Standardeinstellungen für Organisationen und Ordner konfigurieren

In diesem Dokument wird beschrieben, wie Sie Standardeinstellungen für Logging mit der Google Cloud CLI Standardeinstellungen, die auf eine Organisation angewendet werden können oder einem Ordner Folgendes ermitteln kann:

• Ob ein vom Kunden verwalteter Verschlüsselungsschlüssel (CMEK) erforderlich ist für Log-Buckets hinzufügen.

• Der Speicherort für neue Buckets _Default und _Required sowie für Abfragen, die auf den Seiten Log-Explorer oder Loganalysen ausgeführt werden.

• Gibt an, ob die Senke _Default aktiviert oder deaktiviert ist.

• Der Filter, der auf die Senke _Default neuer Ressourcen angewendet wird.

Übersicht

Die Organisationsressource befindet sich auf der obersten Ebene der Google Cloud-Ressourcenhierarchie: Die Organisationsressource ist diesen untergeordneten Ressourcen übergeordnet: Google Cloud-Projekte, Ordner, Rechnungskonten und in Bezug auf Logging, Log-Buckets

Sie können Logging so konfigurieren, dass Standardeinstellungen für für eine Google Cloud-Organisation und für Ordner. Wenn Sie neue übernehmen diese Ressourcen die Standardeinstellungen ihrer Parent.

Cloud Logging unterstützt die folgenden Standardeinstellungen:

• Gibt an, ob neue Log-Buckets in einer Ressource mit verschlüsselt werden sollen einen vom Kunden verwalteten Schlüssel und, falls ja, den Cloud KMS-Standardschlüssel für die Sie für die Verschlüsselung verwenden können.

• Der Speicherort für neue _Default- und _Required-Log-Buckets die von untergeordneten Ressourcen erstellt wurden, sowie für Abfragen, die auf den Seiten Log-Explorer oder Loganalysen gespeichert wurden. Durch Festlegen des Speicherorts können Sie Sie legen fest, wo Ihre Logs gespeichert werden.

  Wenn Sie einen Standardspeicherort für eine Ressource festlegen und nicht CMEK für diese Ressource haben, benötigen neue Log-Buckets in der Ressource keinen CMEK

• Ob der _Default-Log-Sink für neue Projekte in der Ressource aktiviert oder deaktiviert ist.

• Einschluss- oder Ausschlussfilter, die auf alle neuen _Default senkt sich in den untergeordneten Ressourcen.

Beispielkonfigurationen:

• Sie konfigurieren einen Standardspeicherort für eine Organisation. Für neue Projekte in der Organisation: _Default und _Required Log-Buckets werden am angegebenen Speicherort erstellt. Abfragen, die auf den Seiten Log-Explorer oder Loganalysen gespeichert wurden, an dem angegebenen Ort. Diese Abfragen umfassen die letzten Abfragen, nach der Ausführung automatisch gespeichert werden, und Abfragen, die von Mitgliedern der Google Cloud-Projekt

• Sie konfigurieren einen Standardspeicherort für eine Organisation und einen Standardspeicherort für jeden Ordner in dieser Organisation konfigurieren. Bei neuen Projekten, die sich in einem Ordner befinden, die Buckets _Default und _Required werden an dem Ort erstellt, der in den Ordnereinstellungen angegeben ist. Für Projekte die sich nicht in einem Ordner befinden, ihre _Default- und _Required-Buckets werden an dem Ort erstellt, der in den Einstellungen der Organisation angegeben ist.

• Sie konfigurieren einen CMEK für eine Organisation und für den Ordner Non-CMEK legen Sie nur den Standardspeicherort fest. Wenn Sie ein Projekt erstellen die sich nicht im Ordner Non-CMEK befindet, Die Buckets _Default und _Required werden am selben Standort erstellt wie der Cloud Key Management Service-Schlüssel und diese Log-Buckets werden mit diesem Schlüssel verschlüsselt. Wenn Sie jedoch ein neues Projekt im Ordner Non-CMEK erstellen, Ihre Log-Buckets werden an den Speicherorten erstellt, die in den und diese Log-Buckets werden nicht durch CMEK verschlüsselt.

• Sie konfigurieren einen Ausschlussfilter, der auf neue _Default-Senken auf Organisationsebene angewendet wird. Durch den Filter werden Audit-Logs zum Datenzugriff ausgeschlossen, durch die Senke _Default in allen untergeordneten Ressourcen geleitet. Dadurch wird verhindert, Die Audit-Logs zum Datenzugriff können nicht im Bucket _Default gespeichert werden.

Hinweise

Dieses Dokument enthält keine Informationen zum Konfigurieren eines CMEK als Standardeinstellung für Logging. Informationen zu diesem Thema finden Sie unter CMEK für Logging konfigurieren

Erste Schritte beim Konfigurieren der Standardeinstellungen Gehen Sie für Logging so vor:

1. Install the Google Cloud CLI, then initialize it by running the following command:

   gcloud init

2. Stellen Sie sicher, dass Ihre Identity and Access Management-Rolle in der Organisation oder dem Ordner, dessen die Standardeinstellungen, die Sie konfigurieren möchten, folgende Cloud Logging-Berechtigung:

   • logging.settings.get
   • logging.settings.update

3. Geben Sie den Speicherort an, an dem Sie Ihre Protokolle und Abfragen speichern möchten. Eine Liste der unterstützten Speicherorte finden Sie unter Datenregionalität: Unterstützte Regionen.

Standardeinstellungen für Logging ansehen

So rufen Sie die Standardeinstellungen für Logging auf: einschließlich des Standardspeicherorts, verwenden Sie gcloud logging settings describe Befehl:

 gcloud logging settings describe --folder=FOLDER_ID

gcloud logging settings describe --organization=ORGANIZATION_ID

Der vorherige Befehl gibt Informationen zu den Standardeinstellungen zurück. Im Folgenden sind beispielsweise die Standardeinstellungen für eine bestimmte Organisation zu sehen:

name: organizations/ORGANIZATION_ID/settings
kmsKeyName: KMS_KEY_NAME
kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.iam.gserviceaccount.com
storageLocation: europe-west1
disableDefaultSink: false

Der Wert von SERVICE_ACCT_NAME kann das Format cmek-12345 oder service-12345@... Wenn Sie die Google Cloud CLI nicht verwenden können, führen Sie den Cloud Logging API-Methode getSettings.

Standardspeicherort festlegen

Log-Buckets sind die Container in Ihren Google Cloud-Projekten, Abrechnungskonten, Ordnern und Organisationen, in denen Logdaten gespeichert und organisiert werden. Für jedes Google Cloud-Projekt, jedes Rechnungskonto Ordner und Organisation haben, erstellt Logging automatisch zwei Log- Buckets: _Required und _Default, die automatisch gespeichert werden in den Standort global.

Wenn Sie den Standardspeicherort für eine Organisation oder einen Ordner festlegen, Sie geben an, wo die neuen Log-Buckets _Required und _Default erstellt werden sollen und wo Abfragen im Log-Explorer und Loganalysen ausgeführt werden Seiten gespeichert werden. Das Festlegen des Standardspeicherorts hat keine Auswirkungen auf den Speicherort vorhandener Log-Buckets. Ähnlich verhält es sich bei Suchanfragen, die gespeichert wurde, hat sich der Speicherort nicht geändert.

Nachdem Sie den Standardspeicherort für eine Organisation oder einen Ordner konfiguriert haben, geschieht Folgendes:

• Bei neuen untergeordneten Ressourcen, die in der Organisation oder im Ordner erstellt werden, gilt Folgendes: Die Buckets _Required und _Default übernehmen den Standardspeicherort.

• Neue Abfragen, die Sie auf den Seiten Log-Explorer oder Loganalysen ausführen werden am Standardspeicherort gespeichert. Dieser Speicherort gilt auch für die letzten Abfragen, die automatisch gespeichert werden.

Der Standardspeicherort für Cloud Logging gilt nicht für benutzerdefinierte Log-Buckets oder Abfragen, die mit der Logging API gespeichert wurden.

Organisationsrichtlinien konfigurieren

Logging unterstützt Organisationsrichtlinien, Sie legen fest, wo Daten gespeichert werden können. Wenn für Ihre Organisation eine solche Richtlinie vorhanden ist, können Sie Log-Buckets an Standorten erstellen, die von der Richtlinie zugelassen sind

Ist eine Organisationsrichtlinie mit Standortbeschränkung vorhanden, müssen die Richtlinienwerte für die Einschränkung den Standort enthalten, der in Standardeinstellungen für Logging. Falls Sie Ihre Standardeinstellungen ändern möchten, bevor Sie aktualisieren Sie die Standardeinstellungen, prüfen und aktualisieren Sie bei Bedarf die Organisationsrichtlinien.

So können Sie Organisationsrichtlinien aufrufen oder aktualisieren:

1. Rufen Sie in der Google Cloud Console die Seite Organisationsrichtlinien auf:

   Zu Organisationsrichtlinien

   Wenn Sie diese Seite über die Suchleiste finden, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift IAM und Verwaltung.

2. Wählen Sie Ihre Organisation aus.

3. Sehen Sie sich die Einschränkung an und aktualisieren Sie sie bei Bedarf mit der ID constraints/gcp.resourceLocations Wenn diese Einschränkung nicht konfiguriert ist, ist kein Update erforderlich.

   Weitere Informationen zum Anzeigen bestimmter Einschränkungen und zum Bearbeiten Einschränkungen gelten, siehe Richtlinien erstellen und bearbeiten

Standardspeicherort für Logging konfigurieren

Führen Sie den folgenden Befehl aus, um den Standardspeicherort für Cloud Logging zu konfigurieren: gcloud logging settings update und fügen Sie das Flag --storage-location ein:

gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION

gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION

Wenn Sie die Google Cloud CLI nicht verwenden können, führen Sie den Cloud Logging API-Methode updateSettings.

Informationen zum Beheben von Fehlern beim Aktualisieren des Standardspeichers Standort, siehe Fehlerbehebung beim Festlegen des Standardspeicherorts für Ressourcen

_Default-Senke konfigurieren

Logging bietet eine vordefinierte _Default Senke pro Google Cloud-Projekt, Rechnungskonto, Ordner und Organisationsressource. Beliebig Protokoll, das in der Ressource generiert wird, die dem Einschlussfilter entspricht, und die nicht ausgeschlossen ist, an die vordefinierte Ressource Bucket namens _Default.

Sie können Standardeinstellungen für die Senke _Default für Ihre Organisation und Ordner mit den folgenden Optionen:

• Sie können die Erstellung einer _Default-Senke für neue untergeordnete Ressourcen deaktivieren.

• Sie können einen Einschlussfilter oder mehrere angewendete Ausschlussfilter konfigurieren zur _Default-Senke neuer Projekte.

_Default-Senke deaktivieren

Sie können die _Default-Senken für alle neuen Ressourcen in einer Organisation oder einem Ordner deaktivieren. Dadurch wird verhindert, dass Protokolle im _Default-Bucket der Ressource gespeichert werden. Wenn Sie das Speichern von Logs in einem _Default der Ressource enthält, sind die Logs, die an diesen Bucket weitergeleitet worden wären, Bucket sind vom Speicher in Logging ausgeschlossen, sofern diese Logs nicht explizit in einer anderen benutzerdefinierten Senke für diese Ressource enthalten sind.

So deaktivieren Sie die _Default-Senken für eine Ressource und ihre untergeordneten Ressourcen: Ressourcen, führen Sie folgenden Befehl aus: gcloud logging settings update Befehl:

gcloud logging settings update --folder=FOLDER_ID--disable-default-sink

gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink

Das Flag disable-default-sink gilt nur für die Senke _Default, die den Traffic weiterleitet, Logs im Bucket _Default ein.

Sie können die _Default-Auffangstellen wieder aktivieren, indem Sie den folgenden gcloud logging settings update-Befehl ausführen:

gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink

gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink

Standardfilter für _Default-Abflüsse konfigurieren

Die vordefinierte Senke _Default leitet alle Logeinträge weiter, die mit der Senke übereinstimmen dem entsprechenden _Default-Bucket hinzugefügt. Sie können eine Cloud Logging API-Befehl zum Überschreiben des integrierten Einschlussfilter in der Senke _Default oder zum Anhängen eines Filters. Der integrierte Ausschlussfilter für die Senke _Default ist leer. Sie können jedoch können Sie mit dem API-Befehl auch Fügen Sie Ausschlussfilter hinzu.

Um einen Einschluss- oder Ausschlussfilter anzugeben, der auf alle angewendet wird, _Default Senken neuer Ressourcen in einer Organisation oder einem Ordner, Führen Sie die Cloud Logging API-Methode updateSettings aus und Geben Sie das defaultSinkConfig-Objekt an.

Sie können die updateSettings-Methode mithilfe des APIs Explorer-Widgets auf der Referenzseite der Methode ausführen. Die Das folgende Beispiel zeigt Beispielparameter:

• Name (URL): organizations/ORGANIZATION_ID/settings
• Aktualisierungsmaske: "default_sink_config"

• Anfragetext, der eine Instanz von Settings enthält:

  "defaultSinkConfig": {
    {
    "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") "
    "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") "
    "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") "
    "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") "
    "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ",
    "exclusions": [
       {
          "name": "exclude-data-access",
          "description": "Prevents Data Access audit logs from being routed",
          "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")",
       }
    ],
    "mode": OVERWRITE
    }
  }
  

Der integrierte Inklusionsfilter für den _Default-Sink enthält die Anweisung AND NOT LOG_ID("externalaudit.googleapis.com/activity"), die verhindert, dass Audit-Logs zu Administratoraktivitäten an den _Default-Log-Bucket weitergeleitet werden. Im vorherigen Beispiel lautet der Einschlussfilter geändert, sodass Audit-Logs zu Administratoraktivitäten an die _Default weitergeleitet werden Log-Bucket. Das Beispiel fügt außerdem einen Ausschlussfilter hinzu, der verhindert, dass Audit-Logs zum Datenzugriff an den Bucket _Default weitergeleitet.

Konfigurationsfehler beheben

Informationen zur Fehlerbehebung finden Sie unter Fehler bei CMEK und Standardeinstellungen beheben