Standardeinstellungen für Organisationen und Ordner konfigurieren

In diesem Dokument wird beschrieben, wie Sie Standardeinstellungen für Logging mit der Google Cloud CLI konfigurieren. Mit Standardeinstellungen, die auf eine Organisation oder einen Ordner angewendet werden können, lässt sich Folgendes festlegen:

  • Gibt an, ob ein vom Kunden verwalteter Verschlüsselungsschlüssel (CMEK) für neue Log-Buckets erforderlich ist.
  • Gibt an, ob die _Default-Senke aktiviert oder deaktiviert ist.

  • Der Filter, der auf das _Default-Ziel neuer Ressourcen angewendet wird.

Übersicht

Die Organisationsressource befindet sich auf der höchsten Ebene der Google Cloud Ressourcenhierarchie. Die Organisationsressource ist das übergeordnete Element der folgenden untergeordneten Ressourcen:Google Cloud Projekte, Ordner, Rechnungskonten und, in Bezug auf Logging, Log-Buckets.

Sie können die Protokollierung so konfigurieren, dass Standardeinstellungen für eine Google Cloud Organisation und für Ordner verwendet werden. Wenn Sie neue Ressourcen erstellen, übernehmen diese die Standardeinstellungen des übergeordneten Elements.

Cloud Logging unterstützt die folgenden Standardeinstellungen:

  • Gibt an, ob neue Log-Buckets in einer Ressource mit einem vom Kunden verwalteten Schlüssel verschlüsselt werden sollen. Wenn ja, wird der Cloud KMS-Standardschlüssel angegeben, der für die Verschlüsselung verwendet werden soll.

  • Der Speicherort für neue _Default- und _Required-Log-Buckets, die von untergeordneten Ressourcen erstellt wurden, und für Abfragen, die auf den Seiten Log-Explorer oder Loganalysen gespeichert wurden. Wenn Sie den Speicherort festlegen, können Sie steuern, wo Ihre Logs gespeichert werden.

    Wenn Sie einen Standardspeicherort für eine Ressource festlegen und CMEK für diese Ressource nicht konfigurieren, ist für neue Log-Buckets in der Ressource kein CMEK erforderlich.

  • Gibt an, ob die _Default-Logsink für neue Projekte in der Ressource aktiviert oder deaktiviert ist.

  • Die Einschluss- oder Ausschlussfilter, die auf alle neuen _Default-Senken in den untergeordneten Ressourcen angewendet werden.

Beispielkonfigurationen:

  • Sie konfigurieren einen Standardspeicherort für eine Organisation. Für neue Projekte in der Organisation werden die Log-Buckets _Default und _Required am angegebenen Standort erstellt. Außerdem werden Abfragen, die auf den Seiten Log-Explorer oder Loganalysen gespeichert werden, am angegebenen Speicherort gespeichert. Diese Abfragen umfassen die letzten Abfragen, die nach der Ausführung automatisch gespeichert werden, sowie Abfragen, die von Mitgliedern desGoogle Cloud -Projekts gespeichert wurden.
  • Sie konfigurieren einen Standardspeicherort für eine Organisation und einen Standardspeicherort für jeden Ordner in dieser Organisation. Bei neuen Projekten, die sich in einem Ordner befinden, werden die Buckets _Default und _Required am Speicherort erstellt, der in den Einstellungen des Ordners angegeben ist. Für Projekte, die sich nicht in einem Ordner befinden, werden die _Default- und _Required-Buckets am Speicherort erstellt, der in den Einstellungen der Organisation angegeben ist.

  • Sie konfigurieren CMEK für eine Organisation und legen für den Ordner mit dem Namen Non-CMEK nur den Standardspeicherort fest. Wenn Sie ein Projekt erstellen, das sich nicht im Ordner Non-CMEK befindet, werden die Buckets _Default und _Required am selben Ort wie der Cloud Key Management Service-Schlüssel erstellt und mit diesem Schlüssel verschlüsselt. Wenn Sie jedoch ein neues Projekt im Ordner Non-CMEK erstellen, werden die zugehörigen Log-Buckets an den in der Einstellung des Ordners angegebenen Standorten erstellt und nicht mit CMEK verschlüsselt.

  • Sie konfigurieren einen Ausschlussfilter, der auf neue _Default-Senken auf Organisationsebene angewendet wird. Der Filter verhindert, dass Audit-Logs zum Datenzugriff in allen untergeordneten Ressourcen über die _Default-Senke weitergeleitet werden. Dadurch werden die Audit-Logs zum Datenzugriff nicht im _Default-Bucket gespeichert.

Hinweise

Dieses Dokument enthält keine Informationen dazu, wie CMEK als Standardeinstellung für Logging konfiguriert wird. Informationen zu diesem Thema finden Sie unter CMEK für Logging konfigurieren.

So konfigurieren Sie die Standardeinstellungen für Logging:

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Ihre IAM-Rolle (Identity and Access Management) für die Organisation oder den Ordner, deren Standardeinstellungen Sie konfigurieren möchten, muss die folgende Cloud Logging-Berechtigung enthalten:

    • logging.settings.get
    • logging.settings.update
  3. Legen Sie fest, wo Sie Ihre Logs und Abfragen speichern möchten. Eine Liste der unterstützten Speicherorte finden Sie unter Unterstützte Regionen.

  4. Standardeinstellungen für die Protokollierung ansehen

    Verwenden Sie den Befehl gcloud logging settings describe, um die Standardeinstellungen für die Protokollierung aufzurufen, einschließlich des Standardspeicherorts:

    ORDNER

     gcloud logging settings describe --folder=FOLDER_ID
    

    Bevor Sie den vorherigen Befehl ausführen, ersetzen Sie Folgendes:

    Organisation

    gcloud logging settings describe --organization=ORGANIZATION_ID
    

    Bevor Sie den vorherigen Befehl ausführen, ersetzen Sie Folgendes:

    • ORGANIZATION_ID: Die eindeutige numerische Kennung der Organisation. Informationen zum Abrufen dieser Kennung finden Sie unter Organisations-ID abrufen.

    Der vorherige Befehl gibt Informationen zu den Standardeinstellungen zurück. Das Folgende zeigt beispielsweise die Standardeinstellungen für eine bestimmte Organisation:

    name: organizations/ORGANIZATION_ID/settings
    kmsKeyName: KMS_KEY_NAME
    kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
    storageLocation: europe-west1
    disableDefaultSink: false
    

    Der Wert von SERVICE_ACCT_NAME kann das Format cmek-12345 oder service-12345@... haben. Wenn Sie die Google Cloud CLI nicht verwenden können, führen Sie die Cloud Logging API-Methode getSettings aus.

    Standardspeicherort festlegen

    Log-Buckets sind die Container in IhrenGoogle Cloud -Projekten, Rechnungskonten, Ordnern und Organisationen, in denen Logdaten gespeichert und organisiert werden. Für jedes Google Cloud Projekt, Rechnungskonto, Ordner und jede Organisation erstellt Logging automatisch zwei Log-Buckets: _Required und _Default, die automatisch am Standort global gespeichert werden.

    Wenn Sie den Standardspeicherort für eine Organisation oder einen Ordner festlegen, geben Sie an, wo neue _Required- und _Default-Log-Buckets erstellt werden und wo Abfragen gespeichert werden, die Sie auf den Seiten Log-Explorer und Log-Analyse ausführen. Wenn Sie den Standardspeicherort festlegen, hat das keine Auswirkungen auf den Speicherort vorhandener Log-Buckets. Auch für gespeicherte Abfragen wird der Speicherort nicht geändert.

    Nachdem Sie den Standardspeicherort für eine Organisation oder einen Ordner konfiguriert haben, passiert Folgendes:

    • Bei neuen untergeordneten Ressourcen, die in der Organisation oder im Ordner erstellt werden, wird der Standardspeicherort für die _Required- und _Default-Buckets übernommen.
    • Neue Abfragen, die Sie auf den Seiten Log-Explorer oder Loganalysen ausführen, werden am Standardspeicherort gespeichert. Dieser Speicherort gilt auch für kürzlich gestellte Anfragen, die automatisch gespeichert werden.

    Der Standardspeicherort für Cloud Logging gilt nicht für nutzerdefinierte Log-Buckets oder für Abfragen, die mit der Logging API gespeichert wurden.

    Organisationsrichtlinien konfigurieren

    Das Logging unterstützt Organisationsrichtlinien, mit denen eingeschränkt werden kann, wo Daten gespeichert werden dürfen. Wenn eine solche Richtlinie für Ihre Organisation vorhanden ist, können Sie Log-Buckets nur an Standorten erstellen, die von der Richtlinie zugelassen werden.

    Wenn eine Organisationsrichtlinie mit einer Standortbeschränkung vorhanden ist, müssen die Richtlinienwerte für die Beschränkung den in den Standardeinstellungen für Logging angegebenen Standort enthalten. Wenn Sie die Standardeinstellungen ändern möchten, sollten Sie vor der Aktualisierung der Standardeinstellungen die Organisationsrichtlinien überprüfen und gegebenenfalls aktualisieren.

    So rufen Sie Organisationsrichtlinien auf oder aktualisieren sie:

    1. Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf.

      Zu den Organisationsrichtlinien

      Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift IAM & Admin ist.

    2. Wählen Sie Ihre Organisation aus.

    3. Sehen Sie sich die Einschränkung mit der ID constraints/gcp.resourceLocations an und aktualisieren Sie sie bei Bedarf. Wenn diese Einschränkung nicht konfiguriert ist, ist keine Aktualisierung erforderlich.

      Informationen zum Aufrufen und Bearbeiten bestimmter Einschränkungen finden Sie unter Richtlinien erstellen und bearbeiten.

    Standardspeicherort für Logging konfigurieren

    Führen Sie den Befehl gcloud logging settings update aus und fügen Sie das Flag --storage-location ein, um den Standardspeicherort für Cloud Logging zu konfigurieren:

    ORDNER

    gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION
    

    Bevor Sie den vorherigen Befehl ausführen, ersetzen Sie die folgenden Werte:

    • FOLDER_ID: Die eindeutige numerische ID des Ordners. Informationen zur Verwendung von Ordnern finden Sie unter Ordner erstellen und verwalten.
    • LOCATION: Der Ort, an dem neue _Default- und _Required-Log-Buckets erstellt und Abfragen gespeichert werden. Eine Liste der unterstützten Standorte finden Sie unter Unterstützte Regionen.

    Organisation

    gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION
    

    Bevor Sie den vorherigen Befehl ausführen, ersetzen Sie die folgenden Werte:

    • ORGANIZATION_ID: Die eindeutige numerische Kennung der Organisation. Informationen zum Abrufen dieser Kennung finden Sie unter Organisations-ID abrufen.
    • LOCATION: Der Ort, an dem neue _Default- und _Required-Log-Buckets erstellt und Abfragen gespeichert werden. Eine Liste der unterstützten Standorte finden Sie unter Unterstützte Regionen.

    Wenn Sie die Google Cloud CLI nicht verwenden können, führen Sie die Cloud Logging API-Methode updateSettings aus.

    Informationen zum Beheben von Fehlern beim Aktualisieren des Standardspeicherorts finden Sie unter Fehlerbehebung beim Festlegen des Standardressourcenstandorts.

    _Default-Senke konfigurieren

    Logging bietet für jedesGoogle Cloud -Projekt,Google Cloud -Rechnungskonto,Google Cloud -Ordner und jedeGoogle Cloud -Organisationsressource eine vordefinierte _Default-Senke. Alle Logs, die in der Ressource generiert werden, die mit dem Einschlussfilter übereinstimmen und nicht ausgeschlossen werden, werden an den vordefinierten Bucket _Default der Ressource weitergeleitet.

    Sie können Standardeinstellungen für den _Default-Senken für Ihre Organisation und Ordner mit den folgenden Optionen konfigurieren:

    • Sie können die Erstellung einer _Default-Senke für neue untergeordnete Ressourcen deaktivieren.

    • Sie können einen Einschlussfilter oder mehrere Ausschlussfilter konfigurieren, die für die _Default-Senken neuer Projekte gelten.

    _Default-Senke deaktivieren

    Sie können die _Default-Senken für alle neuen Ressourcen in einer Organisation oder einem Ordner deaktivieren. Dadurch wird verhindert, dass Logs im _Default-Bucket der Ressource gespeichert werden._Default Wenn Sie keine Logs mehr im _Default-Bucket einer Ressource speichern, werden die Logs, die an diesen Bucket weitergeleitet worden wären, von der Speicherung in Logging ausgeschlossen, sofern sie nicht explizit in einer anderen benutzerdefinierten Senke für diese Ressource enthalten sind.

    Führen Sie den folgenden gcloud logging settings update-Befehl aus, um die _Default-Senken für eine Ressource und alle untergeordneten Ressourcen zu deaktivieren:

    ORDNER

    gcloud logging settings update --folder=FOLDER_ID--disable-default-sink
    

    Bevor Sie den vorherigen Befehl ausführen, ersetzen Sie Folgendes:

    Organisation

    gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink
    

    Bevor Sie den vorherigen Befehl ausführen, ersetzen Sie Folgendes:

    • ORGANIZATION_ID: Die eindeutige numerische Kennung der Organisation. Informationen zum Abrufen dieser Kennung finden Sie unter Organisations-ID abrufen.

    Das Flag disable-default-sink gilt nur für die Senke _Default, über die Logs in den Bucket _Default weitergeleitet werden.

    Sie können die _Default-Senken wieder aktivieren, indem Sie den folgenden gcloud logging settings update-Befehl ausführen:

    ORDNER

    gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink
    

    Organisation

    gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink
    

    Standardfilter für _Default-Senken konfigurieren

    Die vordefinierte _Default-Senke leitet alle Logeinträge, die den Senkenkriterien entsprechen, an den entsprechenden _Default-Bucket weiter. Sie können einen Cloud Logging API-Befehl senden, um den integrierten Einschlussfilter in der _Default-Senke zu überschreiben oder einen Filter anzuhängen. Der integrierte Ausschlussfilter für die Senke _Default ist leer. Mit dem API-Befehl können Sie jedoch auch Ausschlussfilter hinzufügen.

    Wenn Sie einen Einschluss- oder Ausschlussfilter angeben möchten, der auf alle _Default-Senken neuer Ressourcen in einer Organisation oder einem Ordner angewendet wird, führen Sie die Cloud Logging API-Methode updateSettings aus und geben Sie das defaultSinkConfig-Objekt an.

    Sie können die Methode updateSettings mithilfe des APIs Explorer-Widgets auf der Referenzseite der Methode ausführen. Das folgende Beispiel veranschaulicht Beispielparameter:

    • Name (URL): organizations/ORGANIZATION_ID/settings
    • Aktualisierungsmaske: "default_sink_config"
    • Anfragetext, der eine Instanz von Settings enthält:

      "defaultSinkConfig": {
        {
        "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") "
        "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") "
        "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") "
        "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") "
        "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ",
        "exclusions": [
           {
              "name": "exclude-data-access",
              "description": "Prevents Data Access audit logs from being routed",
              "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")",
           }
        ],
        "mode": OVERWRITE
        }
      }
      

    Der integrierte Einschlussfilter für das Senkenziel _Default enthält die Anweisung AND NOT LOG_ID("externalaudit.googleapis.com/activity"), die verhindert, dass Audit-Logs zu Administratoraktivitäten an den Log-Bucket _Default weitergeleitet werden. Im vorherigen Beispiel wird der Einschlussfilter so geändert, dass Audit-Logs zur Administratoraktivität an den Log-Bucket _Default weitergeleitet werden. Im Beispiel wird auch ein Ausschlussfilter hinzugefügt, der verhindert, dass Audit-Logs zum Datenzugriff an den Bucket _Default weitergeleitet werden. Im vorherigen Beispiel heißt der Ausschlussfilter exclude-data-access.

    Konfigurationsfehler beheben

    Informationen zur Fehlerbehebung finden Sie unter Fehlerbehebung bei CMEK- und Standardeinstellungsfehlern.