Standardeinstellungen für Organisationen und Ordner konfigurieren

In diesem Dokument wird beschrieben, wie Sie die Standardeinstellungen für die Protokollierung mit der Google Cloud CLI konfigurieren. Mit Standardeinstellungen, die auf eine Organisation oder einen Ordner angewendet werden können, können Sie Folgendes festlegen:

• Ob für neue Protokoll-Buckets ein vom Kunden verwalteter Verschlüsselungsschlüssel (CMEK) erforderlich ist.

• Der Speicherort für neue _Default- und _Required-Buckets sowie für Abfragen, die auf den Seiten Log-Explorer oder Log Analytics ausgeführt werden.

• Gibt an, ob die _Default-Senke aktiviert oder deaktiviert ist.

• Der Filter, der auf den _Default-Sink neuer Ressourcen angewendet wird.

Übersicht

Die Organisationsressource befindet sich auf der obersten Ebene der Google Cloud-Ressourcenhierarchie. Die Organisationsressource ist die übergeordnete Ressource für folgende untergeordnete Ressourcen: Google Cloud-Projekte, Ordner, Rechnungskonten und Log-Buckets.

Sie können die Protokollierung so konfigurieren, dass die Standardeinstellungen für eine Google Cloud-Organisation und für Ordner verwendet werden. Wenn Sie neue Ressourcen erstellen, übernehmen diese die Standardeinstellungen ihrer übergeordneten Ressource.

Cloud Logging unterstützt die folgenden Standardeinstellungen:

• Ob neue Protokoll-Buckets in einer Ressource mit einem vom Kunden verwalteten Schlüssel verschlüsselt werden sollen und wenn ja, welcher Cloud KMS-Standardschlüssel für die Verschlüsselung verwendet werden soll.

• Speicherort für neue _Default- und _Required-Protokoll-Buckets, die von untergeordneten Ressourcen erstellt wurden, sowie für Abfragen, die auf den Seiten Log-Explorer oder Log Analytics gespeichert wurden. Mit dem Speicherort können Sie festlegen, wo Ihre Protokolle gespeichert werden.

  Wenn Sie einen Standardspeicherort für eine Ressource festlegen und für diese Ressource keine CMEK-Verschlüsselung konfigurieren, ist für neue Protokoll-Buckets in der Ressource keine CMEK-Verschlüsselung erforderlich.

• Ob der _Default-Log-Sink für neue Projekte in der Ressource aktiviert oder deaktiviert ist.

• Die Einschluss- oder Ausschlussfilter, die auf alle neuen _Default-Senken in den untergeordneten Ressourcen angewendet werden.

Beispielkonfigurationen:

• Sie konfigurieren einen Standardspeicherort für eine Organisation. Für neue Projekte in der Organisation werden die _Default- und _Required-Protokoll-Buckets am angegebenen Speicherort erstellt. Außerdem werden Abfragen, die auf den Seiten Log-Explorer oder Log Analytics gespeichert wurden, an diesem Speicherort abgelegt. Dazu gehören die letzten Abfragen, die nach der Ausführung automatisch gespeichert werden, sowie Abfragen, die von Mitgliedern des Google Cloud-Projekts gespeichert wurden.

• Sie konfigurieren einen Standardspeicherort für eine Organisation und einen Standardspeicherort für jeden Ordner in dieser Organisation. Bei neuen Projekten in einem Ordner werden die _Default- und _Required-Buckets an dem Speicherort erstellt, der in den Einstellungen des Ordners angegeben ist. Für Projekte, die sich nicht in einem Ordner befinden, werden die _Default- und _Required-Buckets an dem in den Einstellungen der Organisation angegebenen Speicherort erstellt.

• Sie konfigurieren CMEK für eine Organisation und legen für den Ordner Non-CMEK nur den Standardspeicherort fest. Wenn Sie ein Projekt erstellen, das sich nicht im Ordner Non-CMEK befindet, werden die Buckets _Default und _Required am selben Speicherort wie der Cloud Key Management Service-Schlüssel erstellt und diese Protokoll-Buckets werden mit diesem Schlüssel verschlüsselt. Wenn Sie jedoch ein neues Projekt im Ordner Non-CMEK erstellen, werden die Protokoll-Buckets an den in der Einstellung dieses Ordners angegebenen Speicherorten erstellt und nicht mit CMEK verschlüsselt.

• Sie konfigurieren einen Ausschlussfilter, der auf neue _Default-Senken auf Organisationsebene angewendet wird. Der Filter verhindert, dass Audit-Logs zum Datenzugriff in allen untergeordneten Ressourcen über die _Default-Senke weitergeleitet werden. Dadurch werden die Audit-Logs zum Datenzugriff nicht im _Default-Bucket gespeichert.

Hinweise

Dieses Dokument enthält keine Informationen dazu, wie CMEK als Standardeinstellung für die Protokollierung konfiguriert wird. Weitere Informationen finden Sie unter CMEK für das Logging konfigurieren.

So konfigurieren Sie die Standardeinstellungen für das Logging:

1. In the Google Cloud console, activate Cloud Shell.

   Activate Cloud Shell

   At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

2. Ihre Identity and Access Management-Rolle für die Organisation oder den Ordner, deren Standardeinstellungen Sie konfigurieren möchten, muss die folgende Cloud Logging-Berechtigung enthalten:

   • logging.settings.get
   • logging.settings.update

3. Geben Sie den Speicherort an, an dem Sie Ihre Protokolle und Abfragen speichern möchten. Eine Liste der unterstützten Speicherorte finden Sie unter Unterstützte Regionen.

Standardeinstellungen für die Protokollierung aufrufen

Verwenden Sie den Befehl gcloud logging settings describe, um die Standardeinstellungen für die Protokollierung einschließlich des Standardspeicherorts aufzurufen:

 gcloud logging settings describe --folder=FOLDER_ID

gcloud logging settings describe --organization=ORGANIZATION_ID

Der vorherige Befehl gibt Informationen zu den Standardeinstellungen zurück. Im Folgenden sind beispielsweise die Standardeinstellungen für eine bestimmte Organisation zu sehen:

name: organizations/ORGANIZATION_ID/settings
kmsKeyName: KMS_KEY_NAME
kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
storageLocation: europe-west1
disableDefaultSink: false

Der Wert von SERVICE_ACCT_NAME kann das Format cmek-12345 oder service-12345@... haben. Wenn Sie die Google Cloud CLI nicht verwenden können, führen Sie die Cloud Logging API-Methode getSettings aus.

Standardspeicherort festlegen

Log-Buckets sind die Container in Ihren Google Cloud-Projekten, Abrechnungskonten, Ordnern und Organisationen, in denen Logdaten gespeichert und organisiert werden. Für jedes Google Cloud-Projekt, jedes Rechnungskonto, jeden Ordner und jede Organisation erstellt Logging automatisch zwei Log-Buckets, _Required und _Default, die automatisch am Speicherort global gespeichert werden.

Wenn Sie den Standardspeicherort für eine Organisation oder einen Ordner festlegen, geben Sie an, wo neue _Required- und _Default-Log-Buckets erstellt und wo Abfragen gespeichert werden, die Sie auf den Seiten Log-Explorer und Log Analytics ausführen. Das Festlegen des Standardspeicherorts hat keine Auswirkungen auf den Speicherort vorhandener Log-Buckets. Bei gespeicherten Abfragen ändert sich der Speicherort ebenfalls nicht.

Nachdem Sie den Standardspeicherort für eine Organisation oder einen Ordner konfiguriert haben, geschieht Folgendes:

• Für neue untergeordnete Ressourcen, die in der Organisation oder im Ordner erstellt werden, wird der Standardspeicherort in die _Required- und _Default-Buckets übernommen.

• Neue Abfragen, die Sie auf den Seiten Log-Explorer oder Log Analytics ausführen, werden am Standardspeicherort gespeichert. Dieser Speicherort gilt auch für kürzlich gestellte Suchanfragen, die automatisch gespeichert werden.

Der Standardspeicherort für Cloud Logging gilt nicht für benutzerdefinierte Log-Buckets oder Abfragen, die mit der Logging API gespeichert wurden.

Organisationsrichtlinien konfigurieren

Die Protokollierung unterstützt Organisationsrichtlinien, mit denen einschränkt werden kann, wo Daten gespeichert werden können. Wenn für Ihre Organisation eine solche Richtlinie vorhanden ist, können Sie Log-Buckets nur an Standorten erstellen, die von der Richtlinie zugelassen sind.

Wenn eine Organisationsrichtlinie mit einer Standorteinschränkung vorhanden ist, müssen die Richtlinienwerte für die Einschränkung den in den Standardeinstellungen für die Protokollierung angegebenen Standort enthalten. Wenn Sie die Standardeinstellungen ändern möchten, sollten Sie vor dem Aktualisieren die Richtlinien der Organisation prüfen und gegebenenfalls aktualisieren.

So rufen Sie Organisationsrichtlinien auf oder aktualisieren sie:

1. Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf:

   Gehen Sie zu den Organisationsrichtlinien.

   Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift IAM & Admin ist.

2. Wählen Sie Ihre Organisation aus.

3. Rufen Sie die Einschränkung mit der ID constraints/gcp.resourceLocations auf und aktualisieren Sie sie bei Bedarf. Wenn diese Einschränkung nicht konfiguriert ist, ist keine Aktualisierung erforderlich.

   Informationen zum Ansehen und Bearbeiten bestimmter Einschränkungen finden Sie unter Richtlinien erstellen und bearbeiten.

Standardspeicherort für Logging konfigurieren

Führen Sie den Befehl gcloud logging settings update mit dem Flag --storage-location aus, um den Standardspeicherort für Cloud Logging zu konfigurieren:

gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION

gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION

Wenn Sie die Google Cloud CLI nicht verwenden können, führen Sie die Cloud Logging API-Methode updateSettings aus.

Informationen zum Beheben von Fehlern beim Aktualisieren des Standardspeicherorts finden Sie unter Fehlerbehebung bei der Einstellung des Standardspeicherorts für Ressourcen.

_Default-Senke konfigurieren

Logging bietet für jedes Google Cloud-Projekt, jedes Rechnungskonto, jeden Ordner und jede Organisationsressource eine vordefinierte _Default-Senke. Alle Logs, die in der Ressource generiert werden und mit dem Einschlussfilter übereinstimmen und nicht ausgeschlossen sind, werden an den vordefinierten und entsprechend benannten _Default-Bucket der Ressource weitergeleitet.

Mit den folgenden Optionen können Sie Standardeinstellungen für den _Default-Auffangbereich für Ihre Organisation und Ordner konfigurieren:

• Sie können die Erstellung einer _Default-Senke für neue untergeordnete Ressourcen deaktivieren.

• Sie können einen Einschlussfilter oder mehrere Ausschlussfilter konfigurieren, die auf die _Default-Senken neuer Projekte angewendet werden.

_Default-Senke deaktivieren

Sie können die _Default-Senken für alle neuen Ressourcen in einer Organisation oder einem Ordner deaktivieren. Dadurch wird verhindert, dass Protokolle im _Default-Bucket der Ressource gespeichert werden._Default Wenn Sie das Speichern von Logs im _Default-Bucket einer Ressource beenden, werden die Logs, die an diesen Bucket weitergeleitet worden wären, vom Speichern in Logging ausgeschlossen, es sei denn, diese Logs sind explizit in einer anderen benutzerdefinierten Senke für diese Ressource enthalten.

Führen Sie den folgenden gcloud logging settings update-Befehl aus, um die _Default-Senken für eine Ressource und alle untergeordneten Ressourcen zu deaktivieren:

gcloud logging settings update --folder=FOLDER_ID--disable-default-sink

gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink

Das Flag disable-default-sink gilt nur für die _Default-Senke, die Protokolle an den _Default-Bucket weiterleitet.

Sie können die _Default-Auffangstellen wieder aktivieren, indem Sie den folgenden gcloud logging settings update-Befehl ausführen:

gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink

gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink

Standardfilter für _Default-Abflüsse konfigurieren

Die vordefinierte _Default-Logsenke leitet alle Logeinträge, die den Senkkriterien entsprechen, an den entsprechenden _Default-Bucket weiter. Sie können einen Cloud Logging API-Befehl senden, um den integrierten Einschlussfilter in der _Default-Senke zu überschreiben oder einen Filter anzuhängen. Der integrierte Ausschlussfilter für die _Default-Senke ist leer. Mit dem API-Befehl können Sie jedoch auch Ausschlussfilter hinzufügen.

Wenn Sie einen Aufnahme- oder Ausschlussfilter angeben möchten, der auf alle _Default-Senken neuer Ressourcen in einer Organisation oder einem Ordner angewendet wird, führen Sie die Cloud Logging API-Methode updateSettings aus und geben Sie das defaultSinkConfig-Objekt an.

Sie können die updateSettings-Methode mithilfe des APIs Explorer-Widgets auf der Referenzseite der Methode ausführen. Das folgende Beispiel zeigt Beispielparameter:

• Name (URL): organizations/ORGANIZATION_ID/settings
• Aktualisierungsmaske: "default_sink_config"

• Anfragetext mit einer Instanz von Settings:

  "defaultSinkConfig": {
    {
    "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") "
    "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") "
    "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") "
    "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") "
    "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ",
    "exclusions": [
       {
          "name": "exclude-data-access",
          "description": "Prevents Data Access audit logs from being routed",
          "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")",
       }
    ],
    "mode": OVERWRITE
    }
  }
  

Der integrierte Inklusionsfilter für den _Default-Sink enthält die Anweisung AND NOT LOG_ID("externalaudit.googleapis.com/activity"), die verhindert, dass Audit-Logs zu Administratoraktivitäten an den _Default-Log-Bucket weitergeleitet werden. Im vorherigen Beispiel wird der Aufnahmefilter so geändert, dass Audit-Logs zur Administratoraktivität an den Log-Bucket _Default weitergeleitet werden. Im Beispiel wird auch ein Ausschlussfilter hinzugefügt, der verhindert, dass Audit-Logs zum Datenzugriff an den Bucket _Default weitergeleitet werden. Im vorherigen Beispiel heißt der Ausschlussfilter exclude-data-access.

Konfigurationsfehler beheben

Informationen zur Fehlerbehebung finden Sie unter Fehlerbehebung bei CMEK- und Standardeinstellungsfehlern.