Definir configurações padrão para organizações e pastas

Este documento descreve como configurar as configurações padrão do Logging usando a Google Cloud CLI. As configurações padrão, que podem ser aplicadas a uma organização ou a uma pasta, podem determinar o seguinte:

  • Se uma chave de criptografia gerenciada pelo cliente (CMEK) é necessária para novos buckets de registros.
  • O local de armazenamento para novos buckets _Default e _Required e para consultas executadas nas páginas Análise de registros ou Log Analytics.

  • Se o coletor _Default está ativado ou desativado.

  • O filtro aplicado ao gravador _Default de novos recursos.

Visão geral

O recurso de organização está no nível mais alto da hierarquia de recursos doGoogle Cloud . O recurso organização é o pai destes recursos filhos: projetos, pastas, contas de faturamento e, no caso do Logging, buckets de registros.Google Cloud

É possível configurar o Logging para usar as configurações padrão de uma organização Google Cloud e de pastas. Quando você cria novos recursos, eles herdam as configurações padrão do recurso pai.

O Cloud Logging é compatível com as seguintes configurações padrão:

  • Se os novos buckets de registros em um recurso serão criptografados com uma chave gerenciada pelo cliente e, em caso afirmativo, a chave padrão do Cloud KMS a ser usada para criptografia.

  • O local de armazenamento para novos buckets de registros _Default e _Required criados por recursos filhos e para consultas salvas nas páginas Explorador de registros ou Análise de dados de registros. Ao definir o local de armazenamento, você pode controlar onde os registros são armazenados.

    Se você definir um local de armazenamento padrão para um recurso e não configurar a CMEK para ele, os novos buckets de registros no recurso não vão exigir a CMEK.

  • Se o gravador de registros _Default está ativado ou desativado para novos projetos no recurso.

  • Os filtros de inclusão ou exclusão aplicados a todos os novos coletores de _Default nos recursos filhos.

Exemplos de configurações:

  • Você configura um local de armazenamento padrão para uma organização. Para novos projetos na organização, os buckets de registros _Default e _Required são criados no local especificado. Além disso, as consultas salvas nas páginas do Explorador de registros ou da Análise de dados de registros são armazenadas no local especificado. Essas consultas incluem as consultas recentes que são salvas automaticamente após a execução e as consultas salvas por membros do projetoGoogle Cloud .

  • Você configura um local de armazenamento padrão para uma organização e para cada pasta dela. Para novos projetos em uma pasta, os buckets _Default e _Required são criados no local especificado pelas configurações da pasta. Para projetos que não estão em uma pasta, os buckets _Default e _Required são criados no local especificado pelas configurações da organização.

  • Você configura a CMEK para uma organização e, para a pasta chamada Non-CMEK, define apenas o local de armazenamento padrão. Se você criar um projeto que não esteja na pasta chamada Non-CMEK, os buckets _Default e _Required serão criados no mesmo local da chave do Cloud Key Management Service e serão criptografados por ela. No entanto, se você criar um projeto na pasta chamada Non-CMEK, os buckets de registros serão criados nos locais especificados pela configuração dessa pasta e não serão criptografados pela CMEK.

  • Você configura um filtro de exclusão que se aplica a novos coletores _Default no nível da organização. O filtro impede que os registros de auditoria de acesso a dados sejam encaminhados pelo coletor _Default em todos os recursos filhos, o que impede que os registros de auditoria de acesso a dados sejam armazenados no bucket _Default.

Antes de começar

Este documento não contém informações sobre como configurar a CMEK como uma configuração padrão para o Logging. Para informações sobre esse tópico, consulte Configurar a CMEK para o Logging.

Para começar a configurar as definições padrão da geração de registros, faça o seguinte:

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. Verifique se o papel do Identity and Access Management na organização ou pasta cujas configurações padrão você quer configurar inclui a seguinte permissão do Cloud Logging:

    • logging.settings.get
    • logging.settings.update

  3. Identifique o local em que você quer armazenar seus registros e consultas. Para conferir uma lista de locais de armazenamento compatíveis, consulte Regiões compatíveis.

    4. Ver as configurações padrão do Logging

    Para conferir as configurações padrão do Logging, incluindo o local de armazenamento padrão, use o comando gcloud logging settings describe:

    PASTA 

     gcloud logging settings describe --folder=FOLDER_ID

    Antes de executar o comando anterior, faça a seguinte substituição:

    ORGANIZAÇÃO 

    gcloud logging settings describe --organization=ORGANIZATION_ID

    Antes de executar o comando anterior, faça a seguinte substituição:

    O comando anterior retorna informações sobre as configurações padrão. Por exemplo, o seguinte mostra as configurações padrão de uma organização específica:

    name: organizations/ORGANIZATION_ID/settings
kmsKeyName: KMS_KEY_NAME
kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
storageLocation: europe-west1
disableDefaultSink: false

    O valor de SERVICE_ACCT_NAME pode ter o formato cmek-12345 ou service-12345@.... Se não for possível usar a Google Cloud CLI, execute o método getSettings da API Cloud Logging.

    Definir o local de armazenamento padrão

    Buckets de registros são os contêineres nos seus Google Cloud projetos, contas de faturamento, pastas e organizações que armazenam e organizam os dados de registros. Para cada projeto Google Cloud , conta de faturamento, pasta e organização, o Logging cria automaticamente dois buckets de registro: _Required e _Default, que são armazenados automaticamente no local global.

    Ao definir o local de armazenamento padrão para uma organização ou pasta, você especifica onde os novos buckets de registros _Required e _Default são criados e onde as consultas executadas nas páginas do Explorador de registros e do Log Analytics são armazenadas. Definir o local de armazenamento padrão não afeta o local dos buckets de registros atuais. Da mesma forma, o local de armazenamento das consultas salvas não é alterado.

    Depois de configurar o local de armazenamento padrão para uma organização ou pasta, acontece o seguinte:

    • Para novos recursos filhos criados na organização ou pasta, os buckets _Required e _Default herdam o local de armazenamento padrão.
    • As novas consultas executadas nas páginas do Explorador de registros ou da Análise de dados de registros são salvas no local de armazenamento padrão. Esse local também se aplica a consultas recentes que são salvas automaticamente.

    O local de armazenamento padrão do Cloud Logging não se aplica a buckets de registros definidos pelo usuário nem a consultas salvas usando a API Logging.

    Configurar as políticas da organização

    O Logging é compatível com políticas da organização que podem restringir onde os dados podem ser armazenados. Se houver uma política desse tipo na sua organização, só será possível criar buckets de registros em locais permitidos por ela.

    Quando existe uma política da organização que especifica uma restrição de local, os valores da política para a restrição precisam incluir o local especificado nas configurações padrão do Logging. Além disso, se você planeja modificar as configurações padrão, revise e atualize as políticas da organização antes de fazer isso.

    Para visualizar ou atualizar políticas da organização, faça o seguinte:

    1. No console Google Cloud , acesse a página Políticas da organização:

      Acessar Políticas da organização

      Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo IAM e administrador.

    2. Selecione a organização.

    3. Confira e, se necessário, atualize a restrição com o ID constraints/gcp.resourceLocations. Se essa restrição não estiver configurada, não será necessário fazer uma atualização.

      Para informações sobre como visualizar e editar restrições específicas, consulte Como criar e editar políticas.

    Configurar o local de armazenamento padrão para o Logging

    Para configurar o local de armazenamento padrão do Cloud Logging, execute o comando gcloud logging settings update e inclua a flag --storage-location:

    PASTA 

    gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION

    Antes de executar o comando anterior, faça as seguintes substituições:

    • FOLDER_ID: o identificador numérico exclusivo da pasta. Para informações sobre como usar pastas, consulte Como criar e gerenciar pastas.
    • LOCATION: o local onde os novos buckets de registro _Default e _Required são criados e onde as consultas são armazenadas. Para conferir uma lista de locais aceitos, consulte Regiões compatíveis.

    ORGANIZAÇÃO 

    gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION

    Antes de executar o comando anterior, faça as seguintes substituições:

    • ORGANIZATION_ID: o identificador numérico exclusivo da organização. Para informações sobre como conseguir esse identificador, consulte Como conseguir o ID da organização.
    • LOCATION: o local onde os novos buckets de registro _Default e _Required são criados e onde as consultas são armazenadas. Para conferir uma lista de locais aceitos, consulte Regiões compatíveis.

    Se não for possível usar a Google Cloud CLI, execute o método updateSettings da API Cloud Logging.

    Para informações sobre como resolver erros ao atualizar o local de armazenamento padrão, consulte Solução de problemas ao definir o local de recurso padrão.

    Configurar o coletor _Default

    O Logging fornece um coletor _Default predefinido para cada recurso deGoogle Cloud projeto, conta de faturamento, pasta e organização. Todos os registros gerados no recurso que correspondem ao filtro de inclusão e não são excluídos são encaminhados para o bucket _Default predefinido e nomeado de acordo com o recurso.

    É possível configurar as opções padrão do gravador _Default para sua organização e pastas:

    • É possível desativar a criação de um coletor _Default para novos recursos filhos.

    • É possível configurar um filtro de inclusão ou vários filtros de exclusão que se aplicam aos coletores _Default de novos projetos.

    Desativar o coletor _Default

    É possível desativar os coletores _Default para todos os novos recursos em uma organização ou pasta. Isso impede que os registros sejam armazenados no bucket _Default do recurso._Default Se você parar de armazenar registros no bucket _Default de um recurso, os registros que teriam sido encaminhados para esse bucket serão excluídos do armazenamento no Logging, a menos que sejam incluídos explicitamente em outro coletor definido pelo usuário para esse recurso.

    Para desativar os coletores _Default de um recurso e de todos os recursos filhos dele, execute o seguinte comando gcloud logging settings update:

    PASTA 

    gcloud logging settings update --folder=FOLDER_ID--disable-default-sink

    Antes de executar o comando anterior, faça a seguinte substituição:

    ORGANIZAÇÃO 

    gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink

    Antes de executar o comando anterior, faça a seguinte substituição:

    A flag disable-default-sink se aplica apenas ao coletor _Default que encaminha registros para o bucket _Default.

    Para reativar os coletores do _Default, execute o seguinte comando gcloud logging settings update:

    PASTA 

    gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink

    ORGANIZAÇÃO 

    gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink

    Configurar o filtro padrão de coletores _Default

    O coletor _Default predefinido encaminha todas as entradas de registro que correspondem aos critérios do coletor para o bucket _Default correspondente. É possível enviar um comando da API Cloud Logging para substituir o filtro de inclusão integrado no coletor _Default ou anexar um filtro. O filtro de exclusão integrado para o coletor _Default está vazio. No entanto, o comando da API também permite adicionar filtros de exclusão.

    Para especificar um filtro de inclusão ou exclusão que seja aplicado a todos os coletores _Default de novos recursos em uma organização ou pasta, execute o método da API Cloud Logging updateSettings e especifique o objeto defaultSinkConfig.

    É possível executar o método updateSettings usando o widget APIs Explorer na página de referência do método. O exemplo a seguir ilustra parâmetros de amostra:

    • nome (URL): organizations/ORGANIZATION_ID/settings
    • updateMask: "default_sink_config"

    • Corpo da solicitação, que contém uma instância de Settings:

      "defaultSinkConfig": {
  {
  "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") "
  "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") "
  "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") "
  "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") "
  "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ",
  "exclusions": [
     {
        "name": "exclude-data-access",
        "description": "Prevents Data Access audit logs from being routed",
        "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")",
     }
  ],
  "mode": OVERWRITE
  }
}

    O filtro de inclusão integrado para o gravador _Default inclui a instrução AND NOT LOG_ID("externalaudit.googleapis.com/activity"), que impede que os registros de auditoria de atividade do administrador sejam encaminhados para o bucket de registros _Default. No exemplo anterior, o filtro de inclusão é alterado para que os registros de auditoria da atividade do administrador sejam encaminhados para o bucket de registros _Default. O exemplo também adiciona um filtro de exclusão que impede que os registros de auditoria de acesso a dados sejam encaminhados para o bucket _Default. No exemplo anterior, o filtro de exclusão é chamado de exclude-data-access.

    Resolver problemas de configuração

    Para informações sobre solução de problemas, consulte Resolver problemas de CMEK e erros de configuração padrão.