gcloud logging settings describe --folder=FOLDER_ID

    Antes de executar o comando anterior, faça a seguinte substituição:

    ORGANIZAÇÃO 

    gcloud logging settings describe --organization=ORGANIZATION_ID

    Antes de executar o comando anterior, faça a seguinte substituição:

    O comando anterior retorna informações sobre as configurações de recursos padrão do Cloud Logging. Veja a seguir um exemplo de resposta:

    name: organizations/ORGANIZATION_ID/settings
kmsKeyName: KMS_KEY_NAME
kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
storageLocation: europe-west1
disableDefaultSink: false

    O valor de SERVICE_ACCT_NAME pode ter o formato cmek-12345 ou service-12345@.... Se não for possível usar a Google Cloud CLI, execute o método da API Cloud Logging getSettings.

    Definir o local de armazenamento

    Buckets de registros são os contêineres nos seus Google Cloud projetos, contas de faturamento, pastas e organizações que armazenam e organizam os dados de registros. Para cada projeto Google Cloud , conta de faturamento, pasta e organização, o Logging cria automaticamente dois buckets de registro: _Required e _Default, que são armazenados automaticamente no local global.

    Para organizações e pastas, as configurações de recursos padrão do Cloud Logging controlam onde os novos buckets de registros _Required e _Default são criados e onde as consultas executadas nas páginas Análise de registros e Análise de dados de registros são armazenadas. Os locais das consultas e dos buckets de registros atuais não são alterados.

    Para organizações e pastas, o seguinte acontece quando você configura as definições de recursos padrão do Cloud Logging para especificar um local:

    • Para novos recursos filhos criados na organização ou pasta, os intervalos de _Required e _Default herdam as configurações de recursos padrão do recurso pai.
    • Especifica o local de armazenamento para consultas novas e recentes executadas nas páginas da Análise de registros ou da Análise de registros.

    Quando as configurações de recursos padrão do Cloud Logging especificam um local, ele não se aplica a buckets de registros definidos pelo usuário nem a consultas salvas usando a API Logging.

    Configurar as políticas da organização

    O Logging é compatível com políticas da organização que podem restringir onde os dados podem ser armazenados. Se houver uma política desse tipo na sua organização, só será possível criar buckets de registros em locais permitidos por ela.

    Quando uma política da organização que especifica uma restrição de local existe, os valores da política para a restrição precisam incluir o local especificado nas configurações de recursos padrão do Cloud Logging. Antes de atualizar as configurações de recursos padrão do Cloud Logging, revise e, se necessário, atualize as políticas da organização.

    Para visualizar ou atualizar políticas da organização, faça o seguinte:

    1. No console do Google Cloud , acesse a página Políticas da organização:

      Acessar Políticas da organização

      Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo IAM e administrador.

    2. Selecione a organização.

    3. Confira e, se necessário, atualize a restrição com o ID constraints/gcp.resourceLocations. Se essa restrição não estiver configurada, não será necessário fazer uma atualização.

      Para informações sobre como visualizar e editar restrições específicas, consulte Como criar e editar políticas.

    Definir o local de armazenamento para novos buckets de registros criados pelo sistema

    Para configurar as definições de recursos padrão do Cloud Logging e especificar um local, execute o comando gcloud logging settings update e inclua a flag --storage-location:

    FOLDER 

    gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION

    Antes de executar o comando anterior, faça as seguintes substituições:

    • FOLDER_ID: o identificador numérico exclusivo da pasta. Para informações sobre como usar pastas, consulte Como criar e gerenciar pastas.
    • LOCATION: o local onde os novos buckets de registro _Default e _Required são criados e onde as consultas são armazenadas. Para conferir uma lista de locais aceitos, consulte Regiões aceitas.

    ORGANIZAÇÃO 

    gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION

    Antes de executar o comando anterior, faça as seguintes substituições:

    • ORGANIZATION_ID: o identificador numérico exclusivo da organização. Para informações sobre como conseguir esse identificador, consulte Como conseguir o ID da organização.
    • LOCATION: o local onde os novos buckets de registro _Default e _Required são criados e onde as consultas são armazenadas. Para conferir uma lista de locais aceitos, consulte Regiões aceitas.

    Se não for possível usar a Google Cloud CLI, execute o método da API Cloud Logging updateSettings.

    Para informações sobre como resolver erros, consulte Resolver problemas ao definir o local para novos buckets de registros criados pelo sistema.

    Configurar o coletor _Default

    O Logging fornece um coletor _Default predefinido para cada recurso deGoogle Cloud projeto, conta de faturamento, pasta e organização. Qualquer registro gerado no recurso que corresponda ao filtro de inclusão e não seja excluído será encaminhado para o bucket _Default predefinido e nomeado de acordo com o recurso.

    Para organizações e pastas, as configurações de recursos padrão do Cloud Logging permitem configurar o seguinte comportamento do coletor _Default:

    • É possível desativar a criação de um coletor _Default para novos recursos filhos.

    • É possível configurar um filtro de inclusão ou vários filtros de exclusão que se aplicam aos coletores _Default de novos projetos.

    Desativar o coletor _Default

    É possível desativar os coletores _Default para todos os novos recursos em uma organização ou pasta. Isso impede que os registros sejam armazenados no bucket _Default do recurso._Default Se você parar de armazenar registros no bucket _Default de um recurso, os registros que teriam sido encaminhados para esse bucket serão excluídos do armazenamento no Logging, a menos que sejam explicitamente incluídos em outro gravador definido pelo usuário para esse recurso.

    Para desativar os coletores _Default de um recurso e de todos os recursos filhos dele, execute o seguinte comando gcloud logging settings update:

    FOLDER 

    gcloud logging settings update --folder=FOLDER_ID--disable-default-sink

    Antes de executar o comando anterior, faça a seguinte substituição:

    ORGANIZAÇÃO 

    gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink

    Antes de executar o comando anterior, faça a seguinte substituição:

    A flag disable-default-sink se aplica apenas ao coletor _Default que encaminha registros para o bucket _Default.

    Para reativar os coletores _Default, execute o seguinte comando gcloud logging settings update:

    FOLDER 

    gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink

    ORGANIZAÇÃO 

    gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink

    Configurar os filtros de coletores _Default

    O coletor _Default predefinido encaminha todas as entradas de registro que correspondem aos critérios do coletor para o bucket _Default correspondente. É possível enviar um comando da API Cloud Logging para substituir o filtro de inclusão integrado no coletor _Default ou anexar um filtro. O filtro de exclusão integrado para o coletor _Default está vazio. No entanto, o comando da API também permite adicionar filtros de exclusão.

    Para especificar um filtro de inclusão ou exclusão que seja aplicado a todos os coletores _Default de novos recursos em uma organização ou pasta, execute o método da API Cloud Logging updateSettings e especifique o objeto defaultSinkConfig.

    É possível executar o método updateSettings usando o widget APIs Explorer na página de referência do método. O exemplo a seguir ilustra parâmetros de amostra:

    • nome (URL): organizations/ORGANIZATION_ID/settings
    • updateMask: "default_sink_config"

    • Corpo da solicitação, que contém uma instância de Settings:

      "defaultSinkConfig": {
  {
  "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") "
  "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") "
  "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") "
  "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") "
  "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ",
  "exclusions": [
     {
        "name": "exclude-data-access",
        "description": "Prevents Data Access audit logs from being routed",
        "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")",
     }
  ],
  "mode": OVERWRITE
  }
}

    O filtro de inclusão integrado para o gravador _Default inclui a instrução AND NOT LOG_ID("externalaudit.googleapis.com/activity"), que impede que os registros de auditoria de atividade do administrador sejam encaminhados para o bucket de registros _Default. No exemplo anterior, o filtro de inclusão é alterado para que os registros de auditoria de atividade do administrador sejam encaminhados para o bucket de registros _Default. O exemplo também adiciona um filtro de exclusão que impede que os registros de auditoria de acesso a dados sejam encaminhados para o bucket _Default. No exemplo anterior, o filtro de exclusão é chamado de exclude-data-access.

    Resolver problemas de configuração

    Para informações sobre solução de problemas, consulte Resolver problemas de CMEK e configurações de recursos padrão do Cloud Logging.