Dokumen ini memperkenalkan bucket log, yang merupakan penampung yang digunakan Cloud Logging untuk menyimpan data log Anda. File ini memberikan informasi tentang lokasi, pengelolaan kunci enkripsi, dan retensi data untuk bucket log. Halaman ini juga menyoroti tempat Anda dapat menggunakan kebijakan organisasi atau setelan resource default untuk mengontrol lokasi dan enkripsi untuk bucket log baru di folder atau organisasi.
Tentang bucket log
Secara default, Cloud Logging mengenkripsi konten pelanggan yang disimpan dalam penyimpanan. Data yang disimpan di bucket log oleh Logging dienkripsi menggunakan kunci enkripsi kunci, proses yang dikenal sebagai enkripsi amplop. Akses ke data logging Anda memerlukan akses ke kunci enkripsi kunci tersebut. Secara default, ini adalah Google-owned and Google-managed encryption keys dan tidak memerlukan tindakan apa pun dari Anda.
Organisasi Anda mungkin memiliki persyaratan enkripsi lanjutan, terkait kepatuhan, atau peraturan yang tidak disediakan oleh enkripsi dalam penyimpanan default kami. Untuk memenuhi persyaratan organisasi, Anda dapat mengelola kunci sendiri, bukan menggunakan Google-owned and Google-managed encryption keys.
Bucket log adalah resource regional dengan lokasi tetap. Google Cloud mengelola infrastruktur tersebut sehingga aplikasi Anda tersedia secara redundan di seluruh zona dalam region tersebut.
Periode retensi untuk data yang disimpan oleh bucket log bergantung pada bucket log. Dokumen ini berisi informasi tentang retensi data.
Anda dapat membuat tampilan log di bucket log. Tampilan log hanya memberikan akses ke sebagian data log yang disimpan di bucket log. Untuk setiap bucket log, Cloud Logging otomatis membuat satu tampilan log yang memberikan akses ke setiap entri log dalam bucket log. Anda dapat mengontrol akses ke tampilan log menggunakan Identity and Access Management (IAM).
Untuk membuat kueri dan melihat data log, gunakan Logs Explorer. Halaman ini membantu Anda memecahkan masalah dan menganalisis performa layanan dan aplikasi. Anda dapat melihat setiap entri log dan memfilter data log. Antarmuka ini memiliki setelan cakupan, yang memungkinkan Anda menelusuri data log berdasarkan project, bucket log, atau tampilan log.
Untuk mempelajari lebih lanjut, lihat Mengkueri dan melihat entri log.
Dukungan untuk organisasi dan folder
Untuk membantu organisasi Anda memenuhi kebutuhan kepatuhan dan peraturan, logging mendukung kebijakan organisasi dan setelan resource default:
Setelan resource default menentukan lokasi dan cara kunci enkripsi dikelola untuk bucket log buatan sistem saat resource baru dibuat di folder atau organisasi. Misalnya, Anda dapat memaksa bucket log buatan sistem ini berada di lokasi tertentu.
Kebijakan organisasi dapat membatasi lokasi bucket log baru yang ditentukan pengguna. Logging mendukung kebijakan organisasi yang menentukan region tempat bucket log dapat, atau tidak dapat, dibuat.
Bucket log yang dibuat sistem
Untuk setiap Google Cloud project, akun penagihan, folder, atau organisasi, Cloud Logging membuat dua bucket log, satu bernama _Required dan yang lainnya bernama _Default. Kecuali jika setelan resource default dikonfigurasi, untuk bucket log ini, bucket ini memilikiGoogle-owned and Google-managed encryption keys dan Cloud Logging memilih lokasinya.
Anda tidak dapat menghapus bucket log yang dibuat sistem.
Bucket log _Required
Bucket log _Required menyimpan entri log yang diperlukan untuk tujuan kepatuhan atau audit. Karena alasan ini, Anda tidak dapat menghapus bucket log ini dan tidak dapat mengubah entri log yang disimpan di bucket log ini.
Entri log di bucket log ini disimpan selama 400 hari; Anda tidak dapat mengubah periode retensi ini.
Entri log yang disimpan di bucket log _Required untuk resource juga berasal dari resource tersebut. Artinya, bucket log _Required dalam project Google Cloud hanya dapat menyimpan entri log yang berasal dari project tersebut.
Bucket log _Required menyimpan jenis entri log berikut:
- Log audit Aktivitas Admin
- Log audit Peristiwa Sistem
- Log audit Admin Google Workspace
- Log audit Enterprise Groups
- Log audit Login
Bucket log _Default
Bucket log _Default menyimpan entri log yang tidak otomatis
disimpan di bucket log _Required. Karena bucket log _Default dibuat oleh sistem, Anda tidak dapat menghapusnya. Namun, Anda dapat mengubah entri log yang disimpan di bucket log ini.
Cloud Logging mempertahankan entri log di bucket _Default selama 30 hari, kecuali jika Anda mengonfigurasi retensi kustom untuk bucket.
Misalnya, bucket log ini menyimpan:
- Log audit Akses Data.
- Log audit Kebijakan Ditolak.
- Log yang dihasilkan oleh aplikasi dan Google Cloud layanan.
Bucket log yang ditentukan pengguna
Anda dapat membuat bucket log yang ditentukan pengguna di projectGoogle Cloud mana pun. Saat membuat bucket log yang ditentukan pengguna, Anda memilih lokasi dan menetapkan periode retensi data. Anda memiliki opsi untuk memberikan kunci enkripsi yang dikelola pelanggan.
Anda dapat mengubah dan menghapus bucket log yang ditentukan pengguna. Untuk mencegah penghapusan log bucket yang menyimpan entri log yang berada dalam periode retensinya, Anda dapat mengunci bucket log agar tidak dapat diperbarui.
Mengontrol akses ke bucket log
Peran dan izin IAM mengontrol akses ke data log. Misalnya, Anda dapat melakukan semua hal berikut:
- Berikan akses baca dan edit ke bucket log.
- Berikan akses edit ke bucket log berdasarkan keanggotaan grup dengan menggunakan tag.
- Kontrol akses ke kolom tertentu dalam entri log dengan mengonfigurasi akses tingkat kolom di bucket log.
Berikan akses ke sebagian entri log di bucket log dengan membuat tampilan log di bucket log tersebut.
Setiap bucket log memiliki tampilan log default, yang biasanya menyertakan setiap entri log dalam bucket log. Untuk bucket log
_Default, tampilan log default mengecualikan entri log akses data.
Untuk memberi pengguna izin yang diperlukan untuk melihat dan menganalisis entri log, biasanya salah satu peran IAM berikut diberikan:
Peran Logs Viewer (
roles/logging.viewer): Memberikan akses ke semua entri log di bucket_Required, dan akses ke tampilan log default di bucket_Default.Peran Private Logs Viewer (
roles/logging.privateLogViewer): Memberikan akses ke semua log di bucket_Requireddan_Default, termasuk log akses data.
Jika Anda membuat bucket log atau tampilan log yang ditentukan pengguna di bucket log, izin tambahan diperlukan. Untuk mengetahui informasi selengkapnya tentang peran, lihat Kontrol akses dengan IAM.
Daftar region yang didukung
Bucket log adalah resource regional. Infrastruktur yang menyimpan,
mengindeks, dan menelusuri entri log Anda terletak di lokasi geografis
tertentu. Dengan pengecualian bucket log di region global, eu, atau us, Google Cloud mengelola infrastruktur sehingga aplikasi Anda tersedia secara redundan di seluruh zona dalam region bucket log.
Wilayah berikut didukung oleh Cloud Logging:
Global
| Nama region | Deskripsi region |
|---|---|
global |
Log yang disimpan di pusat data mana pun di dunia. Log mungkin dipindahkan ke pusat data yang berbeda. Tidak seperti resource global lainnya di Google Cloud, bucket log global di Cloud Logging tidak memberikan jaminan redundansi tambahan dibandingkan dengan bucket log regional. |
Multi-region: Uni Eropa dan Amerika Serikat
| Nama region | Deskripsi region |
|---|---|
eu |
Log yang disimpan di pusat data mana pun dalam Uni Eropa. Log mungkin dipindahkan ke pusat data yang berbeda. Tidak ada jaminan redundansi tambahan. |
us |
Log yang disimpan di pusat data mana pun di Amerika Serikat. Log mungkin dipindahkan ke pusat data yang berbeda. Tidak ada jaminan redundansi tambahan. |
Afrika
| Nama region | Deskripsi region |
|---|---|
africa-south1 |
Johannesburg |
Amerika
| Nama region | Deskripsi region |
|---|---|
northamerica-northeast1 |
Montréal |
northamerica-northeast2 |
Toronto |
northamerica-south1 |
Meksiko |
southamerica-east1 |
Sao Paulo |
southamerica-west1 |
Santiago |
us-central1 |
Iowa |
us-east1 |
Carolina Selatan |
us-east4 |
Virginia Utara |
us-east5 |
Columbus |
us-south1 |
Dallas |
us-west1 |
Oregon |
us-west2 |
Los Angeles |
us-west3 |
Salt Lake City |
us-west4 |
Las Vegas |
Asia Pasifik
| Nama region | Deskripsi region |
|---|---|
asia-east1 |
Taiwan |
asia-east2 |
Hong Kong |
asia-northeast1 |
Tokyo |
asia-northeast2 |
Osaka |
asia-northeast3 |
Seoul |
asia-south1 |
Mumbai |
asia-south2 |
Delhi |
asia-southeast1 |
Singapura |
asia-southeast2 |
Jakarta |
australia-southeast1 |
Sydney |
australia-southeast2 |
Melbourne |
Eropa
| Nama region | Deskripsi region |
|---|---|
europe-central2 |
Warsawa |
europe-north1 |
Finlandia |
europe-north2 |
Stockholm |
europe-southwest1 |
Madrid |
europe-west1 |
Belgia |
europe-west2 |
London |
europe-west3 |
Frankfurt |
europe-west4 |
Belanda |
europe-west6 |
Zurich |
europe-west8 |
Milan |
europe-west9 |
Paris |
europe-west10 |
Berlin |
europe-west12 |
Turin |
Timur Tengah
| Nama region | Deskripsi region |
|---|---|
me-central1 |
Doha |
me-central2 |
Dammam |
me-west1 |
Tel Aviv |
Langkah berikutnya
- Data log rute.
- Membuat kueri dan melihat entri log.
- Mengonfigurasi dan mengelola bucket log.
- Mengonfigurasi setelan default untuk organisasi dan folder.