Einige oder alle Informationen auf dieser Seite gelten möglicherweise nicht für Trusted Cloud von S3NS. Weitere Informationen finden Sie unter Unterschiede zu Google Cloud.

Diese Seite wurde von der Cloud Translation API übersetzt.

Logeinträge speichern

In diesem Dokument werden Log-Buckets vorgestellt. Das sind die Container, in denen Cloud Logging Ihre Logdaten speichert. Sie enthält Informationen zum Speicherort, zur Verwaltung des Verschlüsselungsschlüssels und zur Datenaufbewahrung für Log-Buckets. Außerdem wird erläutert, wo Sie Organisationsrichtlinien oder Standardressourceneinstellungen verwenden können, um den Speicherort und die Verschlüsselung für neue Log-Buckets in Ordnern oder Organisationen zu steuern.

Log-Buckets

Cloud Logging verschlüsselt inaktive Kundendaten standardmäßig. In Log-Buckets von Logging gespeicherte Daten werden mit Schlüsselverschlüsselungsschlüsseln verschlüsselt. Dieser Vorgang wird als Envelope-Verschlüsselung bezeichnet. Der Zugriff auf Ihre Logging-Daten erfordert den Zugriff auf diese Schlüsselverschlüsselungsschlüssel. Standardmäßig sind das Google Cloud-powered encryption keys und Sie müssen nichts weiter tun.

Ihre Organisation hat möglicherweise rechtliche, Compliance-bezogene oder erweiterte Verschlüsselungsanforderungen, die unsere Standardverschlüsselung ruhender Daten nicht erfüllt. AnstattGoogle Cloud-powered encryption keyszu verwenden, können Sie Ihre Schlüssel selbst verwalten.

Log-Buckets sind regionale Ressourcen mit einem festen Standort. Cloud de Confiance by S3NS verwaltet diese Infrastruktur, sodass Ihre Anwendungen in den Zonen innerhalb dieser Region redundant verfügbar sind.

Die Aufbewahrungsdauer für die in einem Log-Bucket gespeicherten Daten hängt vom Log-Bucket ab. Dieses Dokument enthält Informationen zur Datenaufbewahrung.

Sie können Logansichten für einen Log-Bucket erstellen. Eine Logansicht bietet Zugriff auf nur eine Teilmenge der in einem Log-Bucket gespeicherten Logdaten. Für jeden Log-Bucket erstellt Cloud Logging automatisch eine Log-Ansicht, die Zugriff auf jeden Logeintrag im Log-Bucket bietet. Sie steuern den Zugriff auf eine Logansicht mithilfe von Identity and Access Management (IAM).

Mit dem Log-Explorer können Sie Ihre Logdaten abfragen und ansehen. Auf dieser Seite finden Sie Informationen zur Fehlerbehebung und Analyse der Leistung Ihrer Dienste und Anwendungen. Sie können sich einzelne Logeinträge ansehen und Ihre Logdaten filtern. Diese Oberfläche hat eine Bereichseinstellung, mit der Sie Logdaten nach Projekt, Log-Bucket oder Logansicht suchen können.

Weitere Informationen finden Sie unter Logeinträge abfragen und ansehen.

Unterstützung für Organisationen und Ordner

Damit Ihre Organisation Compliance- und behördliche Anforderungen erfüllen kann, werden beim Logging sowohl Organisationsrichtlinien als auch Standardressourceneinstellungen unterstützt:

In den Standardeinstellungen für Ressourcen wird der Speicherort und die Verwaltung von Verschlüsselungsschlüsseln für systemgenerierte Log-Buckets angegeben, wenn neue Ressourcen in einem Ordner oder einer Organisation erstellt werden. Sie können beispielsweise erzwingen, dass diese vom System erstellten Log-Buckets sich an einem bestimmten Ort befinden.
Mit einer Organisationsrichtlinie können Sie den Standort neuer benutzerdefinierter Log-Buckets einschränken. Das Logging unterstützt Organisationsrichtlinien, in denen Regionen angegeben werden, in denen Log-Buckets erstellt werden können oder nicht.

Vom System erstellte Log-Buckets

Für jedes Cloud de Confiance Projekt, Rechnungskonto, Ordner oder jede Organisation erstellt Cloud Logging zwei Log-Buckets: _Required und _Default. Sofern keine Standardressourceneinstellungen konfiguriert sind, haben diese Log-BucketsGoogle Cloud-powered encryption keys und Cloud Logging wählt ihren Standort aus.

Sie können die vom System erstellten Log-Buckets nicht löschen.

`_Required` Log-Bucket

Im Log-Bucket _Required werden Logeinträge gespeichert, die für Compliance- oder Auditzwecke erforderlich sind. Aus diesem Grund können Sie diesen Log-Bucket nicht löschen und auch nicht ändern, welche Logeinträge darin gespeichert werden. Logeinträge in diesem Log-Bucket werden 400 Tage lang aufbewahrt. Sie können diese Aufbewahrungsdauer nicht ändern.

Die Logeinträge, die im _Required-Log-Bucket für eine Ressource gespeichert sind, stammen auch aus dieser Ressource. Das bedeutet, dass im _Required-Log-Bucket in einem Cloud de Confiance -Projekt nur Logeinträge gespeichert werden können, die aus diesem Projekt stammen.

Im Log-Bucket _Required werden die folgenden Arten von Logeinträgen gespeichert:

Audit-Logs zur Administratoraktivität
Audit-Logs zu Systemereignissen
Admin-Audit-Logs von Google Workspace
Audit-Logs zu Unternehmensgruppen
Audit-Logs für die Anmeldung

`_Default` Log-Bucket

Im Log-Bucket _Default werden Logeinträge gespeichert, die nicht automatisch im Log-Bucket _Required gespeichert werden. Der Log-Bucket _Default wurde vom System erstellt und kann daher nicht gelöscht werden. Sie können jedoch ändern, welche Logeinträge in diesem Log-Bucket gespeichert werden.

Cloud Logging bewahrt die Logeinträge im _Default-Bucket 30 Tage lang auf.

In diesem Log-Bucket werden beispielsweise folgende Informationen gespeichert:

Audit-Logs zum Datenzugriff.
Audit-Logs zu Richtlinienverstößen
Von Anwendungen und Cloud de Confiance by S3NS -Diensten generierte Logs.

Benutzerdefinierte Log-Buckets

Sie können benutzerdefinierte Log-Buckets in jedemCloud de Confiance -Projekt erstellen. Wenn Sie einen benutzerdefinierten Log-Bucket erstellen, wählen Sie den Standort aus. Sie haben die Möglichkeit, einen vom Kunden verwalteten Verschlüsselungsschlüssel anzugeben.

Sie können benutzerdefinierte Log-Buckets ändern und löschen. Um zu verhindern, dass ein Log-Bucket gelöscht wird, in dem Logeinträge gespeichert sind, die sich noch innerhalb ihres Aufbewahrungszeitraums befinden, können Sie den Log-Bucket gegen Aktualisierungen sperren.

Zugriff auf einen Log-Bucket steuern

Der Zugriff auf Logdaten wird über IAM-Berechtigungen und -Rollen gesteuert. Sie haben zum Beispiel folgende Möglichkeiten:

Lese- und Bearbeitungszugriff auf einen Log-Bucket gewähren
Sie können den Bearbeitungszugriff auf einen Log-Bucket basierend auf der Gruppenmitgliedschaft mithilfe von Tags gewähren.
Sie können den Zugriff auf bestimmte Felder in einem Logeintrag steuern, indem Sie Zugriff auf Feldebene für einen Log-Bucket konfigurieren.
Sie können Zugriff auf eine Teilmenge von Logeinträgen in einem Log-Bucket gewähren, indem Sie eine Logansicht für diesen Log-Bucket erstellen.

Jeder Log-Bucket hat eine Standardlogansicht, die in der Regel alle Logeinträge im Log-Bucket enthält. Für den Log-Bucket _Default werden in der Standardlogansicht keine Datenzugriffslog-Einträge angezeigt.

Damit ein Nutzer Logeinträge ansehen und analysieren kann, wird ihm in der Regel eine der folgenden IAM-Rollen zugewiesen:

Rolle Log-Betrachter (roles/logging.viewer): Gewährt Zugriff auf alle Logeinträge im Bucket _Required und auf die Standardlogansicht im Bucket _Default.
Rolle Betrachter privater Logs (roles/logging.privateLogViewer): Gewährt Zugriff auf alle Logs in den Buckets _Required und _Default, einschließlich der Logs zum Datenzugriff.

Wenn Sie benutzerdefinierte Log-Buckets oder Log-Ansichten für Log-Buckets erstellen, sind zusätzliche Berechtigungen erforderlich. Weitere Informationen zu Rollen finden Sie unter Zugriffssteuerung mit IAM.

Liste der unterstützten Regionen

Log-Buckets sind regionale Ressourcen. Die Infrastruktur, in der Ihre Logeinträge gespeichert, indexiert und durchsucht werden, befindet sich an einem bestimmten geografischen Standort. Mit Ausnahme von Log-Buckets in den Regionen global, eu oder us Cloud de Confiance by S3NS verwaltet die Infrastruktur so, dass Ihre Anwendungen in den Zonen innerhalb der Region des Log-Buckets redundant verfügbar sind.

Die folgenden Regionen werden von Cloud Logging unterstützt:

Name der Region Beschreibung der Region

u-france-east1 Frankreich

Name der Region	Beschreibung der Region
`u-france-east1`	Frankreich
`global`	Logs, die in Rechenzentren in einer unterstützten Region gespeichert sind. Logs können in andere Rechenzentren verschoben werden. Keine zusätzlichen Garantien für Redundanz. Wenn Sie den Speicherort für Ihre Logdaten auswählen möchten, verwenden Sie einen regionalen Log-Bucket.

global

Logs, die in Rechenzentren in einer unterstützten Region gespeichert sind. Logs können in andere Rechenzentren verschoben werden. Keine zusätzlichen Garantien für Redundanz.

Wenn Sie den Speicherort für Ihre Logdaten auswählen möchten, verwenden Sie einen regionalen Log-Bucket.