In diesem Dokument werden Log-Buckets vorgestellt. Das sind die Container, die Cloud Logging zum Speichern Ihrer Logdaten verwendet. Sie enthält Informationen zum Speicherort, zur Verwaltung des Verschlüsselungsschlüssels und zur Datenaufbewahrung für Log-Buckets. Außerdem wird erläutert, wo Sie Organisationsrichtlinien oder Standardressourceneinstellungen für Cloud Logging verwenden können, um den Speicherort und die Verschlüsselung für neue Log-Buckets in Ordnern oder Organisationen zu steuern.
Log-Buckets
In Cloud Logging werden inaktive Kundendaten standardmäßig verschlüsselt. In Log-Buckets von Logging gespeicherte Daten werden mit Schlüsselverschlüsselungsschlüsseln verschlüsselt. Dieser Vorgang wird als Envelope-Verschlüsselung bezeichnet. Der Zugriff auf Ihre Logging-Daten erfordert den Zugriff auf diese Schlüsselverschlüsselungsschlüssel. Standardmäßig sind diese Google-owned and Google-managed encryption keys und erfordern keine Maßnahmen Ihrerseits.
Ihre Organisation hat möglicherweise rechtliche, Compliance-bezogene oder erweiterte Verschlüsselungsanforderungen, die unsere Standardverschlüsselung ruhender Daten nicht erfüllt. AnstattGoogle-owned and Google-managed encryption keyszu verwenden, können Sie Ihre Schlüssel selbst verwalten.
Log-Buckets sind regionale Ressourcen mit einem festen Standort. Google Cloud verwaltet diese Infrastruktur, sodass Ihre Anwendungen in den Zonen innerhalb dieser Region redundant verfügbar sind.
Die Aufbewahrungsdauer für die in einem Log-Bucket gespeicherten Daten hängt vom Log-Bucket ab. Dieses Dokument enthält Informationen zur Datenaufbewahrung.
Sie können Logansichten für ein Log-Bucket erstellen. Eine Logansicht bietet Zugriff auf nur eine Teilmenge der in einem Log-Bucket gespeicherten Logdaten. Für jeden Log-Bucket erstellt Cloud Logging automatisch eine Logansicht, die Zugriff auf jeden Logeintrag im Log-Bucket bietet. Sie steuern den Zugriff auf eine Logansicht mithilfe von Identity and Access Management (IAM).
Verwenden Sie den Log-Explorer oder die Seiten für die Loganalyse in der Google Cloud Console, um Ihre Logdaten abzufragen und anzusehen:
Auf der Seite „Logs Explorer“ können Sie die Leistung Ihrer Dienste und Anwendungen analysieren und Fehler beheben. Sie können sich einzelne Logeinträge ansehen und Ihre Logdaten filtern. Diese Schnittstelle hat eine Bereichseinstellung, mit der Sie Logdaten nach Projekt, Log-Bucket oder Logansicht suchen können.
Die Seite „Loganalysen“ bietet eine SQL-Schnittstelle, mit der Sie eine aggregierte Analyse Ihrer Logdaten durchführen können, die in einem Log-Bucket gespeichert sind, für den ein Upgrade auf Analysen durchgeführt wurde. Mit dieser Schnittstelle können Sie beispielsweise Trends berechnen und darstellen. Sie können Log-Ansichten und Analytics-Ansichten abfragen.
Weitere Informationen finden Sie unter Logeinträge abfragen und ansehen.
Unterstützung für Organisationen und Ordner
Damit Ihre Organisation Compliance- und behördliche Anforderungen erfüllen kann, werden beim Logging sowohl Organisationsrichtlinien als auch Standardressourceneinstellungen unterstützt:
Für Organisationen und Ordner geben Standardressourceneinstellungen für Cloud Logging den Speicherort von systemgenerierten Log-Buckets an. Außerdem wird festgelegt, wie Verschlüsselungsschlüssel für alle Log-Buckets verwaltet werden.
Mit einer Organisationsrichtlinie können Sie den Standort neuer benutzerdefinierter Log-Buckets einschränken. Das Logging unterstützt Organisationsrichtlinien, in denen Regionen angegeben werden, in denen Log-Buckets erstellt werden können oder nicht.
Vom System erstellte Log-Buckets
Für jedes Google Cloud Projekt, Rechnungskonto, jeden Ordner und jede Organisation erstellt Cloud Logging zwei Log-Buckets: _Required und _Default. Sofern keine Standardressourceneinstellungen für Cloud Logging konfiguriert sind, haben diese BucketsGoogle-owned and Google-managed encryption keys und Cloud Logging wählt ihren Standort aus.
Sie können die vom System erstellten Log-Buckets nicht löschen.
Sie können von Systemen erstellte Log-Buckets upgraden, um Analysen zu verwenden. Nach dem Upgrade können Sie Ihre Logdaten über die Seite Loganalysen abfragen, die SQL unterstützt.
_Required Log-Bucket
Im Log-Bucket _Required werden Logeinträge gespeichert, die für Compliance- oder Auditzwecke erforderlich sind. Aus diesem Grund können Sie diesen Log-Bucket nicht löschen und auch nicht ändern, welche Logeinträge darin gespeichert werden.
Logeinträge in diesem Log-Bucket werden 400 Tage lang aufbewahrt. Sie können diese Aufbewahrungsdauer nicht ändern.
Die Logeinträge, die im _Required-Log-Bucket für eine Ressource gespeichert sind, stammen auch aus dieser Ressource. Das bedeutet, dass im _Required-Log-Bucket in einem Google Cloud -Projekt nur Logeinträge gespeichert werden können, die aus diesem Projekt stammen.
Im Log-Bucket _Required werden die folgenden Arten von Logeinträgen gespeichert:
- Audit-Logs zur Administratoraktivität
- Audit-Logs zu Systemereignissen
- Audit-Logs für Google Workspace-Administratoren
- Audit-Logs zu Unternehmensgruppen
- Audit-Logs für die Anmeldung
_Default Log-Bucket
Im _Default-Log-Bucket werden Logeinträge gespeichert, die nicht automatisch im _Required-Log-Bucket gespeichert werden. Da der Log-Bucket _Default vom System erstellt wurde, können Sie ihn nicht löschen. Sie können jedoch ändern, welche Logeinträge in diesem Log-Bucket gespeichert werden.
Cloud Logging speichert die Logeinträge im _Default-Bucket 30 Tage lang, es sei denn, Sie konfigurieren die benutzerdefinierte Aufbewahrungsregeln für den Bucket.
In diesem Log-Bucket werden beispielsweise folgende Informationen gespeichert:
- Audit-Logs zum Datenzugriff.
- Audit-Logs zu Richtlinienverstößen
- Von Anwendungen und Google Cloud -Diensten generierte Logs.
Benutzerdefinierte Log-Buckets
In jedemGoogle Cloud Projekt können Sie benutzerdefinierte Log-Buckets erstellen. Wenn Sie einen benutzerdefinierten Log-Bucket erstellen, wählen Sie den Standort aus und legen den Zeitraum für die Datenaufbewahrung fest. Sie haben die Möglichkeit, einen vom Kunden verwalteten Verschlüsselungsschlüssel anzugeben.
Sie können benutzerdefinierte Log-Buckets upgraden, um Analysen zu verwenden. Nach dem Upgrade können Sie Ihre Logdaten über die Seite Loganalysen abfragen, die SQL unterstützt.
Sie können benutzerdefinierte Log-Buckets ändern und löschen. Um zu verhindern, dass ein Log-Bucket gelöscht wird, in dem Logeinträge gespeichert sind, die sich noch innerhalb ihres Aufbewahrungszeitraums befinden, können Sie den Log-Bucket gegen Aktualisierungen sperren.
Zugriff auf einen Log-Bucket steuern
Der Zugriff auf Logdaten wird über IAM-Berechtigungen und -Rollen gesteuert. Sie haben zum Beispiel folgende Möglichkeiten:
- Lese- und Bearbeitungszugriff auf einen Log-Bucket gewähren
- Sie können den Bearbeitungszugriff auf einen Log-Bucket basierend auf der Gruppenmitgliedschaft mithilfe von Tags gewähren.
- Sie können den Zugriff auf bestimmte Felder in einem Logeintrag steuern, indem Sie Zugriff auf Feldebene für einen Log-Bucket konfigurieren.
Sie können Zugriff auf eine Teilmenge von Logeinträgen in einem Log-Bucket gewähren, indem Sie eine Logansicht für dieses Log-Bucket erstellen.
Jeder Log-Bucket hat eine Standardlogansicht, die in der Regel alle Logeinträge im Log-Bucket enthält. Für den Log-Bucket
_Defaultwerden Datenzugriffslog-Einträge in der Standardlogansicht ausgeschlossen.
Damit ein Nutzer die Berechtigungen erhält, die er zum Ansehen und Analysieren von Logeinträgen benötigt, wird ihm in der Regel eine der folgenden IAM-Rollen zugewiesen:
Rolle Log-Betrachter (
roles/logging.viewer): Gewährt Zugriff auf alle Logeinträge im_Required-Bucket und auf die Standardlogansicht im_Default-Bucket.Rolle Betrachter privater Logs (
roles/logging.privateLogViewer): Gewährt Zugriff auf alle Logs in den Buckets_Requiredund_Default, einschließlich der Logs zum Datenzugriff.
Wenn Sie benutzerdefinierte Log-Buckets oder Log-Ansichten für Log-Buckets erstellen, sind zusätzliche Berechtigungen erforderlich. Weitere Informationen zu Rollen finden Sie unter Zugriffssteuerung mit IAM.
Liste der unterstützten Regionen
Log-Buckets sind regionale Ressourcen. Die Infrastruktur, in der Ihre Logeinträge gespeichert, indexiert und durchsucht werden, befindet sich an einem bestimmten geografischen Standort. Mit Ausnahme von Log-Buckets in den Regionen global, eu oder us verwaltet Google Cloud die Infrastruktur so, dass Ihre Anwendungen in den Zonen innerhalb der Region des Log-Buckets redundant verfügbar sind.
Die folgenden Regionen werden von Cloud Logging unterstützt:
Global
| Name der Region | Beschreibung der Region |
|---|---|
global |
Logs, die in Rechenzentren auf der ganzen Welt gespeichert sind. Logs können in andere Rechenzentren verschoben werden. Im Gegensatz zu anderen globalen Ressourcen in Google Cloud bieten globale Log-Buckets in Cloud Logging keine zusätzlichen Redundanzgarantien im Vergleich zu einem regionalen Log-Bucket. |
Multiregional: EU und USA
| Name der Region | Beschreibung der Region |
|---|---|
eu |
Logs, die in Rechenzentren in der Europäischen Union gespeichert sind. Logs können in andere Rechenzentren verschoben werden. Keine zusätzlichen Garantien für Redundanz. |
us |
Logs, die in Rechenzentren in den USA gespeichert sind. Logs können in andere Rechenzentren verschoben werden. Keine zusätzlichen Garantien für Redundanz. |
Afrika
| Name der Region | Beschreibung der Region |
|---|---|
africa-south1 |
Johannesburg |
Nord- und Südamerika
| Name der Region | Beschreibung der Region |
|---|---|
northamerica-northeast1 |
Montréal |
northamerica-northeast2 |
Toronto |
northamerica-south1 |
Mexiko |
southamerica-east1 |
São Paulo |
southamerica-west1 |
Santiago |
us-central1 |
Iowa |
us-east1 |
South Carolina |
us-east4 |
North Virginia |
us-east5 |
Columbus |
us-south1 |
Dallas |
us-west1 |
Oregon |
us-west2 |
Los Angeles |
us-west3 |
Salt Lake City |
us-west4 |
Las Vegas |
Asiatisch-pazifischer Raum
| Name der Region | Beschreibung der Region |
|---|---|
asia-east1 |
Taiwan |
asia-east2 |
Hongkong |
asia-northeast1 |
Tokio |
asia-northeast2 |
Osaka |
asia-northeast3 |
Seoul |
asia-south1 |
Mumbai |
asia-south2 |
Delhi |
asia-southeast1 |
Singapur |
asia-southeast2 |
Jakarta |
asia-southeast3 |
Bangkok |
australia-southeast1 |
Sydney |
australia-southeast2 |
Melbourne |
Europa
| Name der Region | Beschreibung der Region |
|---|---|
europe-central2 |
Warschau |
europe-north1 |
Finnland |
europe-north2 |
Stockholm |
europe-southwest1 |
Madrid |
europe-west1 |
Belgien |
europe-west2 |
London |
europe-west3 |
Frankfurt |
europe-west4 |
Niederlande |
europe-west6 |
Zürich |
europe-west8 |
Mailand |
europe-west9 |
Paris |
europe-west10 |
Berlin |
europe-west12 |
Turin |
Naher Osten
| Name der Region | Beschreibung der Region |
|---|---|
me-central1 |
Doha |
me-central2 |
Dammam |
me-west1 |
Tel Aviv |
Nächste Schritte
- Logdaten weiterleiten
- Logeinträge abfragen und ansehen
- Log-Buckets konfigurieren und verwalten
- Standardressourceneinstellungen für Cloud Logging konfigurieren