Neste documento, descrevemos como definir as configurações de recursos padrão do Logging usando a Google Cloud CLI. As configurações de recursos padrão, que podem ser aplicadas a uma organização ou a uma pasta, determinam o seguinte:
Define se a CMEK é necessária para novos buckets de registros.
O local de armazenamento, que determina o seguinte:
Onde os buckets de registro
_Defaulte_Requiredsão armazenados.Onde são armazenadas as consultas nas páginas Análise de registros ou Análise de registros, especificamente as consultas recentes e as consultas salvas por um membro do projeto do Google Cloud.
Se o coletor
_Defaultestá ativado ou desativado.O filtro aplicado ao coletor
_Defaultde novos recursos.
Visão geral
O recurso da organização está no nível mais alto da hierarquia de recursos do Google Cloud. O recurso da organização é o pai destes recursos filhos: projetos, pastas, contas de faturamento do Google Cloud e, em relação ao Logging, buckets.
É possível configurar o Logging para usar as configurações de recursos padrão em uma organização do Google Cloud e em pastas. Quando você cria novos recursos, eles herdam as configurações padrão do pai.
O Cloud Logging é compatível com as seguintes configurações de recurso padrão:
Se os novos buckets de registro em um recurso serão criptografados com uma chave gerenciada pelo cliente e, em caso afirmativo, a chave padrão do Cloud KMS a ser usada para criptografia.
Se você configurar a CMEK para um recurso, também precisará definir o local de armazenamento padrão para os novos buckets
_Defaulte_Requiredcriados por recursos filhos.O local de armazenamento para novos buckets
_Defaulte_Requirede consultas nas páginas Análise de registros ou Análise de registros. Esse local de armazenamento permite controlar onde os registros são armazenados.Se você definir um local de armazenamento padrão para um recurso e não configurar CMEK para esse recurso, os novos buckets de registro no recurso não precisarão de CMEK.
Se o coletor de registros
_Defaultestá ativado ou desativado para novos projetos no recurso.Os filtros de inclusão ou de exclusão que são aplicados a todos os novos coletores
_Defaultnos recursos filhos.
Exemplos de configuração:
Você configura um local de armazenamento padrão para uma organização. Para novos projetos na organização, os buckets
_Defaulte_Requiredsão criados no local especificado.Você configura um local de armazenamento padrão para uma organização e um local de armazenamento padrão para cada pasta nessa organização. Para novos projetos que estão em uma pasta, os buckets
_Defaulte_Requiredsão criados no local especificado pelas configurações da pasta. Para projetos que não estão em uma pasta, os buckets_Defaulte_Requiredsão criados no local especificado pelas configurações da organização.Configure um local de armazenamento padrão em que todas as consultas na Análise de registros são armazenadas. Isso inclui consultas recentes que são salvas automaticamente após a execução e consultas salvas por membros do projeto do Google Cloud.
Configure a CMEK para uma organização e, para a pasta chamada
Non-CMEK, defina apenas o local de armazenamento padrão. Se você criar um projeto que não esteja na pastaNon-CMEK, os buckets_Defaulte_Requiredserão criados no mesmo local que a chave do Cloud Key Management Service. Esses buckets de registro serão criptografados por essa chave. No entanto, se você criar um novo projeto na pastaNon-CMEK, os buckets de registros serão criados nos locais especificados pela configuração dessa pasta e não serão criptografados pela CMEK.Você configura um filtro de exclusão que se aplica a novos coletores
_Defaultno nível da organização. O filtro exclui os registros de auditoria de acesso a dados de serem roteados por meio do coletor_Defaultem todos os recursos filhos, o que impede que eles sejam armazenados no bucket_Default.
Antes de começar
Este documento não contém informações sobre como configurar a CMEK como uma configuração de recurso padrão para o Logging. Para informações sobre esse tópico, consulte Configurar CMEK para geração de registros.
Para começar a definir as configurações de recursos padrão do Logging, faça o seguinte:
Instale a Google Cloud CLI e inicialize-a executando o seguinte comando:
gcloud init
Verifique se você tem as seguintes permissões do Cloud Logging para a organização:
logging.settings.getlogging.settings.update
Entenda os requisitos de formatação do
LogBucket, incluindo os locais compatíveis em que é possível armazenar seus registros. Para uma lista dos locais de armazenamento compatíveis com buckets de registros, consulte Regionalidade de dados: regiões compatíveis.Encontre os identificadores da organização ou a pasta em que você quer definir as configurações de recursos padrão:
- ORGANIZATION_ID é o identificador numérico exclusivo da organização do Google Cloud. Esse valor não é necessário se você só planeja definir uma configuração de recurso padrão para uma pasta. Para informações sobre como conseguir esse identificador, consulte Como conseguir o ID da organização.
- FOLDER_ID é o identificador numérico exclusivo da pasta do Google Cloud. Esse valor não é necessário se você só planeja definir uma configuração de recurso padrão para uma organização. Para mais informações sobre o uso de pastas, consulte Como criar e gerenciar pastas.
- LOCATION é o local onde você quer armazenar os dados de registro.
Ver as configurações de recursos padrão do Logging
Para ver as configurações de recursos padrão do Logging,
incluindo o local de armazenamento padrão, use o
comando
gcloud logging settings describe:
PASTA
gcloud logging settings describe --folder=FOLDER_ID
ORGANIZAÇÃO
gcloud logging settings describe --organization=ORGANIZATION_ID
O comando anterior retorna informações sobre as configurações de recursos padrão. Por exemplo, veja abaixo as configurações de recursos padrão de uma organização específica:
name: organizations/ORGANIZATION_ID/settings kmsKeyName: KMS_KEY_NAME kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com storageLocation: europe-west1 disableDefaultSink: false
O valor de SERVICE_ACCT_NAME pode ter o formato cmek-12345 ou
service-12345@.... Se não for possível usar a Google Cloud CLI, execute o
método getSettings da API Cloud Logging.
Definir o local de armazenamento padrão
Buckets de registros são os contêineres nos seus projetos, contas de faturamento, pastas e organizações do Google Cloud que armazenam e organizam os dados de registro. Para cada projeto, conta de faturamento, pasta e organização do Google Cloud, o Logging cria automaticamente dois buckets de registro: _Required e _Default, que são armazenados automaticamente em um local global não especificado.
É possível especificar um local de armazenamento para os buckets _Required e _Default contidos por uma organização ou pasta modificando as configurações de recurso padrão do Logging. Esse local também determina onde as consultas nas páginas Análise de registros e Análise de registros são armazenadas. Isso inclui consultas recentes salvas automaticamente
após a execução e consultas salvas por membros do projeto do Google Cloud.
Para uma lista dos locais de armazenamento compatíveis, consulte Regiões compatíveis.
Depois de configurar o local de armazenamento padrão de uma organização, acontece o seguinte:
Os buckets
_Requirede_Defaultatuais nessa organização ou pasta mantêm o local de armazenamento atribuído a eles no momento em que foram criados.Para recursos filhos criados na organização ou na pasta após a configuração do local de armazenamento padrão, os buckets
_Requirede_Defaultherdam o local de armazenamento padrão.As consultas atuais da Análise de registros ou da Análise de registros mantêm o local de armazenamento atual.
As novas consultas da Análise de registros ou da Análise de registros que você salva após a configuração do local de armazenamento padrão usam o local de armazenamento padrão. Esse local também se aplica a consultas recentes salvas automaticamente.
O local de armazenamento padrão do Cloud Logging se aplica
apenas aos buckets de registro _Default e _Required e a consultas
nas páginas Análise de registros ou Análise de registros. Essas consultas incluem
consultas que são salvas automaticamente após a execução e consultas salvas por
membros do projeto do Google Cloud. Isso não se aplica a buckets de registro definidos pelo usuário ou a consultas salvas usando a API Logging, já que um local precisa ser especificado na solicitação.
Configurar as políticas da organização
O Logging é compatível com políticas da organização que podem restringir onde os dados podem ser armazenados. Se houver uma política assim para sua organização, só será possível criar buckets de registros em locais permitidos por ela.
Quando existe uma política da organização que especifica uma restrição de local, os valores da política para a restrição precisam incluir o local especificado nas configurações de recurso padrão do Logging. Além disso, se você planeja modificar as configurações padrão de recursos, revise e, se necessário, atualize as políticas da organização antes de atualizá-las.
Para ver ou atualizar as políticas da organização, faça o seguinte:
-
No console do Google Cloud, acesse a página Políticas da organização:
Acessar Políticas da organização
Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo IAM e administrador.
Selecione a organização.
Confira e, se necessário, atualize a restrição com o ID
constraints/gcp.resourceLocations. Se essa restrição não for configurada, não será necessária uma atualização.Para informações sobre como visualizar restrições específicas e como editá-las, consulte Como criar e editar políticas.
Configurar o local de armazenamento padrão do Logging
Para configurar o local de armazenamento padrão do Cloud Logging, execute o comando gcloud logging settings update e inclua a sinalização --storage-location:
PASTA
gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION
ORGANIZAÇÃO
gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION
Se não for possível usar a Google Cloud CLI, execute o
método updateSettings da API Cloud Logging.
Para informações sobre como resolver erros ao atualizar o local de armazenamento padrão, consulte Resolver problemas ao configurar o local de recurso padrão.
Configurar o coletor _Default
O Logging fornece um coletor _Default predefinido para cada projeto do Google Cloud, conta de faturamento, pasta e recurso da organização. Qualquer registro gerado no recurso que corresponder ao filtro de inclusão e que não for excluído será roteado para o bucket _Default predefinido do recurso, com o nome correspondente.
É possível definir configurações de recursos padrão para o coletor _Default da sua organização e pastas com as seguintes opções:
É possível desativar o coletor
_Defaultpara todos os recursos filhos.É possível configurar um filtro de inclusão ou vários filtros de exclusão que se aplicam aos coletores
_Defaultde novos projetos.
Desativar o coletor _Default
É possível desativar a criação de coletores _Default para todos os novos recursos em uma organização ou pasta. Desativar os coletores _Default impede que os registros sejam armazenados no bucket _Default do recurso.
Se você parar de armazenar registros no bucket _Default de um recurso, os registros que teriam sido roteados para esse bucket serão excluídos do armazenamento no Logging, a menos que eles sejam explicitamente incluídos em outro coletor definido pelo usuário para esse recurso.
Para desativar os coletores _Default de um recurso e de qualquer recurso filho, execute o comando gcloud logging settings update a seguir:
PASTA
gcloud logging settings update --folder=FOLDER_ID--disable-default-sink
ORGANIZAÇÃO
gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink
A sinalização disable-default-sink se aplica apenas ao coletor _Default que roteia
registros para o bucket _Default.
É possível reativar os coletores _Default executando o seguinte comando gcloud logging settings update:
PASTA
gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink
ORGANIZAÇÃO
gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink
Configurar o filtro padrão de _Default coletores
O coletor _Default predefinido encaminha todos os registros que correspondem aos critérios do coletor para o bucket _Default correspondente. É possível usar
filtros de inclusão
e filtros de exclusão para configurar
quais registros serão incluídos e excluídos em novos coletores _Default em uma organização
ou pasta.
O filtro de inclusão pode ser substituído ou anexado ao filtro do coletor _Default, e os filtros de exclusão são anexados porque o coletor _Default não tem filtros de exclusão por padrão.
Para especificar um filtro de inclusão ou de exclusão aplicado a todos os coletores _Default de novos recursos em uma organização ou pasta, execute o método updateSettings da API Cloud Logging com o objeto defaultSinkConfig. Só é possível definir o filtro padrão de coletores _Default usando a API Logging.
É possível executar o método updateSettings usando o widget do APIs Explorer na página de referência do método. O
exemplo a seguir ilustra uma amostra de parâmetros:
- nome (URL):
organizations/ORGANIZATION_ID/settings - updateMask:
"default_sink_config" Corpo da solicitação, que contém uma instância de
Settings:"defaultSinkConfig": { { "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ", "exclusions": [ { "name": "exclude-data-access", "description": "Prevents Data Access audit logs from being routed", "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")", } ], "mode": OVERWRITE } }
O exemplo anterior faz o seguinte:
Substitui o filtro de inclusão do coletor
_Defaultpara incluir registros de auditoria de atividades do administrador, que são excluídos por padrão.Anexa um filtro de exclusão que impede que os registros de auditoria de acesso a dados sejam roteados para o bucket
_Default.
Resolver problemas de configuração
Saiba mais sobre solução de problemas em Resolver problemas de CMEK e erros de configuração padrão.