Regionalizzare i log

Questo documento descrive come utilizzare il sink _Default per eseguire il routing delle voci di log in un bucket di Cloud Logging che si trova in una regione specifica. Per un elenco delle regioni supportate, consulta Località.

Puoi anche impostare una località di archiviazione predefinita per i nuovi bucket _Default e _Required configurando le impostazioni predefinite per l'organizzazione o la cartella. Per ulteriori informazioni, consulta Imposta la località di archiviazione predefinita.

Questa guida illustra la procedura utilizzando l'esempio del reindirizzamento di tutti i log a una regione. Questa procedura prevede i seguenti passaggi:

Crea un bucket di log nella regione designata per l'archiviazione dei log.
Reindirizza il sink _Default per eseguire il routing dei log al nuovo bucket di log.
Cerca i log in Esplora log.

Panoramica

In Logging, i bucket di log sono risorse regionali: l'infrastruttura che archivia, indicizza ed esegue ricerche nei log si trova in una località geografica specifica. Ad eccezione dei bucket di log nelle regioni global, eu o us, Google Cloud gestisce l'infrastruttura in modo che le applicazioni siano disponibili in modo ridondante nelle zone all'interno della regione del bucket di log.

Alla tua organizzazione potrebbe essere richiesto di archiviare i dati dei log in regioni specifiche. I fattori principali nella selezione della regione in cui vengono archiviati i log includono il rispetto dei requisiti di latenza, disponibilità o conformità della tua organizzazione. Quando selezioni una regione per l'archiviazione dei log, tieni conto delle località degli altri Google Cloud prodotti e servizi utilizzati dall'applicazione.

Se hai requisiti di residenza dei dati, non attivare i servizi che possono eseguire query sui dati dei log e quindi archiviare il risultato della query in una località global. Un esempio di questo tipo di servizio è Gemini Cloud Assist.

Concetti fondamentali

I seguenti concetti fondamentali si applicano alla regionalità dei dati per Logging.

Località del router dei log

Il router dei log elabora tutte le voci di log scritte nell'API Cloud Logging. Controlla ogni singola voce di log in base alle regole esistenti, per identificare le voci da archiviare nei bucket di log di Logging e quelle da inviare alle destinazioni supportate utilizzando i sink. Per eseguire il routing affidabile dei log, il router dei log li archivia anche temporaneamente, il che consente di evitare interruzioni temporanee su qualsiasi sink.

Il router dei log elabora i log nella regione in cui vengono ricevuti. Il router dei log potrebbe inviare i log a un'altra regione in base alla definizione di un sink o se hai scelto di condividere i dati dei log con un altro Google Cloud servizio, ad esempio Security Command Center Threat Detection. I sink si applicano ai log in modo uniforme e indipendentemente dalla regione.

Località dei bucket di log

I bucket di log sono i container nel Google Cloud progetto, nell'account di fatturazione, nella cartella e nell'organizzazione che archiviano e organizzano i dati dei log.

Per ciascun Google Cloud progetto, account di fatturazione, cartella e organizzazione, Logging crea automaticamente due bucket di log: _Required e _Default, che si trovano nella località global. Non puoi modificare la località dei bucket esistenti. Tuttavia, la tua organizzazione può creare una policy che imposta una località predefinita diversa per questi bucket. Per ulteriori informazioni, consulta la pagina Configura le impostazioni predefinite per organizzazioni e cartelle.

Puoi anche creare bucket di log definiti dall'utente per qualsiasi Google Cloud progetto. Quando crei un bucket di log definito dall'utente, puoi specificarne la località. Dopo aver creato il bucket di log, la località non può essere modificata, ma puoi creare un nuovo bucket e quindi indirizzare le voci di log al nuovo bucket di log utilizzando i sink. Per scoprire come impostare la località dei bucket, consulta Regionalizza i log.

Logging supporta l'esecuzione di query sui log di più regioni contemporaneamente. In questo caso, le query vengono elaborate nelle stesse località dei bucket su cui viene eseguita la query e poi aggregate nella regione da cui è stata ricevuta la query per restituire i risultati.

La regione di un bucket di log viene visualizzata nella pagina Archiviazione log e in alcune finestre di dialogo. Ad esempio, quando vai alla pagina Esplora log e utilizzi il selettore Perfeziona ambito per elencare le visualizzazioni dei log, vengono visualizzate anche le informazioni sulla regione. Per questo selettore, quando la regione è global, sia la regione sia la località di archiviazione corrente vengono visualizzate in un formato simile a GLOBAL (US-WEST4).

Prima di iniziare

Identifica il Google Cloud progetto in cui verranno archiviate le voci di log.
Identifica il nome e la località del bucket di log in cui verranno archiviate le voci di log.
Determina le voci di log di cui vuoi eseguire il routing al bucket di log. In questa guida includiamo tutti i log di cui viene eseguito il routing dal _Default sink.
Nella Google Cloud console, attiva Cloud Shell.

Attiva Cloud Shell

Nella parte inferiore della Google Cloud console, viene avviata una sessione di Cloud Shell e viene visualizzato un prompt della riga di comando. Cloud Shell è un ambiente shell con Google Cloud CLI già inclusa e installata e con valori già impostati per il progetto corrente. L'inizializzazione della sessione può richiedere alcuni secondi.

Aree geografiche supportate

Quando crei il bucket di log, puoi scegliere dove archiviare i log. Per un elenco delle regioni supportate, consulta Località.

Crea il bucket di log

I bucket di log archiviano le voci di log. Progetti, cartelle e organizzazioni contengono sink di log che eseguono il routing delle voci di log ai bucket di log o ad altre destinazioni. Quando la destinazione di un sink è un bucket di log, questo può trovarsi nella stessa risorsa del sink di log o in una risorsa diversa. Per ulteriori informazioni, consulta Configura i bucket di log.

Apri una shell.

Ad esempio, per utilizzare Cloud Shell:
1. Vai alla Google Cloud console:
  Vai alla Google Cloud console
2. Nella barra degli strumenti, fai clic su Attiva Cloud Shell.
Per creare un bucket di log, esegui il gcloud logging buckets create comando nella shell. Prima di eseguire il comando di esempio, effettua le seguenti sostituzioni:
- BUCKET_ID: il nome o l'ID del bucket di log.
- LOCATION: la località del bucket di log.
- PROJECT_ID: l'identificatore del progetto.
Comando di esempio:
```
gcloud logging buckets create BUCKET_ID \
  --location=LOCATION \
  --project=PROJECT_ID
```
Nota: dopo aver creato il bucket, non puoi modificarne la località.

Verifica che il bucket sia stato creato:

gcloud logging buckets list --project=PROJECT_ID

Dopo aver creato il bucket di log, puoi modificarne alcune proprietà, come la descrizione e il periodo di conservazione dei dati. Per apportare queste modifiche utilizza il gcloud logging buckets update comando.

Reindirizza il sink di log `_Default`

Esegui il routing dei log a un bucket di log creando un sink. Un sink include un filtro, che seleziona le voci di log da esportare tramite il sink, e una destinazione. In questa guida, aggiorniamo il sink _Default esistente per eseguire il routing delle voci di log al bucket di log creato nel passaggio precedente.

Per aggiornare un sink, esegui il gcloud logging sinks update comando. Prima di eseguire il comando di esempio, effettua le seguenti sostituzioni:

_Default: questo esempio aggiorna la destinazione del sink denominato _Default. Se vuoi aggiornare un sink diverso, modifica il nome di questa variabile.
BUCKET_ID: il nome o l'ID del bucket di log.
LOCATION: la località del bucket di log.
PROJECT_ID: l'identificatore del progetto.

Comando di esempio:

gcloud logging sinks update _Default \
  logging.googleapis.com/projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_ID \
  --log-filter='NOT LOG_ID("cloudaudit.googleapis.com/activity") AND NOT
    LOG_ID("externalaudit.googleapis.com/activity") AND NOT
    LOG_ID("cloudaudit.googleapis.com/system_event") AND NOT
    LOG_ID("externalaudit.googleapis.com/system_event") AND NOT
    LOG_ID("cloudaudit.googleapis.com/access_transparency") AND NOT
    LOG_ID("externalaudit.googleapis.com/access_transparency")' \
  --description="Updated the _Default sink to route logs to the LOCATION region"

Crea una voce di log per testare il sink

Per verificare di aver aggiornato correttamente il sink:

Invia un messaggio di log di test al bucket regionalizzato utilizzando il gcloud logging write comando. Prima di eseguire il comando di esempio, effettua le seguenti sostituzioni:
- LOG_NAME: il nome del log.
- BUCKET_ID: il nome o l'ID del bucket di log.
- PROJECT_ID: l'identificatore del progetto.
Comando di esempio:
```
gcloud logging write LOG_NAME "Test to route logs to BUCKET_ID" \
--project=PROJECT_ID
```
Nota: l'invio del messaggio di test potrebbe richiedere diversi minuti.
Visualizza la voce di log:
1. Nella Google Cloud console, vai alla pagina segmento Esplora log:
  Vai a Esplora log
  
  Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.
2. Nella barra degli strumenti, fai clic su Perfeziona ambito e poi seleziona Progetto corrente.
  
  Esplora log è configurato per visualizzare le voci di log che hanno origine nel tuo progetto.
3. Nel riquadro Campo log, seleziona il tipo di risorsa Globale.
4. La voce di log di test viene visualizzata nel riquadro Risultati query.

Cerca i log nella Google Cloud console

Per visualizzare le voci di log nel bucket di log, vai a Google Cloud lla console e completa i seguenti passaggi:

Nella Google Cloud console, vai alla pagina segmento Esplora log:
Vai a Esplora log

Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.
Seleziona Perfeziona ambito.
Nel riquadro Perfeziona ambito, seleziona Visualizzazione log.
Seleziona la visualizzazione _AllLogs associata a BUCKET_NAME.
Fai clic su Applica.

Esplora log si aggiorna per mostrare i log del bucket.

Per informazioni sull'utilizzo di Esplora log, consulta Visualizza i log utilizzando Esplora log.

Passaggi successivi

Visualizza tutti i Google Cloud servizi disponibili nelle località di tutto il mondo.
Esplora altri concetti basati sulla località, come le zone, che si applicano ad altri Google Cloud servizi.
Leggi i seguenti white paper che forniscono le best practice per la governance dei dati:
- Dati dei log: una guida passo passo per superare le sfide di conformità comuni
- Governance dei dati: principi per la protezione e la gestione dei log