Questo documento introduce i bucket di log, ovvero i container che Cloud Logging utilizza per archiviare i dati di log. Fornisce informazioni su posizione, gestione della chiave di crittografia e conservazione dei dati per i bucket log. Inoltre, evidenzia dove puoi utilizzare le policy dell'organizzazione o le impostazioni predefinite delle risorse per Cloud Logging per controllare la posizione e la crittografia dei nuovi bucket log nelle cartelle o nelle organizzazioni.
Informazioni sui bucket di log
Per impostazione predefinita, Cloud Logging cripta i contenuti inattivi dei clienti. I dati archiviati nei bucket dei log da Logging vengono criptati utilizzando chiavi di crittografia delle chiavi, un processo noto come crittografia envelope. L'accesso ai dati di logging richiede l'accesso a queste chiavi di crittografia delle chiavi. Per impostazione predefinita, questi sono Google-owned and Google-managed encryption keys e non richiedono alcuna azione da parte tua.
La tua organizzazione potrebbe avere requisiti normativi, di conformità o di crittografia avanzata che la nostra crittografia at-rest predefinita non fornisce. Per soddisfare i requisiti della tua organizzazione, anziché utilizzare Google-owned and Google-managed encryption keys, puoi gestire le tue chiavi.
I bucket di log sono risorse regionali con una posizione fissa. Google Cloud gestisce l'infrastruttura in modo che le tue applicazioni siano disponibili in modo ridondante nelle zone all'interno di quella regione.
Il periodo di conservazione dei dati archiviati da un bucket dei log dipende dal bucket dei log. Questo documento contiene informazioni sulla conservazione dei dati.
Puoi creare visualizzazioni dei log in un bucket di log. Una visualizzazione log fornisce l'accesso solo a un sottoinsieme dei dati di log archiviati in un bucket di log. Per ogni bucket di log, Cloud Logging crea automaticamente una visualizzazione log che fornisce l'accesso a ogni voce di log nel bucket di log. Controlli l'accesso a una visualizzazione log utilizzando Identity and Access Management (IAM).
Per eseguire query e visualizzare i dati dei log, utilizza le pagine Esplora log o Log Analytics della console Google Cloud :
La pagina Esplora log ti aiuta a risolvere i problemi e analizzare le prestazioni dei tuoi servizi e delle tue applicazioni. Puoi visualizzare singole voci di log e filtrare i dati di log. Questa interfaccia ha un'impostazione dell'ambito, che consente di cercare i dati di log per progetto, bucket di log o visualizzazione log.
La pagina Analisi dei log offre un'interfaccia SQL che consente di eseguire analisi aggregate sui dati di log archiviati in un bucket di log di cui è stato eseguito l'upgrade per utilizzare l'analisi. Ad esempio, utilizza questa interfaccia per calcolare e rappresentare graficamente le tendenze. Puoi eseguire query su viste dei log e viste analitiche.
Per saperne di più, consulta Eseguire query e visualizzare le voci di log.
Supporto di organizzazioni e cartelle
Per aiutare la tua organizzazione a soddisfare le esigenze di conformità e normative, Logging supporta sia i criteri dell'organizzazione sia le impostazioni predefinite delle risorse:
Per le organizzazioni e le cartelle, le impostazioni predefinite delle risorse per Cloud Logging specificano la posizione dei bucket di log creati dal sistema. Specificano inoltre come vengono gestite le chiavi di crittografia per tutti i bucket log.
Una policy dell'organizzazione può limitare la posizione dei nuovi bucket di log definiti dall'utente. La registrazione supporta i criteri dell'organizzazione che specificano le regioni in cui è possibile o meno creare bucket log.
Bucket di log creati dal sistema
Per ogni progetto, account di fatturazione, cartella o organizzazione Google Cloud ,
Cloud Logging crea due bucket di log, uno denominato _Required e l'altro denominato _Default. A meno che non siano configurate le impostazioni predefinite delle risorse per Cloud Logging, questi bucket hannoGoogle-owned and Google-managed encryption keys e Cloud Logging seleziona la loro posizione.
Non puoi eliminare i bucket dei log creati dal sistema.
Puoi eseguire l'upgrade dei bucket di log creati dal sistema per utilizzare l'analisi. Questo upgrade ti consente di eseguire query sui dati di log utilizzando la pagina Analisi dei log, che supporta SQL.
_Required bucket di log
Il bucket di log _Required archivia le voci di log necessarie per la conformità
o per scopi di controllo. Per questo motivo, non puoi eliminare questo bucket di log e non puoi modificare le voci di log archiviate in questo bucket.
Le voci di log in questo bucket di log vengono conservate per
400 giorni; non puoi modificare questo periodo di conservazione.
Le voci di log archiviate nel bucket di log _Required per una risorsa
hanno origine anche in quella risorsa. ovvero il bucket di log _Required in un progetto Google Cloud può archiviare solo le voci di log provenienti da quel progetto.
Il bucket log _Required archivia i seguenti tipi di voci di log:
- Audit log delle attività di amministrazione
- Audit log degli eventi di sistema
- Audit log di amministrazione di Google Workspace
- Log di controllo di Enterprise Groups
- Log di controllo degli accessi
_Default bucket di log
Il bucket di log _Default archivia le voci di log che non vengono archiviate automaticamente
nel bucket di log _Required. Poiché il bucket di log _Default è
stato creato dal sistema, non puoi eliminarlo. Tuttavia, puoi
modificare le voci di log archiviate in questo bucket di log.
Cloud Logging conserva le voci di log nel bucket _Default per 30 giorni, a meno che tu non configuri la conservazione personalizzata per il bucket.
Ad esempio, questo bucket di log memorizza:
- Audit log dell'accesso ai dati.
- Audit log di policy negata.
- Log generati da applicazioni e servizi. Google Cloud
Bucket di log definiti dall'utente
Puoi creare bucket di log definiti dall'utente in qualsiasi progettoGoogle Cloud . Quando crei un bucket di log definito dall'utente, selezioni la posizione e imposti il periodo di conservazione dei dati. Hai la possibilità di fornire una chiave di crittografia gestita dal cliente.
Puoi eseguire l'upgrade dei bucket di log definiti dall'utente per utilizzare l'analisi. Questo upgrade ti consente di eseguire query sui dati di log utilizzando la pagina Analisi dei log, che supporta SQL.
Puoi modificare ed eliminare i bucket di log definiti dall'utente. Per proteggerti dall'eliminazione di un bucket di log che archivia voci di log che rientrano nel periodo di conservazione, puoi bloccare il bucket di log contro gli aggiornamenti.
Controllare l'accesso a un bucket di log
I ruoli e le autorizzazioni IAM controllano l'accesso ai dati dei log. Ad esempio, puoi eseguire tutte le seguenti operazioni:
- Concedi l'accesso in lettura e modifica a un bucket di log.
- Concedi l'accesso in modifica a un bucket di log in base all'appartenenza al gruppo utilizzando i tag.
- Controlla l'accesso a campi specifici in una voce di log configurando l'accesso a livello di campo in un bucket di log.
Concedi l'accesso a un sottoinsieme di voci di log in un bucket di log creando una visualizzazione dei log in quel bucket di log.
Ogni bucket di log ha una visualizzazione di log predefinita, che in genere include ogni voce di log nel bucket di log. Per il bucket di log
_Default, la visualizzazione dei log predefinita esclude le voci dei log di accesso ai dati.
Per concedere a un utente le autorizzazioni necessarie per visualizzare e analizzare le voci di log, in genere viene concesso uno dei seguenti ruoli IAM:
Ruolo Logs Viewer (
roles/logging.viewer): concede l'accesso a tutte le voci di log nel bucket_Requirede alla visualizzazione dei log predefinita nel bucket_Default.Ruolo Visualizzatore log privati (
roles/logging.privateLogViewer): concede l'accesso a tutti i log nei bucket_Requirede_Default, inclusi i log di accesso ai dati.
Se crei bucket di log o visualizzazioni di log definiti dall'utente sui bucket di log, sono necessarie autorizzazioni aggiuntive. Per saperne di più sui ruoli, consulta Controllo dell'accesso con IAM.
Elenco delle regioni supportate
I bucket di log sono risorse a livello di regione. L'infrastruttura che archivia,
indicizza e cerca le voci di log si trova in una posizione geografica
specifica. Ad eccezione dei bucket di log nelle regioni global, eu o us, Google Cloud gestisce l'infrastruttura in modo che le tue applicazioni siano disponibili in modo ridondante nelle zone all'interno della regione del bucket di log.
Le seguenti regioni sono supportate da Cloud Logging:
Globale
| Nome regione | Descrizione della regione |
|---|---|
global |
Log archiviati in qualsiasi data center del mondo. I log potrebbero essere spostati in data center diversi. A differenza di altre risorse globali in Google Cloud, i bucket di log globali in Cloud Logging non forniscono garanzie di ridondanza aggiuntive rispetto a un bucket di log regionale. |
Multiregioni: UE e Stati Uniti
| Nome regione | Descrizione della regione |
|---|---|
eu |
Log archiviati in qualsiasi data center all'interno dell'Unione Europea. I log potrebbero essere spostati in data center diversi. Nessuna garanzia di ridondanza aggiuntiva. |
us |
Log archiviati in qualsiasi data center negli Stati Uniti. I log potrebbero essere spostati in data center diversi. Nessuna garanzia di ridondanza aggiuntiva. |
Africa
| Nome regione | Descrizione della regione |
|---|---|
africa-south1 |
Johannesburg |
Americhe
| Nome regione | Descrizione della regione |
|---|---|
northamerica-northeast1 |
Montréal |
northamerica-northeast2 |
Toronto |
northamerica-south1 |
Messico |
southamerica-east1 |
San Paolo |
southamerica-west1 |
Santiago |
us-central1 |
Iowa |
us-east1 |
Carolina del Sud |
us-east4 |
Virginia del Nord |
us-east5 |
Columbus |
us-south1 |
Dallas |
us-west1 |
Oregon |
us-west2 |
Los Angeles |
us-west3 |
Salt Lake City |
us-west4 |
Las Vegas |
Asia Pacifico
| Nome regione | Descrizione della regione |
|---|---|
asia-east1 |
Taiwan |
asia-east2 |
Hong Kong |
asia-northeast1 |
Tokyo |
asia-northeast2 |
Osaka |
asia-northeast3 |
Seul |
asia-south1 |
Mumbai |
asia-south2 |
Delhi |
asia-southeast1 |
Singapore |
asia-southeast2 |
Giacarta |
asia-southeast3 |
Bangkok |
australia-southeast1 |
Sydney |
australia-southeast2 |
Melbourne |
Europa
| Nome regione | Descrizione della regione |
|---|---|
europe-central2 |
Varsavia |
europe-north1 |
Finlandia |
europe-north2 |
Stoccolma |
europe-southwest1 |
Madrid |
europe-west1 |
Belgio |
europe-west2 |
Londra |
europe-west3 |
Francoforte |
europe-west4 |
Paesi Bassi |
europe-west6 |
Zurigo |
europe-west8 |
Milano |
europe-west9 |
Parigi |
europe-west10 |
Berlino |
europe-west12 |
Torino |
Medio Oriente
| Nome regione | Descrizione della regione |
|---|---|
me-central1 |
Doha |
me-central2 |
Dammam |
me-west1 |
Tel Aviv |
Passaggi successivi
- Dati dei log di percorso.
- Esegui query e visualizza le voci di log.
- Configura e gestisci i bucket di log.
- Configura le impostazioni predefinite delle risorse per Cloud Logging.