Este documento apresenta os buckets de registro, que são os contêineres que o Cloud Logging usa para armazenar os dados de registro. Ele fornece informações sobre o local, o gerenciamento da chave de criptografia e a retenção de dados para buckets de registro. Ele também destaca onde é possível usar políticas da organização ou configurações de recursos padrão para controlar o local e a criptografia de novos buckets de registro em pastas ou organizações.
Sobre os buckets de registro
Por padrão, o Cloud Logging criptografa o conteúdo do cliente armazenado em repouso. Os dados armazenados em buckets de registro pelo Logging são criptografados usando chaves de criptografia de chaves, um processo conhecido como criptografia de envelope. Para acessar os dados de registro, é preciso ter acesso a essas chaves de criptografia de chaves. Por padrão, eles são Google-owned and Google-managed encryption keys e não exigem nenhuma ação da sua parte.
Sua organização pode ter requisitos de criptografia regulamentares, relacionados à conformidade ou avançados que nossa criptografia em repouso padrão não oferece. Para atender aos requisitos da sua organização, em vez de usar Google-owned and Google-managed encryption keys, você pode gerenciar suas próprias chaves.
Os buckets de registro são recursos regionais com um local fixo.O Google Cloud gerencia essa infraestrutura para que seus aplicativos estejam disponíveis de maneira redundante nas zonas dessa região.
O período de armazenamento dos dados armazenados por um bucket de registros depende do bucket de registros. Este documento contém informações sobre a retenção de dados.
É possível criar visualizações de registros em um bucket de registros. Uma visualização de registro fornece acesso apenas a um subconjunto dos dados de registro armazenados em um bucket de registros. Para cada bucket de registros, o Cloud Logging cria automaticamente uma visualização de registro que fornece acesso a todas as entrada de registro no bucket de registros. Você controla o acesso a uma visualização de registro usando o Identity and Access Management (IAM).
Para consultar e visualizar os dados de registro, use o Explorador de registros ou as páginas do Log Analytics do console Google Cloud :
A página "Explorador de registros" ajuda a resolver problemas e analisar o desempenho dos seus serviços e aplicativos. É possível conferir entradas de registro individuais e filtrar os dados de registro. Essa interface tem uma configuração de escopo, que permite pesquisar dados de registro por projeto, bucket de registros ou visualização de registro.
A página "Análise de registros" oferece uma interface SQL que permite realizar análises agregadas nos dados de registro armazenados em um bucket de registros atualizado para usar a Análise de dados. Por exemplo, use essa interface para calcular e criar gráficos de tendências. É possível consultar visualizações de registro e visualizações de análise.
Para saber mais, consulte Consultar e visualizar entradas de registro.
Suporte a organizações e pastas
Para ajudar sua organização a atender às necessidades de compliance e regulamentares, o registro oferece suporte a políticas da organização e configurações padrão de recursos:
As configurações de recursos padrão especificam o local e como as chaves de criptografia são gerenciadas para buckets de registro criados pelo sistema quando novos recursos são criados em uma pasta ou organização. Por exemplo, é possível forçar esses buckets de registro criados pelo sistema a ficarem em um local específico.
Uma política da organização pode restringir o local de novos buckets de registro definidos pelo usuário. O registro de acessos oferece suporte a políticas da organização que especificam regiões em que os buckets de registro podem ou não ser criados.
Buckets de registro criados pelo sistema
Para cada Google Cloud projeto, conta de faturamento, pasta ou organização,
o Cloud Logging cria dois buckets de registro, um chamado _Required e o
outro _Default. A menos que as configurações de recursos padrão
sejam configuradas, para esses buckets de registro, eles têm
Google-owned and Google-managed encryption keys e o Cloud Logging seleciona o
local deles.
Não é possível excluir os buckets de registro criados pelo sistema.
É possível fazer upgrade dos buckets de registros criados pelo sistema para usar a Análise de dados de registros. Com esse upgrade, você pode consultar seus dados de registro usando a página Análise de dados de registros, que é compatível com SQL.
Bucket de registro _Required
O bucket de registros _Required armazena entradas de registro necessárias para fins de compliance
ou auditoria. Por esse motivo, não é possível excluir esse bucket de registros nem
modificar as entradas de registro armazenadas nele.
As entradas de registro neste bucket são retidas por 400 dias. Não é possível mudar esse período de armazenamento.
As entradas de registro armazenadas no bucket de registros _Required de um recurso
também são originadas nesse recurso. Ou seja, o bucket de registros _Required em um projeto Google Cloud só pode armazenar entradas de registro originadas nesse projeto.
O bucket de registros _Required armazena os seguintes tipos de entradas de registro:
- Registros de auditoria de atividade do administrador
- Registros de auditoria de eventos do sistema
- Registros de auditoria do administrador do Google Workspace
- Registros de auditoria do Grupos do Google Enterprise
- Registros de auditoria de login
Bucket de registro _Default
O bucket de registros _Default armazena entradas de registro que não são armazenadas automaticamente no bucket de registros _Required. Como o bucket de registros _Default é
criado pelo sistema, não é possível excluí-lo. No entanto, é possível
modificar quais entradas de registro são armazenadas nesse bucket de registros.
O Cloud Logging retém as entradas de registro no bucket _Default por 30 dias, a menos que você configure a retenção personalizada para o bucket.
Por exemplo, este bucket de registros armazena:
- Registros de auditoria de acesso a dados.
- Registros de auditoria de política negada.
- Registros gerados por aplicativos e Google Cloud serviços.
Buckets de registros definidos pelo usuário
É possível criar buckets de registro definidos pelo usuário em qualquer projeto doGoogle Cloud . Ao criar um bucket de registros definido pelo usuário, você seleciona o local e define o período de retenção de dados. Você tem a opção de fornecer uma chave de criptografia gerenciada pelo cliente.
É possível fazer upgrade de buckets de registros definidos pelo usuário para usar a Análise de dados de registros. Com esse upgrade, você pode consultar seus dados de registro usando a página Análise de dados de registros, que é compatível com SQL.
É possível modificar e excluir buckets de registros definidos pelo usuário. Para proteger contra a exclusão de um bucket de registros que armazena entradas de registro dentro do período de armazenamento, bloqueie o bucket de registros contra atualizações.
Controlar o acesso a um bucket de registros
As permissões e os papéis do IAM controlam o acesso aos dados de registro. Por exemplo, é possível fazer o seguinte:
- Conceder acesso de leitura e edição a um bucket de registros.
- Conceda acesso de edição a um bucket de registros com base na associação a grupos usando tags.
- Controle o acesso a campos específicos em uma entrada de registro configurando o acesso no nível do campo em um bucket de registro.
Conceda acesso a um subconjunto de entradas de registro em um bucket de registros criando uma visualização de registro nesse bucket.
Cada bucket de registros tem uma visualização de registro padrão, que normalmente inclui todas as entrada de registro no bucket de registros. Para o bucket de registros
_Default, a visualização de registro padrão exclui as entradas de registro de acesso a dados.
Para conceder a um usuário as permissões necessárias para visualizar e analisar entradas de registro, normalmente um dos seguintes papéis do IAM é concedido:
Função Visualizador de registros (
roles/logging.viewer): concede acesso a todas as entradas de registro no bucket_Requirede acesso à visualização de registro padrão no bucket_Default.Função Leitor de registros particulares (
roles/logging.privateLogViewer): concede acesso a todos os registros nos buckets_Requirede_Default, incluindo registros de acesso a dados.
Se você criar visualizações de registro ou buckets de registro definidos pelo usuário, permissões adicionais serão necessárias. Para mais informações sobre papéis, consulte Controle de acesso com o IAM.
Lista de regiões com suporte
Os buckets de registro são recursos regionais. A infraestrutura que armazena,
indexa e pesquisa suas entradas de registro está localizada em um local geográfico
específico. Com exceção dos buckets de registro nas regiões global, eu ou us, o Google Cloud gerencia a infraestrutura para que seus aplicativos estejam disponíveis de maneira redundante nas zonas da região do bucket de registros.
As seguintes regiões são compatíveis com o Cloud Logging:
Global
| Nome da região | Descrição da região |
|---|---|
global |
Registros armazenados em qualquer data center do mundo. Os registros podem ser movidos para diferentes data centers. Ao contrário de outros recursos globais no Google Cloud, os buckets de registros globais no Cloud Logging não oferecem garantias de redundância adicionais em comparação com um bucket de registros regional. |
Multirregiões: UE e EUA
| Nome da região | Descrição da região |
|---|---|
eu |
Registros armazenados em qualquer data center na União Europeia. Os registros podem ser movidos para data centers diferentes. Nenhuma garantia de redundância. |
us |
Registros armazenados em qualquer data center nos Estados Unidos. Os registros podem ser movidos para data centers diferentes. Nenhuma garantia de redundância. |
África
| Nome da região | Descrição da região |
|---|---|
africa-south1 |
Johannesburgo |
Américas
| Nome da região | Descrição da região |
|---|---|
northamerica-northeast1 |
Montreal |
northamerica-northeast2 |
Toronto |
northamerica-south1 |
México |
southamerica-east1 |
São Paulo |
southamerica-west1 |
Santiago |
us-central1 |
Iowa |
us-east1 |
Carolina do Sul |
us-east4 |
Virgínia do Norte |
us-east5 |
Columbus |
us-south1 |
Dallas |
us-west1 |
Oregon |
us-west2 |
Los Angeles |
us-west3 |
Salt Lake City |
us-west4 |
Las Vegas |
Ásia-Pacífico
| Nome da região | Descrição da região |
|---|---|
asia-east1 |
Taiwan |
asia-east2 |
Hong Kong |
asia-northeast1 |
Tóquio |
asia-northeast2 |
Osaka |
asia-northeast3 |
Seul |
asia-south1 |
Mumbai |
asia-south2 |
Délhi |
asia-southeast1 |
Singapura |
asia-southeast2 |
Jacarta |
australia-southeast1 |
Sydney |
australia-southeast2 |
Melbourne |
Europa
| Nome da região | Descrição da região |
|---|---|
europe-central2 |
Varsóvia |
europe-north1 |
Finlândia |
europe-north2 |
Estocolmo |
europe-southwest1 |
Madri |
europe-west1 |
Bélgica |
europe-west2 |
Londres |
europe-west3 |
Frankfurt |
europe-west4 |
Países Baixos |
europe-west6 |
Zurique |
europe-west8 |
Milão |
europe-west9 |
Paris |
europe-west10 |
Berlim |
europe-west12 |
Turim |
Oriente Médio
| Nome da região | Descrição da região |
|---|---|
me-central1 |
Doha |
me-central2 |
Damã |
me-west1 |
Tel Aviv |
A seguir
- Dados de registro de rota.
- Consultar e visualizar entradas de registro.
- Configurar e gerenciar buckets de registros.
- Definir configurações padrão para organizações e pastas.