In diesem Dokument werden Log-Buckets vorgestellt. Das sind die Container, in denen Cloud Logging Ihre Logdaten speichert. Sie enthält Informationen zum Speicherort, zur Verwaltung des Verschlüsselungsschlüssels und zur Datenaufbewahrung für Log-Buckets. Außerdem wird hervorgehoben, wo Sie mithilfe von Organisationsrichtlinien oder Standardressourceneinstellungen den Speicherort und die Verschlüsselung für neue Log-Buckets in Ordnern oder Organisationen steuern können.
Log-Buckets
Cloud Logging verschlüsselt inaktive Kundendaten standardmäßig. Von Logging in Protokoll-Buckets gespeicherte Daten werden mit Schlüsselverschlüsselungsschlüsseln verschlüsselt. Dieser Vorgang wird als Umschlagverschlüsselung bezeichnet. Der Zugriff auf Ihre Logging-Daten erfordert den Zugriff auf diese Schlüsselverschlüsselungsschlüssel. Standardmäßig sind diese Google-owned and Google-managed encryption keys und Sie müssen nichts weiter tun.
Ihre Organisation hat möglicherweise regulatorische, Compliance- oder erweiterte Verschlüsselungsanforderungen, die unsere Standardverschlüsselung inaktiver Daten nicht anspricht. AnstattGoogle-owned and Google-managed encryption keyszu verwenden, können Sie Ihre eigenen Schlüssel verwalten, um die Anforderungen Ihrer Organisation zu erfüllen.
Log-Buckets sind regionale Ressourcen mit einem festen Standort. Google Cloud verwaltet diese Infrastruktur, sodass Ihre Anwendungen in den Zonen innerhalb dieser Region redundant verfügbar sind.
Die Aufbewahrungsdauer der von einem Log-Bucket gespeicherten Daten hängt vom Log-Bucket ab. Dieses Dokument enthält Informationen zur Datenaufbewahrung.
Sie können Logansichten für einen Log-Bucket erstellen. Eine Logansicht bietet nur Zugriff auf einen Teil der in einem Log-Bucket gespeicherten Logdaten. Für jeden Log-Bucket wird in Cloud Logging automatisch eine Log-Ansicht erstellt, die Zugriff auf jeden Logeintrag im Log-Bucket bietet. Sie steuern den Zugriff auf eine Protokollansicht mithilfe der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM).
Sie können Ihre Logdaten mit dem Log-Explorer oder den Log Analytics-Seiten der Google Cloud Console abfragen und aufrufen:
Auf der Seite „Log-Explorer“ können Sie Fehler beheben und die Leistung Ihrer Dienste und Anwendungen analysieren. Sie können sich einzelne Logeinträge ansehen und Ihre Protokolldaten filtern. Diese Benutzeroberfläche hat eine Bereichseinstellung, mit der Sie nach Logdaten nach Projekt, Log-Bucket oder Logansicht suchen können.
Die Seite „Log Analytics“ bietet eine SQL-Benutzeroberfläche, mit der Sie eine zusammengefasste Analyse Ihrer Logdaten durchführen können, die in einem Log-Bucket gespeichert sind, der für die Verwendung von Analysen aktualisiert wurde. Sie können diese Benutzeroberfläche beispielsweise zum Berechnen und Darstellen von Trends verwenden. Sie können Protokollansichten und Analyseansichten abfragen.
Weitere Informationen finden Sie unter Logeinträge abfragen und aufrufen.
Unterstützung für Organisationen und Ordner
Damit Ihre Organisation die Compliance- und behördlichen Anforderungen erfüllen kann, werden bei der Protokollierung sowohl Organisationsrichtlinien als auch Standardressourceneinstellungen unterstützt:
In den Standardeinstellungen für Ressourcen wird der Speicherort und die Verwaltung von Verschlüsselungsschlüsseln für vom System erstellte Protokoll-Buckets angegeben, wenn neue Ressourcen in einem Ordner oder einer Organisation erstellt werden. Sie können beispielsweise festlegen, dass diese vom System erstellten Protokoll-Buckets an einem bestimmten Speicherort abgelegt werden.
Mit einer Organisationsrichtlinie können Sie den Speicherort neuer benutzerdefinierter Log-Buckets einschränken. Die Protokollierung unterstützt Organisationsrichtlinien, mit denen Regionen angegeben werden, in denen Log-Buckets erstellt werden können oder nicht.
Vom System erstellte Log-Buckets
Für jedes Google Cloud Projekt, jedes Rechnungskonto, jeden Ordner und jede Organisation erstellt Cloud Logging zwei Log-Buckets, die _Required und _Default heißen. Sofern keine Standardressourceneinstellungen konfiguriert sind, haben diese Log-Buckets den WertGoogle-owned and Google-managed encryption keys und Cloud Logging wählt ihren Speicherort aus.
Die vom System erstellten Log-Buckets können nicht gelöscht werden.
Sie können systemseitig erstellte Log-Buckets für die Verwendung von Analysen upgraden. Nach dem Upgrade können Sie Ihre Logdaten über die Seite Log Analytics abfragen, die SQL unterstützt.
_Required Log-Bucket
Im _Required-Log-Bucket werden Logeinträge gespeichert, die für Compliance- oder Auditzwecke erforderlich sind. Aus diesem Grund können Sie diesen Log-Bucket nicht löschen und auch nicht ändern, welche Logeinträge in diesem Log-Bucket gespeichert werden.
Logeinträge in diesem Log-Bucket werden 400 Tage lang aufbewahrt. Sie können diese Aufbewahrungsdauer nicht ändern.
Die Logeinträge, die im _Required-Log-Bucket für eine Ressource gespeichert sind, stammen auch aus dieser Ressource. Das bedeutet, dass im Log-Bucket _Required in einem Google Cloud Projekt nur Logeinträge gespeichert werden können, die aus diesem Projekt stammen.
Im Log-Bucket _Required werden die folgenden Arten von Logeinträgen gespeichert:
- Audit-Logs zur Administratoraktivität
- Audit-Logs zu Systemereignissen
- Admin-Audit-Logs von Google Workspace
- Audit-Logs zu Unternehmensgruppen
- Audit-Logs für die Anmeldung
_Default Log-Bucket
Der _Default-Log-Bucket enthält Logeinträge, die nicht automatisch im _Required-Log-Bucket gespeichert werden. Da der _Default-Log-Bucket vom System erstellt wird, kann er nicht gelöscht werden. Sie können jedoch festlegen, welche Logeinträge in diesem Log-Bucket gespeichert werden.
In Cloud Logging werden die Logeinträge im _Default-Bucket 30 Tage lang aufbewahrt, es sei denn, Sie konfigurieren die benutzerdefinierte Aufbewahrungsregeln für den Bucket.
In diesem Log-Bucket werden beispielsweise folgende Daten gespeichert:
- Audit-Logs zum Datenzugriff
- Audit-Logs zu Richtlinienverstößen
- Von Anwendungen und Diensten generierte Logs. Google Cloud
Benutzerdefinierte Log-Buckets
In jedemGoogle Cloud -Projekt können Sie benutzerdefinierte Log-Buckets erstellen. Wenn Sie einen benutzerdefinierten Log-Bucket erstellen, wählen Sie den Speicherort aus und legen Sie die Datenaufbewahrungsdauer fest. Sie haben die Möglichkeit, einen vom Kunden verwalteten Verschlüsselungsschlüssel anzugeben.
Sie können benutzerdefinierte Log-Buckets für die Verwendung von Analysen aktualisieren. Nach dem Upgrade können Sie Ihre Logdaten über die Seite Log Analytics abfragen, die SQL unterstützt.
Sie können benutzerdefinierte Log-Buckets ändern und löschen. Wenn Sie verhindern möchten, dass ein Log-Bucket mit Logeinträgen gelöscht wird, die sich noch in der Aufbewahrungsdauer befinden, können Sie den Log-Bucket gegen Aktualisierungen sperren.
Zugriff auf einen Log-Bucket steuern
Mit IAM-Berechtigungen und ‑Rollen wird der Zugriff auf Protokolldaten gesteuert. Sie haben beispielsweise folgende Möglichkeiten:
- Lese- und Bearbeitungszugriff auf einen Protokoll-Bucket gewähren
- Sie können Nutzern mithilfe von Tags Bearbeitungszugriff auf einen Log-Bucket gewähren, der auf der Gruppenmitgliedschaft basiert.
- Sie können den Zugriff auf bestimmte Felder in einem Logeintrag steuern, indem Sie den Zugriff auf Feldebene für einen Log-Bucket konfigurieren.
Sie können Zugriff auf einen Teil der Logeinträge in einem Log-Bucket gewähren, indem Sie eine Logansicht für diesen Log-Bucket erstellen.
Jeder Log-Bucket hat eine Standard-Logansicht, die in der Regel alle Logeinträge im Log-Bucket enthält. Für den Log-Bucket
_Defaultwerden in der Standard-Logansicht keine Datenzugriffs-Logeinträge berücksichtigt.
Um einem Nutzer die Berechtigungen zum Ansehen und Analysieren von Protokolleinträgen zu gewähren, wird in der Regel eine der folgenden IAM-Rollen gewährt:
Rolle Log-Betrachter (
roles/logging.viewer): Gewährt Zugriff auf alle Logeinträge im Bucket_Requiredund auf die Standard-Logansicht im Bucket_Default.Rolle Betrachter privater Logs (
roles/logging.privateLogViewer): Gewährt Zugriff auf alle Logs in den Buckets_Requiredund_Default, einschließlich Logs zum Datenzugriff.
Wenn Sie benutzerdefinierte Protokoll-Buckets oder Protokollansichten in Protokoll-Buckets erstellen, sind zusätzliche Berechtigungen erforderlich. Weitere Informationen zu Rollen finden Sie unter Zugriffssteuerung mit IAM.
Liste der unterstützten Regionen
Log-Buckets sind regionale Ressourcen. Die Infrastruktur, in der Ihre Protokolleinträge gespeichert, indexiert und durchsucht werden, befindet sich an einem bestimmten geografischen Standort. Mit Ausnahme von Log-Buckets in den Regionen global, eu oder us verwaltet Google Cloud die Infrastruktur so, dass Ihre Anwendungen redundant in den Zonen innerhalb der Region des Log-Buckets verfügbar sind.
Die folgenden Regionen werden von Cloud Logging unterstützt:
Global
| Name der Region | Beschreibung der Region |
|---|---|
global |
Protokolle, die in beliebigen Rechenzentren weltweit gespeichert sind. Protokolle können in verschiedene Rechenzentren verschoben werden. Im Gegensatz zu anderen globalen Ressourcen in Google Cloud bieten globale Log-Buckets in Cloud Logging im Vergleich zu einem regionalen Log-Bucket keine zusätzlichen Redundanzgarantien. |
Mehrere Regionen: EU und USA
| Name der Region | Beschreibung der Region |
|---|---|
eu |
Protokolle, die in Rechenzentren innerhalb der Europäischen Union gespeichert werden. Protokolle können in verschiedene Rechenzentren verschoben werden. Es gibt keine zusätzlichen Redundanzgarantien. |
us |
Protokolle, die in Rechenzentren in den USA gespeichert sind. Protokolle können in verschiedene Rechenzentren verschoben werden. Es gibt keine zusätzlichen Redundanzgarantien. |
Afrika
| Name der Region | Beschreibung der Region |
|---|---|
africa-south1 |
Johannesburg |
Nord- und Südamerika
| Name der Region | Beschreibung der Region |
|---|---|
northamerica-northeast1 |
Montreal |
northamerica-northeast2 |
Toronto |
northamerica-south1 |
Mexiko |
southamerica-east1 |
São Paulo |
southamerica-west1 |
Santiago |
us-central1 |
Iowa |
us-east1 |
South Carolina |
us-east4 |
North Virginia |
us-east5 |
Columbus |
us-south1 |
Dallas |
us-west1 |
Oregon |
us-west2 |
Los Angeles |
us-west3 |
Salt Lake City |
us-west4 |
Las Vegas |
Asiatisch-pazifischer Raum
| Name der Region | Beschreibung der Region |
|---|---|
asia-east1 |
Taiwan |
asia-east2 |
Hongkong |
asia-northeast1 |
Tokio |
asia-northeast2 |
Osaka |
asia-northeast3 |
Seoul |
asia-south1 |
Mumbai |
asia-south2 |
Delhi |
asia-southeast1 |
Singapur |
asia-southeast2 |
Jakarta |
australia-southeast1 |
Sydney |
australia-southeast2 |
Melbourne |
Europa
| Name der Region | Beschreibung der Region |
|---|---|
europe-central2 |
Warschau |
europe-north1 |
Finnland |
europe-north2 |
Stockholm |
europe-southwest1 |
Madrid |
europe-west1 |
Belgien |
europe-west2 |
London |
europe-west3 |
Frankfurt |
europe-west4 |
Niederlande |
europe-west6 |
Zürich |
europe-west8 |
Mailand |
europe-west9 |
Paris |
europe-west10 |
Berlin |
europe-west12 |
Turin |
Naher Osten
| Name der Region | Beschreibung der Region |
|---|---|
me-central1 |
Doha |
me-central2 |
Dammam |
me-west1 |
Tel Aviv |
Nächste Schritte
- Daten aus Routenprotokollen
- Logeinträge abfragen und ansehen
- Log-Buckets konfigurieren und verwalten
- Standardeinstellungen für Organisationen und Ordner konfigurieren