במאמר הזה מוסבר איך להגדיר הגדרות ברירת מחדל של משאבים ב-Cloud Logging. ההגדרות האלה מאפשרות לכם לקבוע איפה ייצרו קטגוריות חדשות של יומנים שנוצרו על ידי המערכת, אם נדרש CMEK לקטגוריות של יומנים ומה ההגדרה של sink ביומן _Default.
אפשר להגדיר את ההגדרות האלה לארגונים ולתיקיות, וההגדרות מועברות בירושה למשאבי צאצא. אתם מגדירים את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging באמצעות Google Cloud CLI.
סקירה כללית
משאב הארגון נמצא ברמה הגבוהה ביותר בהיררכיית המשאבים שלCloud de Confiance . משאב הארגון הוא ההורה של משאבי הצאצא הבאים:Cloud de Confiance פרויקטים, תיקיות, חשבונות לחיוב וקטגוריות של יומנים (בנוגע ל-Logging).
בארגונים ובתיקיות, אפשר להגדיר הגדרות ברירת מחדל למשאבים ב-Cloud Logging. ההגדרות האלה מאפשרות לציין את המיקום של מאגרי היומנים, את מודל ההצפנה ואת ההגדרה של sink ברירת המחדל של היומנים. משאבי צאצא יורשים את הגדרות ברירת המחדל של משאבי ההורה שלהם.
אפשר להשתמש בהגדרות ברירת מחדל של משאבים ב-Cloud Logging כדי להגדיר את הפריטים הבאים:
האם קטגוריות חדשות של יומנים במשאב יוצפנו באמצעות מפתח בניהול הלקוח, ואם כן, איזה מפתח Cloud KMS ישמש להצפנה.
מיקום האחסון של קטגוריות חדשות של יומנים
_Defaultו-_Requiredשנוצרו על ידי משאבי צאצא, ושל שאילתות שנשמרו בדף Logs Explorer. הגדרת מיקום האחסון מאפשרת לכם לשלוט במיקום שבו היומנים מאוחסנים.אם למשאב יש הגדרות משאב שמוגדרות כברירת מחדל ל-Cloud Logging שמציינות מיקום אחסון אבל לא כוללות הגדרת CMEK, לא נדרש CMEK בקטגוריות חדשות של יומנים במשאב.
האם sink ביומן
_Defaultמופעל או מושבת בפרויקטים חדשים במשאב.מסנני ההכללה או מסנני ההחרגה שמוחלים על כל
_Defaultיעדי הנתונים החדשים במשאבי הצאצא.
הגדרות לדוגמה:
- בארגון, הגדרות ברירת המחדל של המשאבים ב-Cloud Logging מציינות מיקום אחסון.
בפרויקטים חדשים בארגון, קטגוריות היומן
_Defaultו-_Requiredנוצרות במיקום שצוין. בנוסף, שאילתות שנשמרו בדף Logs Explorer מאוחסנות במיקום שצוין. השאילתות האלה כוללות את השאילתות האחרונות שנשמרות אוטומטית אחרי ההרצה שלהן, ושאילתות שנשמרו על ידי חברים בCloud de Confiance פרויקט.
בארגון, הגדרות ברירת המחדל של המשאבים ב-Cloud Logging מציינות מיקום אחסון. בנוסף, בתיקייה בארגון, הגדרות ברירת המחדל של המשאבים ב-Cloud Logging מציינות מיקום אחסון שונה. בפרויקטים חדשים שנמצאים בתיקייה, מאגרי הנתונים (buckets)
_Defaultו-_Requiredנוצרים במיקום שצוין בהגדרות התיקייה. בפרויקטים שלא נמצאים בתיקייה, מאגרי הנתונים מסוג_Defaultו-_Requiredנוצרים במיקום שצוין בהגדרות הארגון.בארגון, מגדירים את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging כדי לציין מיקום ו-CMEK. בתיקייה בשם
Non-CMEK, מגדירים את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging כך שיוגדר רק מיקום. אם יוצרים פרויקט שלא נמצא בתיקייה בשםNon-CMEK, הקטגוריות_Defaultו-_Requiredנוצרות באותו מיקום שבו נמצא מפתח Cloud Key Management Service, והקטגוריות האלה של יומני הגישה מוצפנות באמצעות המפתח הזה. עם זאת, אם יוצרים פרויקט חדש בתיקייה בשםNon-CMEK, מאגרי היומנים שלו נוצרים במיקומים שצוינו בהגדרה של התיקייה הזו, והם לא מוצפנים באמצעות CMEK.בארגון, אתם מגדירים את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging כדי להחיל מסנן החרגה שחל על יעד חדש של
_Default. המסנן מחריג את יומני הביקורת Data Access מהניתוב דרך אובייקט ה-sink_Defaultבכל משאבי הצאצא, וכך מונע את האחסון של יומני הביקורת Data Access בקטגוריה_Default.
לפני שמתחילים
במסמך הזה לא מוסבר איך להגדיר את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging כך שיכללו הגדרת CMEK. מידע על הנושא הזה זמין במאמר הגדרת CMEK לרישום ביומן.
צריך לבצע את הפעולות הבאות:
-
התקינו את ה-CLI של Google Cloud ואז היכנסו ל-CLI של gcloud באמצעות הזהות המאוחדת שלכם. אחרי שנכנסתם לחשבון, אתחלו את ה-CLI של Google Cloud באמצעות הפקודה הבאה:
gcloud init חשוב לוודא שהתפקיד שלכם בניהול הזהויות והגישה (IAM) בארגון או בתיקייה כולל את ההרשאה הבאה של Cloud Logging:
logging.settings.getlogging.settings.update
מזהים את המיקום שבו רוצים לאחסן את היומנים והשאילתות. רשימת מיקומי האחסון הנתמכים מופיעה במאמר אזורים נתמכים.
הצגת הגדרות ברירת המחדל של המשאבים ב-Cloud Logging
כדי לראות את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging, מפעילים את הפקודה gcloud logging settings describe:
FOLDER
gcloud logging settings describe --folder=FOLDER_ID
לפני שמריצים את הפקודה הקודמת, מחליפים את מה שכתוב בשדות הבאים:
- FOLDER_ID: המזהה המספרי הייחודי של התיקייה. מידע על השימוש בתיקיות זמין במאמר יצירה וניהול של תיקיות.
ארגון
gcloud logging settings describe --organization=ORGANIZATION_ID
לפני שמריצים את הפקודה הקודמת, מחליפים את מה שכתוב בשדות הבאים:
- ORGANIZATION_ID: המזהה המספרי הייחודי של הארגון. במאמר איך מוצאים את מספר הארגון מוסבר איך לקבל את המזהה הזה.
הפקודה הקודמת מחזירה מידע על הגדרות ברירת המחדל של המשאבים ב-Cloud Logging. דוגמה לתגובה:
name: organizations/ORGANIZATION_ID/settings kmsKeyName: KMS_KEY_NAME kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.s3ns-system.iam.gserviceaccount.com storageLocation: u-france-east1 disableDefaultSink: false
הערך של SERVICE_ACCT_NAME יכול להיות בפורמט cmek-12345 או service-12345@.... אם אי אפשר להשתמש ב-Google Cloud CLI, מריצים את שיטת Cloud Logging API getSettings.
הגדרת מיקום האחסון
קטגוריות של יומנים הן קונטיינרים בCloud de Confiance פרויקטים, בחשבונות לחיוב, בתיקיות ובארגונים שמאחסנים ומארגנים את נתוני היומנים. לכל Cloud de Confiance פרויקט, חשבון לחיוב, תיקייה וארגון, שירות Logging יוצר באופן אוטומטי שתי קטגוריות של יומנים: _Required ו-_Default, שנשמרות באופן אוטומטי במיקום global.
בארגונים ובתיקיות, הגדרות ברירת המחדל של המשאבים ב-Cloud Logging קובעות איפה נוצרים מאגרי יומנים חדשים של _Required ושל _Default, ואיפה מאוחסנות השאילתות שאתם מריצים בדף Logs Explorer. המיקומים של שאילתות קיימות ושל מאגרי יומנים לא משתנים.
כשמגדירים את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging כדי לציין מיקום לארגונים ולתיקיות, מתרחשים הדברים הבאים:
- במשאבי צאצא חדשים שנוצרו בארגון או בתיקייה, מאגרי הנתונים מסוג
_Requiredו-_Defaultיורשים את הגדרות ברירת המחדל של משאב האב.
- מציין את מיקום האחסון של שאילתות חדשות ועדכניות שמופעלות בדף Logs Explorer.
כשמגדירים מיקום בהגדרות ברירת המחדל של המשאבים ב-Cloud Logging, המיקום הזה לא חל על מאגרי יומנים שהוגדרו על ידי המשתמש או על שאילתות שנשמרו באמצעות Logging API.
הגדרת מדיניות הארגון
הרישום תומך במדיניות ארגונית שיכולה להגביל את המקומות שבהם אפשר לאחסן נתונים. אם קיימת מדיניות כזו בארגון שלכם, תוכלו ליצור מאגרי יומנים רק במיקומים שמותרים על פי המדיניות.
אם קיימת מדיניות ארגון שמציינת מגבלת מיקום, ערכי המדיניות של המגבלה חייבים לכלול את המיקום שצוין בהגדרות ברירת המחדל של המשאבים ב-Cloud Logging. לפני שמעדכנים את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging, כדאי לבדוק את מדיניות הארגון ולעדכן אותה אם צריך.
כדי להציג או לעדכן את מדיניות הארגון:
-
נכנסים לדף Organization Policies במסוף Cloud de Confiance :
אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שמופיע בה הכותרת המשנית IAM & Admin.
בוחרים את הארגון.
בודקים את ההגבלה ואם צריך, מעדכנים אותה באמצעות המזהה
constraints/gcp.resourceLocations. אם המגבלה הזו לא מוגדרת, לא נדרש עדכון.במאמר יצירה ועריכה של כללי מדיניות מוסבר איך צופים באילוצים ספציפיים ואיך עורכים אותם.
הגדרת מיקום האחסון של קטגוריות יומנים חדשות שנוצרו על ידי המערכת
כדי להגדיר את הגדרות ברירת המחדל של המשאבים ב-Cloud Logging ולציין הגדרת מיקום, מריצים את הפקודה gcloud logging settings update וכוללים את הדגל --storage-location:
FOLDER
gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION
לפני שמריצים את הפקודה הקודמת, מחליפים את הערכים הבאים:
- FOLDER_ID: המזהה המספרי הייחודי של התיקייה. מידע על השימוש בתיקיות זמין במאמר יצירה וניהול של תיקיות.
- LOCATION: המיקום שבו נוצרות קטגוריות חדשות של יומני
_Defaultו-_Required, ושבו נשמרות השאילתות. רשימת המיקומים הנתמכים מופיעה במאמר אזורים נתמכים.
ארגון
gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION
לפני שמריצים את הפקודה הקודמת, מחליפים את הערכים הבאים:
- ORGANIZATION_ID: המזהה המספרי הייחודי של הארגון. במאמר איך מוצאים את מספר הארגון מוסבר איך לקבל את המזהה הזה.
- LOCATION: המיקום שבו נוצרות קטגוריות חדשות של יומני
_Defaultו-_Required, ושבו נשמרות השאילתות. רשימת המיקומים הנתמכים מופיעה במאמר אזורים נתמכים.
אם אי אפשר להשתמש ב-Google Cloud CLI, מריצים את שיטת Cloud Logging API updateSettings.
מידע על פתרון שגיאות זמין במאמר פתרון בעיות בהגדרת המיקום של קטגוריות חדשות של יומנים שנוצרו על ידי המערכת.
הגדרת יעד _Default
ב-Logging יש _Default יעד מוגדר מראש לכל משאב שלCloud de Confiance פרויקט, חשבון לחיוב, תיקייה וארגון. כל יומן שנוצר במשאב שתואם למסנן ההכללה ושלא מוחרג, מנותב למאגר _Default שהוגדר מראש למשאב וששמו תואם.
בהגדרות ברירת המחדל של המשאבים ב-Cloud Logging, אפשר להגדיר את ההתנהגות הבאה של יעד _Default עבור ארגונים ותיקיות:
אפשר להשבית את היצירה של יעד
_Defaultלמשאבים חדשים של ילדים.אתם יכולים להגדיר מסנן הכללה או כמה מסנני החרגה שיחולו על
_Defaultמאגרי נתונים של פרויקטים חדשים.
השבתת יעד _Default
אפשר להשבית את יעד _Default לכל המשאבים החדשים בארגון או בתיקייה. השבתה של יעד _Default מונעת שמירה של יומנים בדלי _Default של המשאב.
אם מפסיקים לאחסן יומנים בדלי _Default של משאב, היומנים שהיו אמורים להיות מנותבים לדלי הזה לא נכללים באחסון ב-Logging, אלא אם היומנים האלה נכללים במפורש ביעד אחר שהוגדר על ידי המשתמש עבור המשאב הזה.
כדי להשבית את _Default sinks למשאב ולכל משאבי הצאצא שלו, מריצים את הפקודה הבאה של gcloud logging settings update:
FOLDER
gcloud logging settings update --folder=FOLDER_ID--disable-default-sink
לפני שמריצים את הפקודה הקודמת, מחליפים את מה שכתוב בשדות הבאים:
- FOLDER_ID: המזהה המספרי הייחודי של התיקייה. מידע על השימוש בתיקיות זמין במאמר יצירה וניהול של תיקיות.
ארגון
gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink
לפני שמריצים את הפקודה הקודמת, מחליפים את מה שכתוב בשדות הבאים:
- ORGANIZATION_ID: המזהה המספרי הייחודי של הארגון. במאמר איך מוצאים את מספר הארגון מוסבר איך לקבל את המזהה הזה.
הדגל disable-default-sink חל רק על יעד _Default שמעביר יומנים לקטגוריית _Default.
כדי להפעיל מחדש את מאגרי היעד של _Default, מריצים את הפקודה הבאה של gcloud logging settings update:
FOLDER
gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink
ארגון
gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink
הגדרת המסננים של מקורות נתונים מסוג _Default
היעד המוגדר מראש _Default sink מעביר כל רשומה ביומן שתואמת לקריטריונים של היעד אל _Default הקטגוריה המתאימה. אתם יכולים לשלוח פקודה של Cloud Logging API כדי לבטל את מסנן ההכללה המובנה ביעד _Default או כדי לצרף מסנן.
מסנן ההחרגה המובנה של יעד _Default ריק. עם זאת, פקודת ה-API מאפשרת גם להוסיף מסנני החרגה.
כדי לציין מסנן הכללה או מסנן החרגה שמוחל על כל _Defaultיעדי היצוא של משאבים חדשים בארגון או בתיקייה, מריצים את ה-method updateSettings של Cloud Logging API ומציינים את האובייקט defaultSinkConfig.
אפשר להריץ את ה-method updateSettings באמצעות הווידג'ט APIs Explorer בדף העזר של ה-method. בדוגמה הבאה מוצגים פרמטרים לדוגמה:
- name (כתובת URL):
organizations/ORGANIZATION_ID/settings - updateMask:
"default_sink_config" גוף הבקשה, שמכיל מופע של
Settings:"defaultSinkConfig": { { "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ", "exclusions": [ { "name": "exclude-data-access", "description": "Prevents Data Access audit logs from being routed", "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")", } ], "mode": OVERWRITE } }
מסנן ההכללה המובנה של יעד _Default כולל את ההצהרה AND NOT LOG_ID("externalaudit.googleapis.com/activity"), שמונעת את הניתוב של יומני הביקורת Admin Activity אל קטגוריית היומן _Default. בדוגמה הקודמת, מסנן ההכללה משתנה כך שיומני הביקורת של פעילות האדמין מנותבים אל קטגוריה ביומן _Default. בדוגמה הזו נוסף גם מסנן החרגה שמונע את הניתוב של יומני הביקורת של גישה לנתונים אל קטגוריית _Default.
בדוגמה הקודמת, מסנן ההחרגה נקרא exclude-data-access.
פתרון בעיות בהגדרות
מידע על פתרון בעיות זמין במאמר פתרון בעיות שקשורות ל-CMEK ולהגדרות ברירת המחדל של משאבים ב-Cloud Logging.