Este documento descreve como configurar as predefinições para o registo através da CLI Google Cloud. As predefinições, que podem ser aplicadas a uma organização ou a uma pasta, podem determinar o seguinte:
- Se é necessária uma chave de encriptação gerida pelo cliente (CMEK) para novos contentores de registos.
- A localização de armazenamento para novos
_Defaulte_Requiredcontentores, e para consultas executadas na página Explorador de registos.
Se o destino
_Defaultestá ativado ou desativado.O filtro que é aplicado ao
_Defaultdestino de novos recursos.
Vista geral
O recurso da organização está no nível mais elevado da Trusted Cloud hierarquia de recursos. O recurso de organização é o principal destes recursos secundários: Trusted Cloud projetos, pastas, contas de faturação e, relativamente ao Logging, contentores de registos.
Pode configurar o registo para usar as predefinições para uma organização e para pastas. Trusted Cloud Quando cria novos recursos, esses recursos herdam as predefinições do respetivo recurso principal.
O Cloud Logging suporta as seguintes predefinições:
Se os novos contentores de registos num recurso devem ou não ser encriptados com uma chave gerida pelo cliente e, se for o caso, a chave do Cloud KMS predefinida a usar para a encriptação.
A localização de armazenamento para novos
_Defaulte_Requiredcontentores de registos criados por recursos secundários e para consultas guardadas pela página Explorador de registos. Ao definir a localização de armazenamento, pode controlar onde os seus registos são armazenados.Se definir uma localização de armazenamento predefinida para um recurso e não configurar o CMEK para esse recurso, os novos contentores de registos no recurso não requerem o CMEK.
Indica se o
_Defaultdestino de registo está ativado ou desativado para novos projetos no recurso.Os filtros de inclusão ou os filtros de exclusão que são aplicados a todos os novos
_Defaultdestinos nos recursos secundários.
Exemplos de configurações:
- Configura uma localização de armazenamento predefinida para uma organização.
Para novos projetos na organização, os contentores de registos
_Defaulte_Requiredsão criados na localização especificada. Além disso, as consultas guardadas na página do Explorador de registos são armazenadas na localização especificada. Estas consultas incluem as consultas recentes que são guardadas automaticamente após a execução e as consultas guardadas pelos membros doTrusted Cloud projeto.
Configura uma localização de armazenamento predefinida para uma organização e configura uma localização de armazenamento predefinida para cada pasta nessa organização. Para novos projetos que estejam numa pasta, os contentores
_Defaulte_Requiredsão criados na localização especificada pelas definições da pasta. Para projetos que não estão numa pasta, os respetivos contentores_Defaulte_Requiredsão criados na localização especificada pelas definições da organização.Configura a CMEK para uma organização e, para a pasta com o nome
Non-CMEK, só define a localização de armazenamento predefinida. Se criar um projeto que não esteja na pasta com o nomeNon-CMEK, os contentores_Defaulte_Requiredsão criados na mesma localização que a chave do Cloud Key Management Service, e estes contentores de registos são encriptados por essa chave. No entanto, se criar um novo projeto na pasta denominadaNon-CMEK, os respetivos contentores de registos são criados nas localizações especificadas pela definição dessa pasta e esses contentores de registos não são encriptados pela CMEK.Configura um filtro de exclusão que se aplica a novos destinos de dados
_Defaultao nível da organização. O filtro impede que os registos de auditoria de acesso aos dados sejam encaminhados através do coletor_Defaultem todos os recursos secundários, o que impede que os registos de auditoria de acesso aos dados sejam armazenados no contentor_Default.
Antes de começar
Este documento não contém informações sobre como configurar a CMEK como uma definição predefinida para o registo. Para obter informações sobre esse tópico, consulte o artigo Configure as CMEK para o registo.
Para começar a configurar as predefinições para o registo, faça o seguinte:
-
Instale a CLI Google Cloud e, em seguida, inicie sessão na CLI gcloud com a sua identidade federada. Depois de iniciar sessão, inicialize a CLI gcloud executando o seguinte comando:
gcloud init Certifique-se de que a sua função de gestão de identidades e acessos na organização ou na pasta cujas predefinições quer configurar inclui a seguinte autorização do Cloud Logging:
logging.settings.getlogging.settings.update
Identifique a localização onde quer armazenar os seus registos e consultas. Para ver uma lista das localizações de armazenamento suportadas, consulte o artigo Regiões suportadas.
- FOLDER_ID: o identificador numérico exclusivo da pasta. Para ver informações sobre a utilização de pastas, consulte o artigo Criar e gerir pastas.
- ORGANIZATION_ID: o identificador numérico exclusivo da organização. Para obter informações sobre como receber este identificador, consulte o artigo Receber o ID da sua organização.
- Para novos recursos filho criados na organização ou na pasta, os respetivos contentores
_Requirede_Defaultherdam a localização de armazenamento predefinida. - As novas consultas que executar na página do Explorador de registos são guardadas na localização de armazenamento predefinida. Esta localização também se aplica a consultas recentes que são guardadas automaticamente.
-
Na Trusted Cloud consola, aceda à página Políticas da organização:
Aceda a Políticas da organização
Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cujo subtítulo é IAM e administração.
Selecione a sua organização.
Veja e, se necessário, atualize a restrição com o ID
constraints/gcp.resourceLocations. Se esta restrição não estiver configurada, não é necessária uma atualização.Para ver informações sobre como ver restrições específicas e como editar estas restrições, consulte o artigo Criar e editar políticas.
- FOLDER_ID: o identificador numérico exclusivo da pasta. Para ver informações sobre a utilização de pastas, consulte o artigo Criar e gerir pastas.
- LOCATION: a localização onde são criados novos contentores de registos
_Defaulte_Required, e onde as consultas são armazenadas. Para ver uma lista das localizações suportadas, consulte o artigo Regiões suportadas. - ORGANIZATION_ID: o identificador numérico exclusivo da organização. Para obter informações sobre como receber este identificador, consulte o artigo Receber o ID da sua organização.
- LOCATION: a localização onde são criados novos contentores de registos
_Defaulte_Required, e onde as consultas são armazenadas. Para ver uma lista das localizações suportadas, consulte o artigo Regiões suportadas. Pode desativar a criação de um destino
_Defaultpara novos recursos filho.Pode configurar um filtro de inclusão ou vários filtros de exclusão que se aplicam aos destinos dos novos projetos.
_Default- FOLDER_ID: o identificador numérico exclusivo da pasta. Para ver informações sobre a utilização de pastas, consulte o artigo Criar e gerir pastas.
- ORGANIZATION_ID: o identificador numérico exclusivo da organização. Para obter informações sobre como receber este identificador, consulte o artigo Receber o ID da sua organização.
- name (URL):
organizations/ORGANIZATION_ID/settings - updateMask:
"default_sink_config" Corpo do pedido, que contém uma instância de
Settings:"defaultSinkConfig": { { "filter": "NOT LOG_ID(\"externalaudit.googleapis.com/activity\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/system_event\") " "AND NOT LOG_ID(\"cloudaudit.googleapis.com/access_transparency\") " "AND NOT LOG_ID(\"externalaudit.googleapis.com/access_transparency\") ", "exclusions": [ { "name": "exclude-data-access", "description": "Prevents Data Access audit logs from being routed", "filter": "log_id(\"cloudaudit.googleapis.com/data_access\")", } ], "mode": OVERWRITE } }
Veja as predefinições para o registo
Para ver as predefinições do registo,
incluindo a localização de armazenamento predefinida, use o comando
gcloud logging settings describe:
FOLDER
gcloud logging settings describe --folder=FOLDER_ID
Antes de executar o comando anterior, faça a seguinte substituição:
ENTIDADE
gcloud logging settings describe --organization=ORGANIZATION_ID
Antes de executar o comando anterior, faça a seguinte substituição:
O comando anterior devolve informações sobre as predefinições. Por exemplo, o seguinte mostra as predefinições de uma organização específica:
name: organizations/ORGANIZATION_ID/settings kmsKeyName: KMS_KEY_NAME kmsServiceAccountId: SERVICE_ACCT_NAME@gcp-sa-logging.s3ns.iam.gserviceaccount.com storageLocation: u-france-east1 disableDefaultSink: false
O valor de SERVICE_ACCT_NAME pode ter o formato cmek-12345 ou service-12345@.... Se não conseguir usar a CLI do Google Cloud, execute o método da API Cloud Logging getSettings.
Defina a localização de armazenamento predefinida
Os contentores de registos são os contentores nos seus
Trusted Cloud projetos, contas de faturação, pastas e organizações que armazenam
e organizam os seus dados de registo. Para cada Trusted Cloud projeto, conta de faturação,
pasta e organização, o Logging cria automaticamente dois contentores de registos: _Required e _Default, que são armazenados automaticamente na localização global.
Quando define a localização de armazenamento predefinida para uma organização ou uma pasta,
especifica onde são criados novos contentores de registos _Required e _Default
e onde são armazenadas as consultas que executa na página Explorador de registos. A definição da localização de armazenamento predefinida não afeta a localização dos contentores de registos existentes. Da mesma forma, a localização de armazenamento das consultas que foram guardadas não é alterada.
Depois de configurar a localização de armazenamento predefinida para uma organização ou uma pasta, acontece o seguinte:
A localização de armazenamento predefinida do Cloud Logging não se aplica a contentores de registos definidos pelo utilizador nem a consultas guardadas através da API Logging.
Configure as políticas da organização
O registo em registo suporta políticas organizacionais que podem restringir onde os dados podem ser armazenados. Se existir uma política deste tipo para a sua organização, só pode criar contentores de registos em localizações permitidas pela política.
Quando existe uma política da organização que especifica uma restrição de localização, os valores da política para a restrição têm de incluir a localização especificada nas predefinições para o Registo. Além disso, se planear modificar as definições predefinidas, antes de atualizar as definições predefinidas, reveja e, se necessário, atualize as políticas da organização.
Para ver ou atualizar as políticas da organização, faça o seguinte:
Configure a localização de armazenamento predefinida para o registo
Para configurar a localização de armazenamento predefinida do Cloud Logging, execute o comando
gcloud logging settings update
e inclua a flag --storage-location:
FOLDER
gcloud logging settings update --folder=FOLDER_ID--storage-location=LOCATION
Antes de executar o comando anterior, faça as seguintes substituições:
ENTIDADE
gcloud logging settings update --organization=ORGANIZATION_ID --storage-location=LOCATION
Antes de executar o comando anterior, faça as seguintes substituições:
Se não conseguir usar a CLI do Google Cloud, execute o método da API Cloud Logging updateSettings.
Para informações sobre como resolver erros ao atualizar a localização de armazenamento predefinida, consulte o artigo Resolva problemas ao definir a localização de recursos predefinida.
Configure o destino _Default
O registo fornece um destino _Default predefinido para cada recurso de projeto, conta de faturação, pasta e organização.Trusted Cloud Qualquer registo gerado no recurso que corresponda ao filtro de inclusão e que não seja excluído é encaminhado para o contentor _Default predefinido do recurso com o nome correspondente.
Pode configurar as predefinições do destino _Default para a sua organização e pastas com as seguintes opções:
Desative o destino _Default
Pode desativar os destinos do _Default para todos os novos recursos numa organização ou pasta. A desativação dos destinos do _Default impede que os registos sejam armazenados no contentor do _Default do recurso.
Se deixar de armazenar registos no contentor _Default de um recurso, os registos que teriam sido encaminhados para esse contentor são excluídos do armazenamento no Logging, a menos que esses registos sejam explicitamente incluídos noutro destino definido pelo utilizador para esse recurso.
Para desativar os destinos _Default para um recurso e qualquer um dos respetivos recursos
secundários, execute o seguinte comando
gcloud logging settings update:
FOLDER
gcloud logging settings update --folder=FOLDER_ID--disable-default-sink
Antes de executar o comando anterior, faça a seguinte substituição:
ENTIDADE
gcloud logging settings update --organization=ORGANIZATION_ID --disable-default-sink
Antes de executar o comando anterior, faça a seguinte substituição:
O sinalizador disable-default-sink aplica-se apenas ao destino _Default que encaminha
registos para o contentor _Default.
Pode reativar os destinos _Default executando o seguinte comando
gcloud logging settings update:
FOLDER
gcloud logging settings update --folder=FOLDER_ID--no-disable-default-sink
ENTIDADE
gcloud logging settings update --organization=ORGANIZATION_ID --no-disable-default-sink
Configure o filtro predefinido de destinos _Default
O destino predefinido _Default encaminha todas as entradas de registo que correspondam aos critérios do destino para o contentor _Default correspondente. Pode enviar um comando da API Cloud Logging para substituir o filtro de inclusão integrado no coletor _Default ou anexar um filtro.
O filtro de exclusão incorporado para o destino _Default está vazio. No entanto, o comando da API também lhe permite
adicionar filtros de exclusão.
Para especificar um filtro de inclusão ou um filtro de exclusão que é aplicado a todos os
_Default destinos de novos recursos numa organização ou numa pasta,
execute o método da API Cloud Logging updateSettings e
especifique o objeto defaultSinkConfig.
Pode executar o método updateSettings através do widget do
Explorador de APIs na página de referência do método. O exemplo
seguinte ilustra parâmetros de exemplo:
O filtro de inclusão incorporado para o coletor _Default inclui a declaração AND NOT LOG_ID("externalaudit.googleapis.com/activity"), que impede que os registos de auditoria da atividade de administrador sejam encaminhados para o contentor de registos _Default. No exemplo anterior, o filtro de inclusão é alterado para que os registos de auditoria da atividade de administrador sejam encaminhados para o contentor de registos _Default. O exemplo também adiciona um filtro de exclusão que impede o encaminhamento dos registos de auditoria de acesso aos dados para o contentor _Default.
No exemplo anterior, o filtro de exclusão tem o nome exclude-data-access.
Resolva problemas de erros de configuração
Para informações de resolução de problemas, consulte o artigo Resolva problemas de CMEK e de definições predefinidas.