En este documento, se describe cómo configurar los parámetros de configuración predeterminados para el registro con la CLI de Google Cloud. La configuración predeterminada, que se puede aplicar a una organización o a una carpeta, puede determinar lo siguiente:
- Indica si se requiere una clave de encriptación administrada por el cliente (CMEK) para los buckets de registros nuevos.
- Es la ubicación de almacenamiento para los nuevos buckets de
_Defaulty_Required, y para las consultas que se ejecutan en las páginas Explorador de registros o Análisis de registros.
Indica si el receptor
_Defaultestá habilitado o inhabilitado.Es el filtro que se aplica al receptor
_Defaultde recursos nuevos.
Descripción general
El recurso de organización se encuentra en el nivel más alto de la Google Cloud jerarquía de recursos. El recurso de organización es el principal de los siguientes recursos secundarios: Google Cloud proyectos, carpetas, cuentas de facturación y, en relación con el registro, buckets de registros.
Puedes configurar el registro para que use la configuración predeterminada de una organización Google Cloud y de las carpetas. Cuando creas recursos nuevos, estos heredan la configuración predeterminada de su recurso principal.
Cloud Logging admite los siguientes parámetros de configuración predeterminados:
Indica si los buckets de registros nuevos de un recurso se encriptarán con una clave administrada por el cliente y, si es así, la clave de Cloud KMS predeterminada que se usará para la encriptación.
Ubicación de almacenamiento para los nuevos buckets de registros
_Defaulty_Requiredcreados por recursos secundarios, y para las consultas guardadas por las páginas del Explorador de registros o el Análisis de registros Si configuras la ubicación de almacenamiento, puedes controlar dónde se almacenan tus registros.Si estableces una ubicación de almacenamiento predeterminada para un recurso y no configuras la CMEK para ese recurso, los buckets de registros nuevos del recurso no requerirán la CMEK.
Indica si el receptor de registros de
_Defaultestá habilitado o inhabilitado para los proyectos nuevos en el recurso.Son los filtros de inclusión o exclusión que se aplican a todos los receptores
_Defaultnuevos en los recursos secundarios.
Ejemplos de configuraciones:
- Configuraste una ubicación de almacenamiento predeterminada para una organización.
En el caso de los proyectos nuevos de la organización, los buckets de registros
_Defaulty_Requiredse crean en la ubicación especificada. Además, las consultas guardadas por las páginas del Explorador de registros o del Análisis de registros se almacenan en la ubicación especificada. Estas consultas incluyen las consultas recientes que se guardan automáticamente después de ejecutarse y las consultas que guardan los miembros del proyecto deGoogle Cloud .
Configuras una ubicación de almacenamiento predeterminada para una organización y configuras una ubicación de almacenamiento predeterminada para cada carpeta de esa organización. En el caso de los proyectos nuevos que se encuentran en una carpeta, los buckets
_Defaulty_Requiredse crean en la ubicación especificada por la configuración de la carpeta. En el caso de los proyectos que no están en una carpeta, sus buckets_Defaulty_Requiredse crean en la ubicación especificada por la configuración de la organización.Configuras la CMEK para una organización y, para la carpeta llamada
Non-CMEK, solo estableces la ubicación de almacenamiento predeterminada. Si creas un proyecto que no está en la carpeta llamadaNon-CMEK, los buckets_Defaulty_Requiredse crearán en la misma ubicación que la clave de Cloud Key Management Service, y esos buckets de registros se encriptarán con esa clave. Sin embargo, si creas un proyecto nuevo en la carpeta llamadaNon-CMEK, sus buckets de registros se crearán en las ubicaciones especificadas por la configuración de esa carpeta y no estarán encriptados con la CMEK.Configuras un filtro de exclusión que se aplica a los receptores
_Defaultnuevos a nivel de la organización. El filtro excluye los registros de auditoría de acceso a los datos del enrutamiento a través del receptor_Defaulten todos los recursos secundarios, lo que evita que los registros de auditoría de acceso a los datos se almacenen en el bucket_Default.
Antes de comenzar
Este documento no contiene información sobre cómo configurar la CMEK como un parámetro de configuración predeterminado para Logging. Para obtener información sobre ese tema, consulta Cómo configurar CMEK para Logging.
Para comenzar a configurar los parámetros predeterminados de Logging, haz lo siguiente:
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Asegúrate de que tu rol de Identity and Access Management en la organización o carpeta cuya configuración predeterminada deseas establecer incluya el siguiente permiso de Cloud Logging:
logging.settings.getlogging.settings.update
Identifica la ubicación en la que deseas almacenar tus registros y búsquedas. Para obtener una lista de las ubicaciones de almacenamiento compatibles, consulta Regiones admitidas.
- FOLDER_ID: Es el identificador numérico único de la carpeta. Para obtener información sobre cómo usar las carpetas, consulta Crea y administra carpetas.
- ORGANIZATION_ID: Es el identificador numérico único de la organización. Para obtener información sobre cómo obtener este identificador, consulta Obtén el ID de tu organización.
- En el caso de los recursos secundarios nuevos creados en la organización o la carpeta, sus buckets
_Requiredy_Defaultheredan la ubicación de almacenamiento predeterminada. - Las consultas nuevas que ejecutes en las páginas del Explorador de registros o de Análisis de registros se guardarán en la ubicación de almacenamiento predeterminada. Esta ubicación también se aplica a las búsquedas recientes que se guardan automáticamente.
-
En la consola de Google Cloud , ve a la página Políticas de la organización:
Ir a Políticas de la organización
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es IAM y administrador.
Selecciona tu organización.
Consulta y, si es necesario, actualiza la restricción con el ID
constraints/gcp.resourceLocations. Si esta restricción no está configurada, no se requiere una actualización.Para obtener información sobre cómo ver restricciones específicas y cómo editarlas, consulta Crea y edita políticas.
- FOLDER_ID: Es el identificador numérico único de la carpeta. Para obtener información sobre cómo usar las carpetas, consulta Crea y administra carpetas.
- LOCATION: Es la ubicación en la que se crean los buckets de registros
_Defaulty_Requirednuevos, y en la que se almacenan las consultas. Para obtener una lista de las ubicaciones compatibles, consulta Regiones admitidas. - ORGANIZATION_ID: Es el identificador numérico único de la organización. Para obtener información sobre cómo obtener este identificador, consulta Obtén el ID de tu organización.
- LOCATION: Es la ubicación en la que se crean los buckets de registros
_Defaulty_Requirednuevos, y en la que se almacenan las consultas. Para obtener una lista de las ubicaciones compatibles, consulta Regiones admitidas. Puedes inhabilitar la creación de un receptor
_Defaultpara los recursos secundarios nuevos.Puedes configurar un filtro de inclusión o varios filtros de exclusión que se apliquen a los receptores
_Defaultde proyectos nuevos.- FOLDER_ID: Es el identificador numérico único de la carpeta. Para obtener información sobre cómo usar las carpetas, consulta Crea y administra carpetas.
- ORGANIZATION_ID: Es el identificador numérico único de la organización. Para obtener información sobre cómo obtener este identificador, consulta Obtén el ID de tu organización.
- Nombre (URL):
organizations/ORGANIZATION_ID/settings - updateMask:
"default_sink_config" Cuerpo de la solicitud, que contiene una instancia de
Settings:"defaultSinkConfig": { { "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ", "exclusions": [ { "name": "exclude-data-access", "description": "Prevents Data Access audit logs from being routed", "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")", } ], "mode": OVERWRITE } }
Cómo ver la configuración predeterminada de Logging
Para ver la configuración predeterminada del registro, incluida la ubicación de almacenamiento predeterminada, usa el comando gcloud logging settings describe:
CARPETA
gcloud logging settings describe --folder=FOLDER_ID
Antes de ejecutar el comando anterior, realiza el siguiente reemplazo:
ORGANIZACIÓN
gcloud logging settings describe --organization=ORGANIZATION_ID
Antes de ejecutar el comando anterior, realiza el siguiente reemplazo:
El comando anterior devuelve información sobre la configuración predeterminada. Por ejemplo, a continuación, se muestra la configuración predeterminada de una organización en particular:
name: organizations/ORGANIZATION_ID/settings kmsKeyName: KMS_KEY_NAME kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com storageLocation: europe-west1 disableDefaultSink: false
El valor de SERVICE_ACCT_NAME puede tener el formato cmek-12345 o service-12345@.... Si no puedes usar Google Cloud CLI, ejecuta el método de la API de Cloud Logging getSettings.
Cómo establecer la ubicación de almacenamiento predeterminada
Los buckets de registros son los contenedores en tusGoogle Cloud proyectos, cuentas de facturación, carpetas y organizaciones que almacenan y organizan tus datos de registros. Para cada proyecto, cuenta de facturación, carpeta y organización de Google Cloud , Logging crea automáticamente dos buckets de registros: _Required y _Default, que se almacenan automáticamente en la ubicación global.
Cuando configuras la ubicación de almacenamiento predeterminada para una organización o carpeta, especificas dónde se crean los nuevos buckets de registros _Required y _Default, y dónde se almacenan las consultas que ejecutas en las páginas del Explorador de registros y Análisis de registros. Establecer la ubicación de almacenamiento predeterminada no afecta la ubicación de los buckets de registros existentes. Del mismo modo, no se cambia la ubicación de almacenamiento de las consultas que se guardaron.
Después de configurar la ubicación de almacenamiento predeterminada para una organización o una carpeta, sucede lo siguiente:
La ubicación de almacenamiento predeterminada de Cloud Logging no se aplica a los buckets de registros definidos por el usuario ni a las consultas guardadas con la API de Logging.
Configura las políticas de la organización
El registro admite políticas de la organización que pueden restringir dónde se pueden almacenar los datos. Si existe una política de este tipo para tu organización, solo puedes crear buckets de registros en las ubicaciones que permite la política.
Cuando existe una política de la organización que especifica una restricción de ubicación, los valores de la política para la restricción deben incluir la ubicación especificada en la configuración predeterminada de Logging. Además, si planeas modificar la configuración predeterminada, antes de actualizarla, revisa y, si es necesario, actualiza las políticas de la organización.
Para ver o actualizar las políticas de la organización, haz lo siguiente:
Configura la ubicación de almacenamiento predeterminada para Logging
Para configurar la ubicación de almacenamiento predeterminada de Cloud Logging, ejecuta el comando gcloud logging settings update y agrega la marca --storage-location:
CARPETA
gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION
Antes de ejecutar el comando anterior, realiza los siguientes reemplazos:
ORGANIZACIÓN
gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION
Antes de ejecutar el comando anterior, realiza los siguientes reemplazos:
Si no puedes usar Google Cloud CLI, ejecuta el método de la API de Cloud Logging updateSettings.
Para obtener información sobre cómo resolver errores cuando actualizas la ubicación de almacenamiento predeterminada, consulta Soluciona problemas para establecer la ubicación de recursos predeterminada.
Configura el receptor _Default
Logging proporciona un receptor _Default predefinido para cada recurso deGoogle Cloud proyecto, cuenta de facturación, carpeta y organización. Cualquier registro que se genere en el recurso que coincida con el filtro de inclusión y que no se excluya se enruta al bucket _Default predefinido del recurso con el nombre correspondiente.
Puedes configurar los parámetros predeterminados del receptor _Default para tu organización y tus carpetas con las siguientes opciones:
Inhabilita el receptor _Default
Puedes inhabilitar los receptores de _Default para todos los recursos nuevos en una organización o carpeta. Inhabilitar los receptores de _Default impide que los registros se almacenen en el bucket de _Default del recurso.
Si dejas de almacenar registros en el bucket _Default de un recurso, los registros que se habrían enrutado a ese bucket se excluirán del almacenamiento en Logging, a menos que se incluyan de forma explícita en otro receptor definido por el usuario para ese recurso.
Para inhabilitar los receptores de _Default de un recurso y cualquiera de sus recursos secundarios, ejecuta el siguiente comando de gcloud logging settings update:
CARPETA
gcloud logging settings update --folder=FOLDER_ID--disable-default-sink
Antes de ejecutar el comando anterior, realiza el siguiente reemplazo:
ORGANIZACIÓN
gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink
Antes de ejecutar el comando anterior, realiza el siguiente reemplazo:
La marca disable-default-sink solo se aplica al receptor _Default que enruta los registros al bucket _Default.
Puedes volver a habilitar los receptores de _Default ejecutando el siguiente comando de gcloud logging settings update:
CARPETA
gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink
ORGANIZACIÓN
gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink
Configura el filtro predeterminado de los receptores de _Default
El receptor _Default predefinido enruta cualquier entrada de registro que coincida con los criterios del receptor al bucket _Default correspondiente. Puedes enviar un comando de la API de Cloud Logging para anular el filtro de inclusión integrado en el receptor _Default o para agregar un filtro.
El filtro de exclusión integrado para el receptor _Default está vacío. Sin embargo, el comando de la API también te permite agregar filtros de exclusión.
Para especificar un filtro de inclusión o exclusión que se aplique a todos los receptores _Default de los recursos nuevos en una organización o carpeta, ejecuta el método updateSettings de la API de Cloud Logging y especifica el objeto defaultSinkConfig.
Puedes ejecutar el método updateSettings con el widget del Explorador de APIs en la página de referencia del método. En el siguiente ejemplo, se ilustran parámetros de muestra:
El filtro de inclusión integrado para el receptor _Default incluye la instrucción AND NOT LOG_ID("externalaudit.googleapis.com/activity"), que impide que los registros de auditoría de actividad del administrador se enruten al bucket de registros _Default. En el ejemplo anterior, el filtro de inclusión se cambia para que los registros de auditoría de actividad del administrador se enruten al bucket de registros _Default. En el ejemplo, también se agrega un filtro de exclusión que evita que los registros de auditoría de acceso a los datos se enruten al bucket _Default.
En el ejemplo anterior, el filtro de exclusión se llama exclude-data-access.
Soluciona problemas de errores de configuración
Para obtener información sobre la solución de problemas, consulta Soluciona problemas de CMEK y errores de configuración predeterminada.