In diesem Dokument wird beschrieben, wie Sie Standardeinstellungen für Logging mit der Google Cloud CLI konfigurieren. Mit Standardeinstellungen, die auf eine Organisation oder einen Ordner angewendet werden können, lässt sich Folgendes festlegen:
- Gibt an, ob ein vom Kunden verwalteter Verschlüsselungsschlüssel (CMEK) für neue Log-Buckets erforderlich ist.
- Der Speicherort für neue
_Default
- und_Required
-Buckets sowie für Abfragen, die auf den Seiten Log-Explorer oder Loganalysen ausgeführt werden.
Gibt an, ob die
_Default
-Senke aktiviert oder deaktiviert ist.Der Filter, der auf das
_Default
-Ziel neuer Ressourcen angewendet wird.
Übersicht
Die Organisationsressource befindet sich auf der höchsten Ebene der Google Cloud Ressourcenhierarchie. Die Organisationsressource ist das übergeordnete Element der folgenden untergeordneten Ressourcen:Google Cloud Projekte, Ordner, Rechnungskonten und, in Bezug auf Logging, Log-Buckets.
Sie können die Protokollierung so konfigurieren, dass Standardeinstellungen für eine Google Cloud Organisation und für Ordner verwendet werden. Wenn Sie neue Ressourcen erstellen, übernehmen diese die Standardeinstellungen des übergeordneten Elements.
Cloud Logging unterstützt die folgenden Standardeinstellungen:
Gibt an, ob neue Log-Buckets in einer Ressource mit einem vom Kunden verwalteten Schlüssel verschlüsselt werden sollen. Wenn ja, wird der Cloud KMS-Standardschlüssel angegeben, der für die Verschlüsselung verwendet werden soll.
Der Speicherort für neue
_Default
- und_Required
-Log-Buckets, die von untergeordneten Ressourcen erstellt wurden, und für Abfragen, die auf den Seiten Log-Explorer oder Loganalysen gespeichert wurden. Wenn Sie den Speicherort festlegen, können Sie steuern, wo Ihre Logs gespeichert werden.Wenn Sie einen Standardspeicherort für eine Ressource festlegen und CMEK für diese Ressource nicht konfigurieren, ist für neue Log-Buckets in der Ressource kein CMEK erforderlich.
Gibt an, ob die
_Default
-Logsink für neue Projekte in der Ressource aktiviert oder deaktiviert ist.Die Einschluss- oder Ausschlussfilter, die auf alle neuen
_Default
-Senken in den untergeordneten Ressourcen angewendet werden.
Beispielkonfigurationen:
- Sie konfigurieren einen Standardspeicherort für eine Organisation.
Für neue Projekte in der Organisation werden die Log-Buckets
_Default
und_Required
am angegebenen Standort erstellt. Außerdem werden Abfragen, die auf den Seiten Log-Explorer oder Loganalysen gespeichert werden, am angegebenen Speicherort gespeichert. Diese Abfragen umfassen die letzten Abfragen, die nach der Ausführung automatisch gespeichert werden, sowie Abfragen, die von Mitgliedern desGoogle Cloud -Projekts gespeichert wurden.
Sie konfigurieren einen Standardspeicherort für eine Organisation und einen Standardspeicherort für jeden Ordner in dieser Organisation. Bei neuen Projekten, die sich in einem Ordner befinden, werden die Buckets
_Default
und_Required
am Speicherort erstellt, der in den Einstellungen des Ordners angegeben ist. Für Projekte, die sich nicht in einem Ordner befinden, werden die_Default
- und_Required
-Buckets am Speicherort erstellt, der in den Einstellungen der Organisation angegeben ist.Sie konfigurieren CMEK für eine Organisation und legen für den Ordner mit dem Namen
Non-CMEK
nur den Standardspeicherort fest. Wenn Sie ein Projekt erstellen, das sich nicht im OrdnerNon-CMEK
befindet, werden die Buckets_Default
und_Required
am selben Ort wie der Cloud Key Management Service-Schlüssel erstellt und mit diesem Schlüssel verschlüsselt. Wenn Sie jedoch ein neues Projekt im OrdnerNon-CMEK
erstellen, werden die zugehörigen Log-Buckets an den in der Einstellung des Ordners angegebenen Standorten erstellt und nicht mit CMEK verschlüsselt.Sie konfigurieren einen Ausschlussfilter, der auf neue
_Default
-Senken auf Organisationsebene angewendet wird. Der Filter verhindert, dass Audit-Logs zum Datenzugriff in allen untergeordneten Ressourcen über die_Default
-Senke weitergeleitet werden. Dadurch werden die Audit-Logs zum Datenzugriff nicht im_Default
-Bucket gespeichert.
Hinweise
Dieses Dokument enthält keine Informationen dazu, wie CMEK als Standardeinstellung für Logging konfiguriert wird. Informationen zu diesem Thema finden Sie unter CMEK für Logging konfigurieren.
So konfigurieren Sie die Standardeinstellungen für Logging:
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Ihre IAM-Rolle (Identity and Access Management) für die Organisation oder den Ordner, deren Standardeinstellungen Sie konfigurieren möchten, muss die folgende Cloud Logging-Berechtigung enthalten:
logging.settings.get
logging.settings.update
Legen Sie fest, wo Sie Ihre Logs und Abfragen speichern möchten. Eine Liste der unterstützten Speicherorte finden Sie unter Unterstützte Regionen.
- FOLDER_ID: Die eindeutige numerische ID des Ordners. Informationen zur Verwendung von Ordnern finden Sie unter Ordner erstellen und verwalten.
- ORGANIZATION_ID: Die eindeutige numerische Kennung der Organisation. Informationen zum Abrufen dieser Kennung finden Sie unter Organisations-ID abrufen.
- Bei neuen untergeordneten Ressourcen, die in der Organisation oder im Ordner erstellt werden, wird der Standardspeicherort für die
_Required
- und_Default
-Buckets übernommen. - Neue Abfragen, die Sie auf den Seiten Log-Explorer oder Loganalysen ausführen, werden am Standardspeicherort gespeichert. Dieser Speicherort gilt auch für kürzlich gestellte Anfragen, die automatisch gespeichert werden.
-
Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf.
Zu den Organisationsrichtlinien
Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift IAM & Admin ist.
Wählen Sie Ihre Organisation aus.
Sehen Sie sich die Einschränkung mit der ID
constraints/gcp.resourceLocations
an und aktualisieren Sie sie bei Bedarf. Wenn diese Einschränkung nicht konfiguriert ist, ist keine Aktualisierung erforderlich.Informationen zum Aufrufen und Bearbeiten bestimmter Einschränkungen finden Sie unter Richtlinien erstellen und bearbeiten.
- FOLDER_ID: Die eindeutige numerische ID des Ordners. Informationen zur Verwendung von Ordnern finden Sie unter Ordner erstellen und verwalten.
- LOCATION: Der Ort, an dem neue
_Default
- und_Required
-Log-Buckets erstellt und Abfragen gespeichert werden. Eine Liste der unterstützten Standorte finden Sie unter Unterstützte Regionen. - ORGANIZATION_ID: Die eindeutige numerische Kennung der Organisation. Informationen zum Abrufen dieser Kennung finden Sie unter Organisations-ID abrufen.
- LOCATION: Der Ort, an dem neue
_Default
- und_Required
-Log-Buckets erstellt und Abfragen gespeichert werden. Eine Liste der unterstützten Standorte finden Sie unter Unterstützte Regionen. Sie können die Erstellung einer
_Default
-Senke für neue untergeordnete Ressourcen deaktivieren.Sie können einen Einschlussfilter oder mehrere Ausschlussfilter konfigurieren, die für die
_Default
-Senken neuer Projekte gelten.- FOLDER_ID: Die eindeutige numerische ID des Ordners. Informationen zur Verwendung von Ordnern finden Sie unter Ordner erstellen und verwalten.
- ORGANIZATION_ID: Die eindeutige numerische Kennung der Organisation. Informationen zum Abrufen dieser Kennung finden Sie unter Organisations-ID abrufen.
- Name (URL):
organizations/ORGANIZATION_ID/settings
- Aktualisierungsmaske:
"default_sink_config"
Anfragetext, der eine Instanz von
Settings
enthält:"defaultSinkConfig": { { "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ", "exclusions": [ { "name": "exclude-data-access", "description": "Prevents Data Access audit logs from being routed", "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")", } ], "mode": OVERWRITE } }
Standardeinstellungen für die Protokollierung ansehen
Verwenden Sie den Befehl gcloud logging settings describe
, um die Standardeinstellungen für die Protokollierung aufzurufen, einschließlich des Standardspeicherorts:
ORDNER
gcloud logging settings describe --folder=FOLDER_ID
Bevor Sie den vorherigen Befehl ausführen, ersetzen Sie Folgendes:
Organisation
gcloud logging settings describe --organization=ORGANIZATION_ID
Bevor Sie den vorherigen Befehl ausführen, ersetzen Sie Folgendes:
Der vorherige Befehl gibt Informationen zu den Standardeinstellungen zurück. Das Folgende zeigt beispielsweise die Standardeinstellungen für eine bestimmte Organisation:
name: organizations/ORGANIZATION_ID/settings kmsKeyName: KMS_KEY_NAME kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com storageLocation: europe-west1 disableDefaultSink: false
Der Wert von SERVICE_ACCT_NAME kann das Format cmek-12345
oder service-12345@...
haben. Wenn Sie die Google Cloud CLI nicht verwenden können, führen Sie die Cloud Logging API-Methode getSettings
aus.
Standardspeicherort festlegen
Log-Buckets sind die Container in IhrenGoogle Cloud -Projekten, Rechnungskonten, Ordnern und Organisationen, in denen Logdaten gespeichert und organisiert werden. Für jedes Google Cloud Projekt, Rechnungskonto, Ordner und jede Organisation erstellt Logging automatisch zwei Log-Buckets: _Required
und _Default
, die automatisch am Standort global
gespeichert werden.
Wenn Sie den Standardspeicherort für eine Organisation oder einen Ordner festlegen, geben Sie an, wo neue _Required
- und _Default
-Log-Buckets erstellt werden und wo Abfragen gespeichert werden, die Sie auf den Seiten Log-Explorer und Log-Analyse ausführen. Wenn Sie den Standardspeicherort festlegen, hat das keine Auswirkungen auf den Speicherort vorhandener Log-Buckets. Auch für gespeicherte Abfragen wird der Speicherort nicht geändert.
Nachdem Sie den Standardspeicherort für eine Organisation oder einen Ordner konfiguriert haben, passiert Folgendes:
Der Standardspeicherort für Cloud Logging gilt nicht für nutzerdefinierte Log-Buckets oder für Abfragen, die mit der Logging API gespeichert wurden.
Organisationsrichtlinien konfigurieren
Das Logging unterstützt Organisationsrichtlinien, mit denen eingeschränkt werden kann, wo Daten gespeichert werden dürfen. Wenn eine solche Richtlinie für Ihre Organisation vorhanden ist, können Sie Log-Buckets nur an Standorten erstellen, die von der Richtlinie zugelassen werden.
Wenn eine Organisationsrichtlinie mit einer Standortbeschränkung vorhanden ist, müssen die Richtlinienwerte für die Beschränkung den in den Standardeinstellungen für Logging angegebenen Standort enthalten. Wenn Sie die Standardeinstellungen ändern möchten, sollten Sie vor der Aktualisierung der Standardeinstellungen die Organisationsrichtlinien überprüfen und gegebenenfalls aktualisieren.
So rufen Sie Organisationsrichtlinien auf oder aktualisieren sie:
Standardspeicherort für Logging konfigurieren
Führen Sie den Befehl gcloud logging settings update
aus und fügen Sie das Flag --storage-location
ein, um den Standardspeicherort für Cloud Logging zu konfigurieren:
ORDNER
gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION
Bevor Sie den vorherigen Befehl ausführen, ersetzen Sie die folgenden Werte:
Organisation
gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION
Bevor Sie den vorherigen Befehl ausführen, ersetzen Sie die folgenden Werte:
Wenn Sie die Google Cloud CLI nicht verwenden können, führen Sie die Cloud Logging API-Methode updateSettings
aus.
Informationen zum Beheben von Fehlern beim Aktualisieren des Standardspeicherorts finden Sie unter Fehlerbehebung beim Festlegen des Standardressourcenstandorts.
_Default
-Senke konfigurieren
Logging bietet für jedesGoogle Cloud -Projekt,Google Cloud -Rechnungskonto,Google Cloud -Ordner und jedeGoogle Cloud -Organisationsressource eine vordefinierte _Default
-Senke. Alle Logs, die in der Ressource generiert werden, die mit dem Einschlussfilter übereinstimmen und nicht ausgeschlossen werden, werden an den vordefinierten Bucket _Default
der Ressource weitergeleitet.
Sie können Standardeinstellungen für den _Default
-Senken für Ihre Organisation und Ordner mit den folgenden Optionen konfigurieren:
_Default
-Senke deaktivieren
Sie können die _Default
-Senken für alle neuen Ressourcen in einer Organisation oder einem Ordner deaktivieren. Dadurch wird verhindert, dass Logs im _Default
-Bucket der Ressource gespeichert werden._Default
Wenn Sie keine Logs mehr im _Default
-Bucket einer Ressource speichern, werden die Logs, die an diesen Bucket weitergeleitet worden wären, von der Speicherung in Logging ausgeschlossen, sofern sie nicht explizit in einer anderen benutzerdefinierten Senke für diese Ressource enthalten sind.
Führen Sie den folgenden gcloud logging settings update
-Befehl aus, um die _Default
-Senken für eine Ressource und alle untergeordneten Ressourcen zu deaktivieren:
ORDNER
gcloud logging settings update --folder=FOLDER_ID--disable-default-sink
Bevor Sie den vorherigen Befehl ausführen, ersetzen Sie Folgendes:
Organisation
gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink
Bevor Sie den vorherigen Befehl ausführen, ersetzen Sie Folgendes:
Das Flag disable-default-sink
gilt nur für die Senke _Default
, über die Logs in den Bucket _Default
weitergeleitet werden.
Sie können die _Default
-Senken wieder aktivieren, indem Sie den folgenden gcloud logging settings update
-Befehl ausführen:
ORDNER
gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink
Organisation
gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink
Standardfilter für _Default
-Senken konfigurieren
Die vordefinierte _Default
-Senke leitet alle Logeinträge, die den Senkenkriterien entsprechen, an den entsprechenden _Default
-Bucket weiter. Sie können einen Cloud Logging API-Befehl senden, um den integrierten Einschlussfilter in der _Default
-Senke zu überschreiben oder einen Filter anzuhängen.
Der integrierte Ausschlussfilter für die Senke _Default
ist leer. Mit dem API-Befehl können Sie jedoch auch Ausschlussfilter hinzufügen.
Wenn Sie einen Einschluss- oder Ausschlussfilter angeben möchten, der auf alle _Default
-Senken neuer Ressourcen in einer Organisation oder einem Ordner angewendet wird, führen Sie die Cloud Logging API-Methode updateSettings
aus und geben Sie das defaultSinkConfig
-Objekt an.
Sie können die Methode updateSettings
mithilfe des APIs Explorer-Widgets auf der Referenzseite der Methode ausführen. Das folgende Beispiel veranschaulicht Beispielparameter:
Der integrierte Einschlussfilter für das Senkenziel _Default
enthält die Anweisung AND NOT LOG_ID("externalaudit.googleapis.com/activity")
, die verhindert, dass Audit-Logs zu Administratoraktivitäten an den Log-Bucket _Default
weitergeleitet werden. Im vorherigen Beispiel wird der Einschlussfilter so geändert, dass Audit-Logs zur Administratoraktivität an den Log-Bucket _Default
weitergeleitet werden. Im Beispiel wird auch ein Ausschlussfilter hinzugefügt, der verhindert, dass Audit-Logs zum Datenzugriff an den Bucket _Default
weitergeleitet werden.
Im vorherigen Beispiel heißt der Ausschlussfilter exclude-data-access
.
Konfigurationsfehler beheben
Informationen zur Fehlerbehebung finden Sie unter Fehlerbehebung bei CMEK- und Standardeinstellungsfehlern.