Mengonfigurasi setelan default untuk organisasi dan folder

Dokumen ini menjelaskan cara mengonfigurasi setelan default untuk Logging menggunakan Google Cloud CLI. Setelan default, yang dapat diterapkan ke organisasi atau folder, dapat menentukan hal berikut:

  • Apakah kunci enkripsi yang dikelola pelanggan (CMEK) diperlukan untuk bucket log baru.
  • Lokasi penyimpanan untuk bucket _Default dan _Required baru, dan untuk kueri yang dijalankan di halaman Logs Explorer.

  • Apakah sinkronisasi _Default diaktifkan atau dinonaktifkan.

  • Filter yang diterapkan ke sinki _Default resource baru.

Ringkasan

Resource organisasi berada di tingkat tertinggi Google Cloud hierarki resource. Resource organisasi adalah induk dari resource turunan berikut: Google Cloud project, folder, akun penagihan, dan terkait Logging, bucket log.

Anda dapat mengonfigurasi Logging untuk menggunakan setelan default bagi organisasi Google Cloud dan folder. Saat Anda membuat resource baru, resource tersebut akan mewarisi setelan default induknya.

Cloud Logging mendukung setelan default berikut:

  • Apakah bucket log baru dalam resource akan dienkripsi dengan kunci yang dikelola pelanggan atau tidak, dan jika ya, kunci Cloud KMS default yang akan digunakan untuk enkripsi.

  • Lokasi penyimpanan untuk bucket log _Default dan _Required baru yang dibuat oleh resource turunan, dan untuk kueri yang disimpan oleh halaman Logs Explorer. Dengan menyetel lokasi penyimpanan, Anda dapat mengontrol tempat penyimpanan log Anda.

    Jika Anda menetapkan lokasi penyimpanan default untuk resource dan tidak mengonfigurasi CMEK untuk resource tersebut, bucket log baru di resource tidak memerlukan CMEK.

  • Apakah sink log _Default diaktifkan atau dinonaktifkan untuk project baru dalam resource.

  • Filter penyertaan atau filter pengecualian yang diterapkan ke semua sink _Default baru di resource turunan.

Contoh konfigurasi:

  • Anda mengonfigurasi lokasi penyimpanan default untuk organisasi. Untuk project baru dalam organisasi, bucket log _Default dan _Required dibuat di lokasi yang ditentukan. Selain itu, kueri yang disimpan oleh halaman Logs Explorer disimpan di lokasi yang ditentukan. Kueri ini mencakup kueri terbaru yang disimpan secara otomatis setelah dijalankan, dan kueri yang disimpan oleh anggota projectGoogle Cloud .

  • Anda mengonfigurasi lokasi penyimpanan default untuk organisasi dan Anda mengonfigurasi lokasi penyimpanan default untuk setiap folder dalam organisasi tersebut. Untuk project baru yang ada di folder, bucket _Default dan _Required dibuat di lokasi yang ditentukan oleh setelan folder. Untuk project yang tidak ada di folder, bucket _Default dan _Required-nya dibuat di lokasi yang ditentukan oleh setelan organisasi.

  • Anda mengonfigurasi CMEK untuk organisasi, dan untuk folder bernama Non-CMEK , Anda hanya menetapkan lokasi penyimpanan default. Jika Anda membuat project yang tidak ada di folder bernama Non-CMEK, maka bucket _Default dan _Required akan dibuat di lokasi yang sama dengan kunci Cloud Key Management Service, dan bucket log ini dienkripsi oleh kunci tersebut. Namun, jika Anda membuat project baru di folder bernama Non-CMEK, bucket lognya akan dibuat di lokasi yang ditentukan oleh setelan folder tersebut, dan bucket log tersebut tidak dienkripsi oleh CMEK.

  • Anda mengonfigurasi filter pengecualian yang berlaku untuk sink _Default baru di tingkat organisasi. Filter ini mengecualikan log audit Akses Data agar tidak dirutekan melalui sink _Default di semua resource turunan, sehingga mencegah log audit Akses Data disimpan di bucket _Default.

Sebelum memulai

Dokumen ini tidak berisi informasi tentang cara mengonfigurasi CMEK sebagai setelan default untuk Logging. Untuk mengetahui informasi tentang topik tersebut, lihat Mengonfigurasi CMEK untuk Logging.

Untuk mulai mengonfigurasi setelan default untuk Logging, lakukan hal berikut:

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Pastikan peran Identity and Access Management Anda di organisasi atau folder yang setelan defaultnya ingin Anda konfigurasi mencakup izin Cloud Logging berikut:

    • logging.settings.get
    • logging.settings.update

  3. Identifikasi lokasi tempat Anda ingin menyimpan log dan kueri. Untuk mengetahui daftar lokasi penyimpanan yang didukung, lihat Region yang didukung.

    4. Melihat setelan default untuk Logging

    Untuk melihat setelan default Logging, termasuk lokasi penyimpanan default, gunakan perintah gcloud logging settings describe:

    FOLDER 

     gcloud logging settings describe --folder=FOLDER_ID

    Sebelum menjalankan perintah sebelumnya, lakukan penggantian berikut:

    ORGANISASI 

    gcloud logging settings describe --organization=ORGANIZATION_ID

    Sebelum menjalankan perintah sebelumnya, lakukan penggantian berikut:

    Perintah sebelumnya menampilkan informasi tentang setelan default. Misalnya, berikut menunjukkan setelan default untuk organisasi tertentu:

    name: organizations/ORGANIZATION_ID/settings
kmsKeyName: KMS_KEY_NAME
kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.
storageLocation: europe-west1
disableDefaultSink: false

    Nilai SERVICE_ACCT_NAME mungkin memiliki format cmek-12345 atau service-12345@.... Jika Anda tidak dapat menggunakan Google Cloud CLI, jalankan metode Cloud Logging API getSettings.

    Menetapkan lokasi penyimpanan default

    Bucket log adalah container di Google Cloud project, akun penagihan, folder, dan organisasi Anda yang menyimpan dan mengatur data log Anda. Untuk setiap project, akun penagihan, folder, dan organisasi Google Cloud , Logging otomatis membuat dua bucket log: _Required dan _Default, yang otomatis disimpan di lokasi global.

    Saat Anda menetapkan lokasi penyimpanan default untuk organisasi atau folder, Anda menentukan tempat bucket log _Required dan _Default baru dibuat dan tempat kueri yang Anda jalankan di halaman Logs Explorer disimpan. Menetapkan lokasi penyimpanan default tidak memengaruhi lokasi bucket log yang ada. Demikian pula, untuk kueri yang telah disimpan, lokasi penyimpanannya tidak diubah.

    Setelah Anda mengonfigurasi lokasi penyimpanan default untuk organisasi atau folder, hal berikut akan terjadi:

    • Untuk resource turunan baru yang dibuat di organisasi atau folder, bucket _Required dan _Default-nya mewarisi lokasi penyimpanan default.
    • Kueri baru yang Anda jalankan di halaman Logs Explorer disimpan di lokasi penyimpanan default. Lokasi ini juga berlaku untuk kueri terbaru yang otomatis disimpan.

    Lokasi penyimpanan default untuk Cloud Logging tidak berlaku untuk bucket log yang ditentukan pengguna atau untuk kueri yang disimpan menggunakan Logging API.

    Mengonfigurasi kebijakan organisasi

    Logging mendukung kebijakan organisasi yang dapat membatasi tempat data dapat disimpan. Jika kebijakan tersebut ada untuk organisasi Anda, maka Anda hanya dapat membuat bucket log di lokasi yang diizinkan oleh kebijakan tersebut.

    Jika ada kebijakan organisasi yang menentukan batasan lokasi, nilai kebijakan untuk batasan harus menyertakan lokasi yang ditentukan dalam setelan default untuk Logging. Selain itu, jika Anda berencana mengubah setelan default, sebelum Anda memperbarui setelan default, tinjau dan, jika perlu, perbarui kebijakan organisasi.

    Untuk melihat atau memperbarui kebijakan organisasi, lakukan hal berikut:

    1. Di konsol Google Cloud , buka halaman Kebijakan Organisasi:

      Buka Kebijakan Organisasi

      Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah IAM & Admin.

    2. Pilih organisasi Anda.

    3. Lihat, dan jika perlu, perbarui batasan dengan ID constraints/gcp.resourceLocations. Jika batasan ini tidak dikonfigurasi, pembaruan tidak diperlukan.

      Untuk mengetahui informasi tentang cara melihat batasan tertentu dan cara mengedit batasan ini, lihat Membuat dan mengedit kebijakan.

    Mengonfigurasi lokasi penyimpanan default untuk Logging

    Untuk mengonfigurasi lokasi penyimpanan default untuk Cloud Logging, jalankan perintah gcloud logging settings update dan sertakan tanda --storage-location:

    FOLDER 

    gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION

    Sebelum menjalankan perintah sebelumnya, lakukan penggantian berikut:

    • FOLDER_ID: ID numerik unik folder. Untuk mengetahui informasi tentang cara menggunakan folder, lihat Membuat dan mengelola folder.
    • LOCATION: Lokasi tempat bucket log _Default dan _Required baru dibuat, dan tempat kueri disimpan. Untuk mengetahui daftar lokasi yang didukung, lihat Region yang didukung.

    ORGANISASI 

    gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION

    Sebelum menjalankan perintah sebelumnya, lakukan penggantian berikut:

    • ORGANIZATION_ID: ID numerik unik organisasi. Untuk mengetahui informasi tentang cara mendapatkan ID ini, lihat Mendapatkan ID organisasi Anda.
    • LOCATION: Lokasi tempat bucket log _Default dan _Required baru dibuat, dan tempat kueri disimpan. Untuk mengetahui daftar lokasi yang didukung, lihat Region yang didukung.

    Jika Anda tidak dapat menggunakan Google Cloud CLI, jalankan metode Cloud Logging API updateSettings.

    Untuk mengetahui informasi tentang cara mengatasi error saat memperbarui lokasi penyimpanan default, lihat Memecahkan masalah saat menyetel lokasi resource default.

    Mengonfigurasi tujuan _Default

    Logging menyediakan sink _Default yang telah ditentukan sebelumnya untuk setiap resource project, akun penagihan, folder, dan organisasiGoogle Cloud . Setiap log yang dibuat di resource yang cocok dengan filter penyertaan dan yang tidak dikecualikan, akan dirutekan ke bucket _Default yang telah ditentukan sebelumnya dan diberi nama sesuai dengan resource.

    Anda dapat mengonfigurasi setelan default untuk sink _Default bagi organisasi dan folder Anda dengan opsi berikut:

    • Anda dapat menonaktifkan pembuatan sink _Default untuk resource turunan baru.

    • Anda dapat mengonfigurasi filter penyertaan atau beberapa filter pengecualian yang berlaku untuk sink _Default project baru.

    Menonaktifkan sink _Default

    Anda dapat menonaktifkan sink _Default untuk semua resource baru di organisasi atau folder; menonaktifkan sink _Default akan mencegah log disimpan di bucket _Default resource. Jika Anda berhenti menyimpan log di bucket _Default resource, log yang seharusnya dirutekan ke bucket tersebut akan dikecualikan dari penyimpanan di Logging, kecuali jika log tersebut secara eksplisit disertakan dalam sink yang ditentukan pengguna lain untuk resource tersebut.

    Untuk menonaktifkan sink _Default untuk resource dan semua resource turunannya, jalankan perintah gcloud logging settings update berikut:

    FOLDER 

    gcloud logging settings update --folder=FOLDER_ID--disable-default-sink

    Sebelum menjalankan perintah sebelumnya, lakukan penggantian berikut:

    ORGANISASI 

    gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink

    Sebelum menjalankan perintah sebelumnya, lakukan penggantian berikut:

    Flag disable-default-sink hanya berlaku untuk sink _Default yang merutekan log ke bucket _Default.

    Anda dapat mengaktifkan kembali sink _Default dengan menjalankan perintah gcloud logging settings update berikut:

    FOLDER 

    gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink

    ORGANISASI 

    gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink

    Mengonfigurasi filter default sink _Default

    Tujuan _Default yang telah ditentukan sebelumnya merutekan entri log apa pun yang cocok dengan kriteria tujuan ke bucket _Default yang sesuai. Anda dapat mengirim perintah Cloud Logging API untuk mengganti filter penyertaan bawaan di sink _Default atau menambahkan filter. Filter pengecualian bawaan untuk sink _Default kosong. Namun, perintah API juga memungkinkan Anda menambahkan filter pengecualian.

    Untuk menentukan filter penyertaan atau filter pengecualian yang diterapkan ke semua sink _Default resource baru dalam organisasi atau folder, jalankan metode Cloud Logging API updateSettings dan tentukan objek defaultSinkConfig.

    Anda dapat menjalankan metode updateSettings menggunakan widget APIs Explorer di halaman referensi metode. Contoh berikut mengilustrasikan parameter sampel:

    • name (URL): organizations/ORGANIZATION_ID/settings
    • updateMask: "default_sink_config"

    • Isi permintaan, yang berisi instance Settings:

      "defaultSinkConfig": {
  {
  "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") "
  "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") "
  "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") "
  "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") "
  "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ",
  "exclusions": [
     {
        "name": "exclude-data-access",
        "description": "Prevents Data Access audit logs from being routed",
        "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")",
     }
  ],
  "mode": OVERWRITE
  }
}

    Filter penyertaan bawaan untuk sink _Default mencakup pernyataan AND NOT LOG_ID("externalaudit.googleapis.com/activity"), yang mencegah log audit Aktivitas Admin dirutekan ke bucket log _Default. Pada contoh sebelumnya, filter penyertaan diubah sehingga log audit Aktivitas Admin dirutekan ke bucket log _Default. Contoh ini juga menambahkan filter pengecualian yang mencegah log audit Akses Data dirutekan ke bucket _Default. Dalam contoh sebelumnya, filter pengecualian diberi nama exclude-data-access.

    Memecahkan masalah error konfigurasi

    Untuk mengetahui informasi pemecahan masalah, lihat Memecahkan masalah error CMEK dan setelan default.