Ce document explique comment configurer les paramètres par défaut de Logging à l'aide de la Google Cloud CLI. Les paramètres par défaut, qui peuvent être appliqués à une organisation ou à un dossier, peuvent déterminer les éléments suivants :
- Indique si une clé de chiffrement gérée par le client (CMEK) est requise pour les nouveaux buckets de journaux.
- Emplacement de stockage des nouveaux buckets
_Defaultet_Required, et des requêtes exécutées sur les pages Explorateur de journaux ou Analyse de journaux.
Indique si le récepteur
_Defaultest activé ou désactivé.Filtre appliqué au récepteur
_Defaultdes nouvelles ressources.
Présentation
La ressource d'organisation se trouve au niveau le plus élevé de la hiérarchie des ressourcesGoogle Cloud . La ressource Organisation est le parent des ressources enfants suivantes :Google Cloud projets, dossiers, comptes de facturation et, en ce qui concerne Logging, buckets de journaux.
Vous pouvez configurer la journalisation pour qu'elle utilise les paramètres par défaut d'une organisation Google Cloud et de dossiers. Lorsque vous créez des ressources, elles héritent des paramètres par défaut de leur parent.
Cloud Logging est compatible avec les paramètres par défaut suivants :
Indique si les nouveaux buckets de journaux d'une ressource doivent être chiffrés avec une clé gérée par le client et, le cas échéant, la clé Cloud KMS par défaut à utiliser pour le chiffrement.
Emplacement de stockage des nouveaux buckets de journaux
_Defaultet_Requiredcréés par les ressources enfants, et des requêtes enregistrées par les pages Explorateur de journaux ou Analyse de journaux. En définissant l'emplacement de stockage, vous pouvez contrôler où vos journaux sont stockés.Si vous définissez un emplacement de stockage par défaut pour une ressource et que vous ne configurez pas CMEK pour cette ressource, les nouveaux buckets de journaux de la ressource ne nécessitent pas CMEK.
Indique si le récepteur de journaux
_Defaultest activé ou désactivé pour les nouveaux projets de la ressource.Filtres d'inclusion ou d'exclusion appliqués à tous les nouveaux récepteurs
_Defaultdans les ressources enfants.
Exemples de configurations :
- Vous configurez un emplacement de stockage par défaut pour une organisation.
Pour les nouveaux projets de l'organisation, les buckets de journaux
_Defaultet_Requiredsont créés à l'emplacement spécifié. De plus, les requêtes enregistrées sur les pages Explorateur de journaux ou Analyse de journaux sont stockées à l'emplacement spécifié. Ces requêtes incluent les requêtes récentes qui sont enregistrées automatiquement après leur exécution, ainsi que celles enregistrées par les membres du projetGoogle Cloud .
Vous configurez un emplacement de stockage par défaut pour une organisation et un emplacement de stockage par défaut pour chaque dossier de cette organisation. Pour les nouveaux projets qui se trouvent dans un dossier, les buckets
_Defaultet_Requiredsont créés à l'emplacement spécifié par les paramètres du dossier. Pour les projets qui ne se trouvent pas dans un dossier, leurs buckets_Defaultet_Requiredsont créés à l'emplacement spécifié par les paramètres de l'organisation.Vous configurez CMEK pour une organisation et, pour le dossier nommé
Non-CMEK, vous ne définissez que l'emplacement de stockage par défaut. Si vous créez un projet qui ne se trouve pas dans le dossier nomméNon-CMEK, les buckets_Defaultet_Requiredsont créés au même emplacement que la clé Cloud Key Management Service, et ces buckets de journaux sont chiffrés par cette clé. Toutefois, si vous créez un projet dans le dossier nomméNon-CMEK, ses buckets de journaux sont créés aux emplacements spécifiés par le paramètre de ce dossier, et ces buckets de journaux ne sont pas chiffrés par CMEK.Vous configurez un filtre d'exclusion qui s'applique aux nouveaux récepteurs
_Defaultau niveau de l'organisation. Le filtre empêche le routage des journaux d'audit des accès aux données via le récepteur_Defaultdans toutes les ressources enfants, ce qui évite leur stockage dans le bucket_Default.
Avant de commencer
Ce document ne contient pas d'informations sur la configuration de CMEK en tant que paramètre par défaut pour la journalisation. Pour en savoir plus, consultez Configurer CMEK pour Logging.
Pour commencer à configurer les paramètres par défaut de Logging, procédez comme suit :
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Assurez-vous que votre rôle Identity and Access Management dans l'organisation ou le dossier dont vous souhaitez configurer les paramètres par défaut inclut l'autorisation Cloud Logging suivante :
logging.settings.getlogging.settings.update
Identifiez l'emplacement où vous souhaitez stocker vos journaux et vos requêtes. Pour obtenir la liste des emplacements de stockage compatibles, consultez Régions où le service est disponible.
- FOLDER_ID : identifiant numérique unique du dossier. Pour en savoir plus sur l'utilisation des dossiers, consultez Créer et gérer des dossiers.
- ORGANIZATION_ID : identifiant numérique unique de l'organisation. Pour savoir comment obtenir cet identifiant, consultez Obtenir l'ID de votre organisation.
- Pour les ressources enfants créées dans l'organisation ou le dossier, leurs buckets
_Requiredet_Defaulthéritent de l'emplacement de stockage par défaut. - Les nouvelles requêtes que vous exécutez sur les pages Explorateur de journaux ou Analyse de journaux sont enregistrées dans l'emplacement de stockage par défaut. Cet emplacement s'applique également aux requêtes récentes qui sont enregistrées automatiquement.
-
Dans la console Google Cloud , accédez à la page Règles d'administration :
Accéder à Règles d'administration
Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est IAM et administration.
Sélectionnez votre organisation.
Affichez et, si nécessaire, mettez à jour la contrainte avec l'ID
constraints/gcp.resourceLocations. Si cette contrainte n'est pas configurée, aucune mise à jour n'est requise.Pour savoir comment afficher et modifier des contraintes spécifiques, consultez Créer et modifier des règles.
- FOLDER_ID : identifiant numérique unique du dossier. Pour en savoir plus sur l'utilisation des dossiers, consultez Créer et gérer des dossiers.
- LOCATION : emplacement où les nouveaux buckets de journaux
_Defaultet_Requiredsont créés, et où les requêtes sont stockées. Pour obtenir la liste des emplacements acceptés, consultez Régions où le service est disponible. - ORGANIZATION_ID : identifiant numérique unique de l'organisation. Pour savoir comment obtenir cet identifiant, consultez Obtenir l'ID de votre organisation.
- LOCATION : emplacement où les nouveaux buckets de journaux
_Defaultet_Requiredsont créés, et où les requêtes sont stockées. Pour obtenir la liste des emplacements acceptés, consultez Régions où le service est disponible. Vous pouvez désactiver la création d'un récepteur
_Defaultpour les nouvelles ressources enfants.Vous pouvez configurer un filtre d'inclusion ou plusieurs filtres d'exclusion qui s'appliquent aux récepteurs
_Defaultdes nouveaux projets.- FOLDER_ID : identifiant numérique unique du dossier. Pour en savoir plus sur l'utilisation des dossiers, consultez Créer et gérer des dossiers.
- ORGANIZATION_ID : identifiant numérique unique de l'organisation. Pour savoir comment obtenir cet identifiant, consultez Obtenir l'ID de votre organisation.
- name (URL) :
organizations/ORGANIZATION_ID/settings - updateMask :
"default_sink_config" Corps de la requête, qui contient une instance de
Settings:"defaultSinkConfig": { { "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ", "exclusions": [ { "name": "exclude-data-access", "description": "Prevents Data Access audit logs from being routed", "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")", } ], "mode": OVERWRITE } }
Afficher les paramètres par défaut de Logging
Pour afficher les paramètres par défaut de la journalisation, y compris l'emplacement de stockage par défaut, utilisez la commande gcloud logging settings describe :
DOSSIER
gcloud logging settings describe --folder=FOLDER_ID
Avant d'exécuter la commande précédente, effectuez le remplacement suivant :
ORGANIZATION
gcloud logging settings describe --organization=ORGANIZATION_ID
Avant d'exécuter la commande précédente, effectuez le remplacement suivant :
La commande précédente renvoie des informations sur les paramètres par défaut. Par exemple, les paramètres par défaut d'une organisation spécifique sont indiqués ci-dessous :
name: organizations/ORGANIZATION_ID/settings kmsKeyName: KMS_KEY_NAME kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com storageLocation: europe-west1 disableDefaultSink: false
La valeur de SERVICE_ACCT_NAME peut être au format cmek-12345 ou service-12345@.... Si vous ne pouvez pas utiliser Google Cloud CLI, exécutez la méthode de l'API Cloud Logging getSettings.
Définir l'emplacement de stockage par défaut
Les buckets de journaux sont les conteneurs de vos projetsGoogle Cloud , comptes de facturation, dossiers et organisations qui stockent et organisent les données de vos journaux. Pour chaque projet Google Cloud , compte de facturation, dossier et organisation, Logging crée automatiquement deux buckets de journaux : _Required et _Default, qui sont automatiquement stockés dans l'emplacement global.
Lorsque vous définissez l'emplacement de stockage par défaut pour une organisation ou un dossier, vous spécifiez l'emplacement où les nouveaux buckets de journaux _Required et _Default sont créés, ainsi que l'emplacement où les requêtes que vous exécutez sur les pages Explorateur de journaux et Analyse des journaux sont stockées. La définition de l'emplacement de stockage par défaut n'a aucune incidence sur l'emplacement des buckets de journaux existants. De même, l'emplacement de stockage des requêtes enregistrées n'est pas modifié.
Une fois que vous avez configuré l'emplacement de stockage par défaut pour une organisation ou un dossier, les éléments suivants se produisent :
L'emplacement de stockage par défaut de Cloud Logging ne s'applique pas aux buckets de journaux définis par l'utilisateur ni aux requêtes enregistrées à l'aide de l'API Logging.
Configurer les règles d'administration
La journalisation est compatible avec les règles d'administration qui peuvent restreindre l'emplacement de stockage des données. Si une telle règle existe pour votre organisation, vous ne pouvez créer des buckets de journaux que dans les emplacements autorisés par la règle.
Lorsqu'une règle d'administration spécifiant une contrainte d'emplacement existe, les valeurs de règle pour la contrainte doivent inclure l'emplacement spécifié dans les paramètres par défaut de Logging. De plus, si vous prévoyez de modifier vos paramètres par défaut, vérifiez et, si nécessaire, mettez à jour les règles d'administration avant de le faire.
Pour afficher ou mettre à jour les règles d'administration :
Configurer l'emplacement de stockage par défaut pour Logging
Pour configurer l'emplacement de stockage par défaut pour Cloud Logging, exécutez la commande gcloud logging settings update et incluez l'option --storage-location :
DOSSIER
gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION
Avant d'exécuter la commande précédente, effectuez les remplacements suivants :
ORGANIZATION
gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION
Avant d'exécuter la commande précédente, effectuez les remplacements suivants :
Si vous ne pouvez pas utiliser Google Cloud CLI, exécutez la méthode de l'API Cloud Logging updateSettings.
Pour savoir comment résoudre les erreurs lors de la modification de l'emplacement de stockage par défaut, consultez Résoudre les problèmes liés à la définition de l'emplacement des ressources par défaut.
Configurer le récepteur _Default
Logging fournit un récepteur _Default prédéfini pour chaque ressourceGoogle Cloud projet, compte de facturation, dossier et organisation. Tout journal généré dans la ressource qui correspond au filtre d'inclusion et qui n'est pas exclu est acheminé vers le bucket _Default prédéfini de la ressource, dont le nom est identique.
Vous pouvez configurer les paramètres par défaut du récepteur _Default pour votre organisation et vos dossiers à l'aide des options suivantes :
Désactiver le récepteur _Default
Vous pouvez désactiver les récepteurs _Default pour toutes les nouvelles ressources d'une organisation ou d'un dossier. Cela empêche le stockage des journaux dans le bucket _Default de la ressource._Default
Si vous arrêtez de stocker des journaux dans le bucket _Default d'une ressource, les journaux qui auraient été routés vers ce bucket sont exclus du stockage dans Logging, sauf s'ils sont explicitement inclus dans un autre récepteur défini par l'utilisateur pour cette ressource.
Pour désactiver les récepteurs _Default d'une ressource et de toutes ses ressources enfants, exécutez la commande gcloud logging settings update suivante :
DOSSIER
gcloud logging settings update --folder=FOLDER_ID--disable-default-sink
Avant d'exécuter la commande précédente, effectuez le remplacement suivant :
ORGANIZATION
gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink
Avant d'exécuter la commande précédente, effectuez le remplacement suivant :
L'indicateur disable-default-sink ne s'applique qu'au récepteur _Default qui achemine les journaux vers le bucket _Default.
Vous pouvez réactiver les récepteurs _Default en exécutant la commande gcloud logging settings update suivante :
DOSSIER
gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink
ORGANIZATION
gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink
Configurer le filtre par défaut des récepteurs _Default
Le récepteur _Default prédéfini achemine toutes les entrées de journal qui correspondent aux critères du récepteur vers le bucket _Default correspondant. Vous pouvez envoyer une commande de l'API Cloud Logging pour remplacer le filtre d'inclusion intégré dans le récepteur _Default ou pour ajouter un filtre.
Le filtre d'exclusion intégré pour le récepteur _Default est vide. Toutefois, la commande d'API vous permet également d'ajouter des filtres d'exclusion.
Pour spécifier un filtre d'inclusion ou d'exclusion appliqué à tous les récepteurs _Default des nouvelles ressources d'une organisation ou d'un dossier, exécutez la méthode updateSettings de l'API Cloud Logging et spécifiez l'objet defaultSinkConfig.
Vous pouvez exécuter la méthode updateSettings à l'aide du widget APIs Explorer sur la page de référence de la méthode. L'exemple suivant illustre des exemples de paramètres :
Le filtre d'inclusion intégré pour le récepteur _Default inclut l'instruction AND NOT LOG_ID("externalaudit.googleapis.com/activity"), qui empêche le routage des journaux d'audit des activités d'administration vers le bucket de journaux _Default. Dans l'exemple précédent, le filtre d'inclusion est modifié afin que les journaux d'audit des activités d'administration soient acheminés vers le bucket de journaux _Default. L'exemple ajoute également un filtre d'exclusion qui empêche l'acheminement des journaux d'audit d'accès aux données vers le bucket _Default.
Dans l'exemple précédent, le filtre d'exclusion est nommé exclude-data-access.
Résoudre les erreurs de configuration
Pour obtenir des informations de dépannage, consultez Résoudre les problèmes liés au chiffrement CMEK et aux paramètres par défaut.