このドキュメントでは、Google Cloud CLI を使用して Logging のデフォルトの設定を構成する方法について説明します。デフォルトの設定(組織またはフォルダに適用可能)は、次のことを決定します。
- 新しいログバケットに顧客管理の暗号鍵(CMEK)が必要かどうか。
- 新しい
_Defaultバケットと_Requiredバケットストレージ ロケーションと [ログ エクスプローラ] ページで実行されるクエリのストレージ ロケーション。
_Defaultシンクが有効か無効か。新しいリソースの
_Defaultシンクに適用されるフィルタ。
概要
組織リソースは、Cloud de Confiance リソース階層の最上位にあります。組織リソースは、Cloud de Confiance プロジェクト、フォルダ、請求先アカウント、Logging、ログバケットの子リソースの親です。
Cloud de Confiance 組織とフォルダのデフォルト設定を使用するように Logging を構成できます。新しいリソースを作成すると、そのリソースは親のデフォルト設定を継承します。
Cloud Logging は、次のデフォルト設定をサポートしています。
リソース内の新しいログバケットを顧客管理の暗号鍵で暗号化するかどうか。暗号化する場合は、暗号化に使用するデフォルトの Cloud KMS 鍵。
子リソースによって作成された新しい
_Defaultログバケットと_Requiredログバケットのストレージ ロケーションと、[ログ エクスプローラ] ページで保存されたクエリのストレージ ロケーション。ストレージ ロケーションを設定すると、ログの保存場所を制御できます。リソースのデフォルトのストレージ ロケーションを設定し、そのリソースに CMEK を構成しない場合、リソースの新しいログバケットは CMEK を必要としません。
リソース内の新しいプロジェクトで
_Defaultログシンクが有効か無効か。子リソース内のすべての新しい
_Defaultシンクに適用される一致フィルタまたは除外フィルタ。
構成例:
- 組織のデフォルトのストレージ ロケーションを構成します。組織内の新しいプロジェクトの場合、
_Defaultログバケットと_Requiredログバケットは指定された場所に作成されます。また、[ログ エクスプローラ] ページで保存されたクエリは、指定された場所に保存されます。これらのクエリには、実行後に自動的に保存される最近のクエリと、Cloud de Confiance プロジェクトのメンバーが保存したクエリが含まれます。
組織のデフォルトのストレージ ロケーションを構成し、その組織内の各フォルダのデフォルトのストレージ ロケーションを構成します。フォルダ内の新しいプロジェクトの場合、
_Defaultバケットと_Requiredバケットは、フォルダの設定で指定された場所に作成されます。フォルダ内に存在しないプロジェクトの場合、プロジェクトの_Defaultバケットと_Requiredバケットは組織の設定で指定された場所に作成されます。組織の CMEK を構成し、
Non-CMEKという名前のフォルダにはデフォルトのストレージ ロケーションのみを設定します。Non-CMEKという名前のフォルダにないプロジェクトを作成する場合、_Defaultバケットと_Requiredバケットは Cloud Key Management Service 鍵と同じ場所に作成されます。これらのログバケットは、その鍵で暗号化されます。ただし、Non-CMEKという名前のフォルダに新しいプロジェクトを作成すると、そのログバケットはそのフォルダの設定で指定された場所に作成され、これらのログバケットは CMEK で暗号化されません。新しい
_Defaultシンクに適用される除外フィルタを組織レベルで構成します。フィルタにより、すべての子リソースの_Defaultシンクを介して転送されるデータアクセス監査ログが除外され、データアクセス監査ログが_Defaultバケットに保存されなくなります。
始める前に
このドキュメントには、Logging のデフォルトの設定として CMEK を構成する方法についての情報は含まれていません。このトピックの詳細については、Logging に CMEK を構成するをご覧ください。
Logging のデフォルトの設定を開始するには、次のようにします。
-
Google Cloud CLI をインストールし、連携 ID を使用して gcloud CLI にログインします。 ログイン後、次のコマンドを実行して Google Cloud CLI を初期化します。
gcloud init デフォルト設定を構成する組織またはフォルダに対する Identity and Access Management ロールに、次の Cloud Logging 権限が含まれていることを確認します。
logging.settings.getlogging.settings.update
ログとクエリを保存する場所を特定します。サポートされているストレージ ロケーションのリストについては、サポートされているリージョンをご覧ください。
- FOLDER_ID: フォルダの一意の数値 ID。フォルダの使用方法については、フォルダの作成と管理をご覧ください。
- ORGANIZATION_ID: 組織の一意の数値識別子。この ID を取得する方法については、組織 ID の取得をご覧ください。
- 組織またはフォルダで作成された新しい子リソースの場合、その
_Requiredバケットと_Defaultバケットはデフォルトのストレージ ロケーションを継承します。 - [ログ エクスプローラ] ページで実行する新しいクエリは、デフォルトのストレージ ロケーションに保存されます。このロケーションは、自動的に保存される最近のクエリにも適用されます。
-
Cloud de Confiance コンソールで、[組織のポリシー] ページに移動します。
このページを検索バーで検索する場合は、小見出しが「IAM と管理」の結果を選択します。
組織を選択します。
ID が
constraints/gcp.resourceLocationsの制約を表示し、必要に応じて更新します。この制約が構成されていない場合、更新は必要ありません。特定の制約を表示する方法と、これらの制約を編集する方法については、ポリシーの作成と編集をご覧ください。
- FOLDER_ID: フォルダの一意の数値 ID。フォルダの使用方法については、フォルダの作成と管理をご覧ください。
- LOCATION: 新しい
_Defaultログバケットと_Requiredログバケットが作成され、クエリが保存されるロケーション。サポートされているロケーションの一覧については、サポートされているリージョンをご覧ください。 - ORGANIZATION_ID: 組織の一意の数値識別子。この ID を取得する方法については、組織 ID の取得をご覧ください。
- LOCATION: 新しい
_Defaultログバケットと_Requiredログバケットが作成され、クエリが保存されるロケーション。サポートされているロケーションの一覧については、サポートされているリージョンをご覧ください。 新しい子リソースの
_Defaultシンクの作成を無効にできます。新しいプロジェクトの
_Defaultシンクに適用される一致フィルタまたは複数の除外フィルタを構成できます。- FOLDER_ID: フォルダの一意の数値 ID。フォルダの使用方法については、フォルダの作成と管理をご覧ください。
- ORGANIZATION_ID: 組織の一意の数値識別子。この ID を取得する方法については、組織 ID の取得をご覧ください。
- name(URL):
organizations/ORGANIZATION_ID/settings - updateMask:
"default_sink_config" Settingsのインスタンスを含むリクエスト本文:"defaultSinkConfig": { { "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ", "exclusions": [ { "name": "exclude-data-access", "description": "Prevents Data Access audit logs from being routed", "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")", } ], "mode": OVERWRITE } }
Logging のデフォルト設定を表示する
デフォルトのストレージ ロケーションなど、Logging のデフォルト設定を表示するには、gcloud logging settings describe コマンドを使用します。
フォルダ
gcloud logging settings describe --folder=FOLDER_ID
前述のコマンドを実行する前に、次のように置き換えます。
組織
gcloud logging settings describe --organization=ORGANIZATION_ID
前述のコマンドを実行する前に、次のように置き換えます。
上記のコマンドは、デフォルトの設定に関する情報を返します。たとえば、特定の組織のデフォルトの設定は、以下のとおりです。
name: organizations/ORGANIZATION_ID/settings kmsKeyName: KMS_KEY_NAME kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.s3ns-system.iam.gserviceaccount.com storageLocation: u-france-east1 disableDefaultSink: false
SERVICE_ACCT_NAME の値は、cmek-12345 または service-12345@... の形式にすることができます。Google Cloud CLI を使用できない場合は、Cloud Logging API メソッド getSettings を実行します。
デフォルトのストレージ ロケーションを設定する
ログバケットは、ログデータを保存して整理するCloud de Confiance プロジェクト、請求先アカウント、フォルダ、組織のコンテナです。 Cloud de Confiance プロジェクト、請求先アカウント、フォルダ、組織ごとに、Logging によって _Required と _Default の 2 つのログバケットが自動的に作成されます。これらは global ロケーションに自動的に保存されます。
組織またはフォルダのデフォルトのストレージ ロケーションを設定すると、新しい _Required ログバケットと _Default ログバケットの作成場所と、[ログ エクスプローラ] ページで実行するクエリの保存場所を指定します。デフォルトのストレージ ロケーションを設定しても、既存のログバケットのロケーションには影響しません。同様に、保存したクエリの保存場所は変更されません。
組織またはフォルダのデフォルトのストレージ ロケーションを構成すると、次の処理が行われます。
Cloud Logging のデフォルトのストレージ ロケーションは、ユーザー定義のログバケットや、Logging API を使用して保存されたクエリには適用されません。
組織のポリシーを構成する
Logging では、データを保存する場所を制限できる組織のポリシーがサポートされています。組織にこのようなポリシーが存在する場合は、ポリシーで許可されているロケーションにのみログバケットを作成できます。
ロケーションの制約を指定する組織のポリシーが存在する場合、制約のポリシー値には、Logging のデフォルトの設定で指定されたロケーションを含める必要があります。さらに、デフォルトの設定を変更する場合は、デフォルトの設定を更新する前に、組織のポリシーを確認し、必要に応じて更新してください。
組織のポリシーを表示または更新するには、次のようにします。
Logging のデフォルトのストレージ ロケーションを構成する
Cloud Logging のデフォルトのストレージ ロケーションを構成するには、gcloud logging settings update コマンドを実行して --storage-location フラグを指定します。
フォルダ
gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION
前のコマンドを実行する前に、次のように置き換えます。
組織
gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION
前のコマンドを実行する前に、次のように置き換えます。
Google Cloud CLI を使用できない場合は、Cloud Logging API メソッド updateSettings を実行します。
デフォルトのストレージ ロケーションの更新時にエラーを解決する方法については、デフォルトのリソース ロケーションの設定に関するトラブルシューティングをご覧ください。
_Default シンクを構成する
Logging は、Cloud de Confiance プロジェクト、請求先アカウント、フォルダ、組織リソースごとに事前定義された _Default シンクを提供します。一致フィルタと一致し、除外されていないリソースで生成されたログは、リソースに事前に定義された _Default というバケットに転送されます。
組織とフォルダの _Default シンクのデフォルト設定は、次のオプションを使用して構成できます。
_Default シンクを無効にする
組織内またはフォルダのすべての新しいリソースに対して _Default シンクを無効にできます。_Default シンクを無効にすると、ログがリソースの _Default バケットに保存されなくなります。リソースの _Default バケットへのログの保存を停止すると、そのバケットに転送されていたログが、そのリソースの別のユーザー定義のシンクに明示的に含まれていない限り、Logging のストレージから除外されます。
リソースとその子リソースの _Default シンクを無効にするには、次の gcloud logging settings update コマンドを実行します。
フォルダ
gcloud logging settings update --folder=FOLDER_ID--disable-default-sink
前述のコマンドを実行する前に、次のように置き換えます。
組織
gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink
前述のコマンドを実行する前に、次のように置き換えます。
disable-default-sink フラグは、_Default バケットにログを転送する _Default シンクにのみ適用されます。
_Default シンクを再度有効にするには、次の gcloud logging settings update コマンドを実行します。
フォルダ
gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink
組織
gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink
_Default シンクのデフォルト フィルタを構成する
事前定義の _Default シンクは、シンク条件に一致するログエントリを対応する _Default バケットに転送します。Cloud Logging API コマンドを送信して、_Default シンクの組み込み一致フィルタをオーバーライドしたり、フィルタを追加できます。_Default シンクの組み込み除外フィルタは空です。ただし、API コマンドで除外フィルタを追加することもできます。
組織またはフォルダの新しいリソースのすべての _Default シンクに適用される一致フィルタまたは除外フィルタを指定するには、Cloud Logging API のメソッド updateSettings を実行し、defaultSinkConfig オブジェクトを指定します。
updateSettings メソッドは、メソッドのリファレンス ページにある API Explorer ウィジェットを使用して実行できます。次の例は、サンプル パラメータを示しています。
_Default シンクの組み込み一致フィルタには、AND NOT LOG_ID("externalaudit.googleapis.com/activity") ステートメントが含まれています。これにより、管理アクティビティ監査ログが _Default ログバケットに転送されなくなります。上の例では、管理アクティビティ監査ログが _Default ログバケットに転送されるように、一致フィルタが変更されています。この例では、データアクセスの監査ログが _Default バケットに転送されないようにする除外フィルタも追加します。上の例では、除外フィルタの名前は exclude-data-access です。
構成エラーのトラブルシューティング
トラブルシューティング情報については、CMEK とデフォルトの設定エラーのトラブルシューティングをご覧ください。