Questo documento descrive come configurare le impostazioni predefinite per il logging utilizzando Google Cloud CLI. Le impostazioni predefinite, che possono essere applicate a un'organizzazione o a una cartella, possono determinare quanto segue:
- Indica se è richiesta una chiave di crittografia gestita dal cliente (CMEK) per i nuovi bucket di log.
- La posizione di archiviazione dei nuovi
bucket
_Default
e_Required
, e per le query eseguite nelle pagine Esplora log o Analisi dei log.
Indica se il sink
_Default
è attivo o disattivato.Il filtro applicato all'obiettivo
_Default
delle nuove risorse.
Panoramica
La risorsa organizzazione si trova al livello più alto della gerarchia delle risorse Google Cloud. La risorsa organizzazione è la principale di queste risorse secondarie: progetti, cartelle, account di fatturazione e, per quanto riguarda il logging, bucket di log di Google Cloud.
Puoi configurare il logging in modo che utilizzi le impostazioni predefinite per un'organizzazione Google Cloud e per le cartelle. Quando crei nuove risorse, queste ereditano le impostazioni predefinite dell'elemento principale.
Cloud Logging supporta le seguenti impostazioni predefinite:
Indica se i nuovi bucket di log di una risorsa devono essere criptati con una chiave gestita dal cliente e, in questo caso, la chiave Cloud KMS predefinita da utilizzare per la crittografia.
La posizione di archiviazione dei nuovi bucket di log
_Default
e_Required
creati dalle risorse secondarie, e per le query salvate dalle pagine Esplora log o Analisi dei log. Impostando la posizione di archiviazione, puoi controllare dove vengono archiviati i log.Se imposti una posizione di archiviazione predefinita per una risorsa e non configuriCMEK per quella risorsa, i nuovi bucket di log nella risorsa non richiedonoCMEK.
Indica se l'
_Default
destinazione log è attivata o disattivata per i nuovi progetti nella risorsa.I filtri di inclusione o di esclusione che vengono applicati a tutti i nuovi canali
_Default
nelle risorse secondarie.
Configurazioni di esempio:
- Configura una posizione di archiviazione predefinita per un'organizzazione.
Per i nuovi progetti dell'organizzazione, i bucket di log
_Default
e_Required
vengono creati nella posizione specificata. Inoltre, le query salvate dalle pagine di Esplora log o Analisi dei log vengono memorizzate nella posizione specificata. Queste query includono le query recenti salvate automaticamente dopo l'esecuzione e le query salvate dai membri del progetto Google Cloud.
Configura un percorso di archiviazione predefinito per un'organizzazione e un percorso di archiviazione predefinito per ogni cartella dell'organizzazione. Per i nuovi progetti all'interno di una cartella, i bucket
_Default
e_Required
vengono creati nella posizione specificata dalle impostazioni della cartella. Per i progetti che non si trovano in una cartella, i bucket_Default
e_Required
vengono creati nella posizione specificata dalle impostazioni dell'organizzazione.Configura CMEK per un'organizzazione e per la cartella denominata
Non-CMEK
imposti solo la posizione di archiviazione predefinita. Se crei un progetto che non si trova nella cartella denominataNon-CMEK
, i bucket_Default
e_Required
vengono creati nella stessa posizione della chiave Cloud Key Management Service e questi bucket dei log vengono criptati da questa chiave. Tuttavia, se crei un nuovo progetto nella cartella denominataNon-CMEK
, i relativi bucket dei log vengono creati nelle posizioni specificate dall'impostazione della cartella e questi bucket dei log non vengono criptati da CMEK.Configura un filtro di esclusione che si applica ai nuovi canali
_Default
a livello di organizzazione. Il filtro impedisce che gli audit log di accesso ai dati vengano inoltrati tramite il sink_Default
in tutte le risorse secondarie, impedendo così che vengano archiviati nel bucket_Default
.
Prima di iniziare
Questo documento non contiene informazioni su come configurare CMEK come impostazione predefinita per il logging. Per informazioni su questo argomento, consulta Configurare CMEK per il logging.
Per iniziare a configurare le impostazioni predefinite per la registrazione:
-
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Assicurati che il tuo ruolo Identity and Access Management nell'organizzazione o nella cartella di cui vuoi configurare le impostazioni predefinite includa la seguente autorizzazione Cloud Logging:
logging.settings.get
logging.settings.update
Identifica la posizione in cui vuoi archiviare i log e le query. Per un elenco delle posizioni di archiviazione supportate, consulta Regioni supportate.
Visualizzare le impostazioni predefinite per il logging
Per visualizzare le impostazioni predefinite per Logging,
inclusa la posizione di archiviazione predefinita, utilizza il
comando
gcloud logging settings describe
:
FOLDER
gcloud logging settings describe --folder=FOLDER_ID
Prima di eseguire il comando precedente, esegui la seguente sostituzione:
- FOLDER_ID: l'identificatore numerico univoco della cartella. Per informazioni sull'utilizzo delle cartelle, consulta Creare e gestire le cartelle.
ORGANIZZAZIONE
gcloud logging settings describe --organization=ORGANIZATION_ID
Prima di eseguire il comando precedente, esegui la seguente sostituzione:
- ORGANIZATION_ID: l'identificatore numerico univoco dell'organizzazione. Per informazioni su come ottenere questo identificatore, consulta Ottenere l'ID organizzazione.
Il comando precedente restituisce informazioni sulle impostazioni predefinite. Ad esempio, di seguito sono riportate le impostazioni predefinite per una determinata organizzazione:
name: organizations/ORGANIZATION_ID/settings kmsKeyName: KMS_KEY_NAME kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com storageLocation: europe-west1 disableDefaultSink: false
Il valore di SERVICE_ACCT_NAME potrebbe avere il formato cmek-12345
o
service-12345@...
. Se non puoi utilizzare Google Cloud CLI, esegui il metodo getSettings
dell'API Cloud Logging.
Impostare la posizione di archiviazione predefinita
I bucket di log sono i contenitori nei progetti, negli account di fatturazione, nelle cartelle e nelle organizzazioni Google Cloud che archiviano e organizzano i dati di log. Per ogni progetto, account di fatturazione,
cartella e organizzazione Google Cloud, Logging crea automaticamente due
bucket di log: _Required
e _Default
, che vengono archiviati automaticamente nella
posizione global
.
Quando imposti la posizione di archiviazione predefinita per un'organizzazione o una cartella,
specifichi dove vengono creati i nuovi bucket di log _Required
e _Default
e dove vengono archiviate le query eseguite nelle pagine di Esplora log e Analisi dei log. L'impostazione della posizione di archiviazione predefinita non influisce sulla posizione dei bucket dei log esistenti. Analogamente, per le query salvate, la posizione di archiviazione non cambia.
Dopo aver configurato la posizione di archiviazione predefinita per un'organizzazione o una cartella, si verifica quanto segue:
- Per le nuove risorse secondarie create nell'organizzazione o nella cartella, i bucket
_Required
e_Default
ereditano la posizione di archiviazione predefinita.
- Le nuove query eseguite nelle pagine Esplora log o Analisi dei log vengono salvate nella posizione di archiviazione predefinita. Questa posizione si applica anche alle query recenti salvate automaticamente.
La posizione di archiviazione predefinita per Cloud Logging non si applica ai bucket di log definiti dall'utente o alle query salvate utilizzando l'API Logging.
Configura i criteri dell'organizzazione
La registrazione supporta i criteri dell'organizzazione che possono limitare la posizione in cui possono essere archiviati i dati. Se esiste un criterio di questo tipo per la tua organizzazione, puoi creare bucket di log solo nelle posizioni consentite dal criterio.
Quando esiste un criterio dell'organizzazione che specifica un vincolo di località, i valori del criterio per il vincolo devono includere la località specificata nelle impostazioni predefinite per la registrazione. Inoltre, se prevedi di modificare le impostazioni predefinite, prima di procedere, controlla e, se necessario, aggiorna i criteri dell'organizzazione.
Per visualizzare o aggiornare i criteri dell'organizzazione:
-
Nella console Google Cloud, vai alla pagina Norme dell'organizzazione:
Vai a Criteri dell'organizzazione
Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo IAM e amministrazione.
Seleziona la tua organizzazione.
Visualizza e, se necessario, aggiorna il vincolo con l'ID
constraints/gcp.resourceLocations
. Se questo vincolo non è configurato, non è necessario un aggiornamento.Per informazioni su come visualizzare vincoli specifici e su come modificarli, consulta Creare e modificare i criteri.
Configurare la posizione di archiviazione predefinita per Logging
Per configurare la posizione di archiviazione predefinita per Cloud Logging, esegui il comando
gcloud logging settings update
e includi il flag --storage-location
:
FOLDER
gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION
Prima di eseguire il comando precedente, esegui le seguenti sostituzioni:
- FOLDER_ID: l'identificatore numerico univoco della cartella. Per informazioni sull'utilizzo delle cartelle, consulta Creare e gestire le cartelle.
- LOCATION: la località in cui vengono creati i nuovi bucket di log
_Default
e_Required
e in cui vengono archiviate le query. Per un elenco delle località supportate, consulta Regioni supportate.
ORGANIZZAZIONE
gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION
Prima di eseguire il comando precedente, esegui le seguenti sostituzioni:
- ORGANIZATION_ID: l'identificatore numerico univoco dell'organizzazione. Per informazioni su come ottenere questo identificatore, consulta Ottenere l'ID organizzazione.
- LOCATION: la località in cui vengono creati i nuovi bucket di log
_Default
e_Required
e in cui vengono archiviate le query. Per un elenco delle località supportate, consulta Regioni supportate.
Se non puoi utilizzare Google Cloud CLI, esegui il metodo updateSettings
dell'API Cloud Logging.
Per informazioni sulla risoluzione degli errori durante l'aggiornamento della posizione di archiviazione predefinita, consulta Risolvere i problemi di impostazione della posizione della risorsa predefinita.
Configura il sink _Default
Logging fornisce un _Default
sink predefinito per ogni progetto, account di fatturazione, cartella e risorsa organizzazione Google Cloud. Qualsiasi
log generato nella risorsa che corrisponde al filtro di inclusione e
che non è escluso viene indirizzato al bucket predefinito della risorsa, corrispondente
al nome _Default
.
Puoi configurare le impostazioni predefinite per l'emissario _Default
per la tua organizzazione e le tue cartelle con le seguenti opzioni:
Puoi disattivare la creazione di un'area di destinazione
_Default
per le nuove risorse secondarie.Puoi configurare un filtro di inclusione o più filtri di esclusione da applicare ai canali
_Default
dei nuovi progetti.
Disattiva il sink _Default
Puoi disattivare gli scoli _Default
per tutte le nuove risorse in un'organizzazione o una cartella. La disattivazione degli scoli _Default
impedisce la memorizzazione dei log nel bucket _Default
della risorsa.
Se interrompi l'archiviazione dei log nel
bucket _Default
di una risorsa, i log che sarebbero stati inoltrati a quel
bucket vengono esclusi dall'archiviazione in Logging, a meno che non siano
inclusi esplicitamente in un altro sink definito dall'utente per quella risorsa.
Per disattivare gli scoli _Default
per una risorsa e per le relative risorse secondarie, esegui il seguente comando gcloud logging settings update
:
FOLDER
gcloud logging settings update --folder=FOLDER_ID--disable-default-sink
Prima di eseguire il comando precedente, esegui la seguente sostituzione:
- FOLDER_ID: l'identificatore numerico univoco della cartella. Per informazioni sull'utilizzo delle cartelle, consulta Creare e gestire le cartelle.
ORGANIZZAZIONE
gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink
Prima di eseguire il comando precedente, esegui la seguente sostituzione:
- ORGANIZATION_ID: l'identificatore numerico univoco dell'organizzazione. Per informazioni su come ottenere questo identificatore, consulta Ottenere l'ID organizzazione.
Il flag disable-default-sink
si applica solo alla destinazione _Default
che inoltra i log nel bucket _Default
.
Puoi riattivare i canali _Default
eseguendo il seguente comando
gcloud logging settings update
:
FOLDER
gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink
ORGANIZZAZIONE
gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink
Configurare il filtro predefinito dei sink _Default
L'area di destinazione _Default
predefinita inoltra tutte le voci di log che corrispondono ai criteri dell'area di destinazione al bucket _Default
corrispondente. Puoi inviare un
comando dell'API Cloud Logging per eseguire l'override del
filtro di inclusione
incorporato nel _Default
sink o per aggiungere un filtro.
Il filtro di esclusione integrato per il sink _Default
è vuoto. Tuttavia, il comando dell'API consente anche di aggiungere filtri di esclusione.
Per specificare un filtro di inclusione o di esclusione da applicare a tutti i canali _Default
di nuove risorse in un'organizzazione o una cartella, esegui il metodo updateSettings
dell'API Cloud Logging e specifica l'oggetto defaultSinkConfig
.
Puoi eseguire il metodo updateSettings
utilizzando il widget Explorer API nella pagina di riferimento del metodo. L'Esempio seguente illustra i parametri di esempio:
- name (URL):
organizations/ORGANIZATION_ID/settings
- updateMask:
"default_sink_config"
Corpo della richiesta, che contiene un'istanza di
Settings
:"defaultSinkConfig": { { "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ", "exclusions": [ { "name": "exclude-data-access", "description": "Prevents Data Access audit logs from being routed", "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")", } ], "mode": OVERWRITE } }
Il filtro di inclusione integrato per il sink _Default
include l'istruzione AND NOT LOG_ID("externalaudit.googleapis.com/activity")
, che impedisce il routing degli audit log delle attività amministrative al bucket di log _Default
. Nell'esempio precedente, il filtro di inclusione viene modificato in modo che gli audit log delle attività di amministrazione vengano inviati al bucket dei log _Default
. L'esempio aggiunge anche un filtro di esclusione che impedisce di inoltrare gli audit log di accesso ai dati al bucket _Default
.
Nell'esempio precedente, il filtro di esclusione è denominato exclude-data-access
.
Risolvere gli errori di configurazione
Per informazioni sulla risoluzione dei problemi, consulta Risolvere gli errori relativi a CMEK e alle impostazioni predefinite.