Einige oder alle Informationen auf dieser Seite gelten möglicherweise nicht für Trusted Cloud von S3NS.

Diese Seite wurde von der Cloud Translation API übersetzt.

Logeinträge speichern

In diesem Dokument werden Log-Buckets vorgestellt. Das sind die Container, in denen Cloud Logging Ihre Logdaten speichert. Sie enthält Informationen zum Speicherort, zur Verwaltung des Verschlüsselungsschlüssels und zur Datenaufbewahrung für Log-Buckets. Außerdem wird hervorgehoben, wo Sie mithilfe von Organisationsrichtlinien oder Standardressourceneinstellungen den Speicherort und die Verschlüsselung für neue Log-Buckets in Ordnern oder Organisationen steuern können.

Log-Buckets

Cloud Logging verschlüsselt inaktive Kundendaten standardmäßig. Von Logging in Protokoll-Buckets gespeicherte Daten werden mit Schlüsselverschlüsselungsschlüsseln verschlüsselt. Dieser Vorgang wird als Umschlagverschlüsselung bezeichnet. Der Zugriff auf Ihre Logging-Daten erfordert den Zugriff auf diese Schlüsselverschlüsselungsschlüssel. Standardmäßig sind diese Google Cloud-powered encryption keys und Sie müssen nichts weiter tun.

Ihre Organisation hat möglicherweise regulatorische, Compliance- oder erweiterte Verschlüsselungsanforderungen, die unsere Standardverschlüsselung inaktiver Daten nicht anspricht. AnstattGoogle Cloud-powered encryption keyszu verwenden, können Sie Ihre eigenen Schlüssel verwalten, um die Anforderungen Ihrer Organisation zu erfüllen.

Log-Buckets sind regionale Ressourcen mit einem festen Standort. Trusted Cloud by S3NS verwaltet diese Infrastruktur, sodass Ihre Anwendungen in den Zonen innerhalb dieser Region redundant verfügbar sind.

Die Aufbewahrungsdauer der von einem Log-Bucket gespeicherten Daten hängt vom Log-Bucket ab. Dieses Dokument enthält Informationen zur Datenaufbewahrung.

Sie können Logansichten für einen Log-Bucket erstellen. Eine Logansicht bietet nur Zugriff auf einen Teil der in einem Log-Bucket gespeicherten Logdaten. Für jeden Log-Bucket wird in Cloud Logging automatisch eine Log-Ansicht erstellt, die Zugriff auf jeden Logeintrag im Log-Bucket bietet. Sie steuern den Zugriff auf eine Protokollansicht mithilfe der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM).

Verwenden Sie den Log-Explorer, um Ihre Logdaten abzufragen und anzusehen. Auf dieser Seite finden Sie Informationen zur Fehlerbehebung und Leistungsanalyse Ihrer Dienste und Anwendungen. Sie können sich einzelne Logeinträge ansehen und Ihre Protokolldaten filtern. Diese Benutzeroberfläche hat eine Bereichseinstellung, mit der Sie nach Logdaten nach Projekt, Log-Bucket oder Logansicht suchen können.

Weitere Informationen finden Sie unter Logeinträge abfragen und aufrufen.

Unterstützung für Organisationen und Ordner

Damit Ihre Organisation die Compliance- und behördlichen Anforderungen erfüllen kann, werden bei der Protokollierung sowohl Organisationsrichtlinien als auch Standardressourceneinstellungen unterstützt:

In den Standardeinstellungen für Ressourcen wird der Speicherort und die Verwaltung von Verschlüsselungsschlüsseln für vom System erstellte Protokoll-Buckets angegeben, wenn neue Ressourcen in einem Ordner oder einer Organisation erstellt werden. Sie können beispielsweise festlegen, dass diese vom System erstellten Protokoll-Buckets an einem bestimmten Speicherort abgelegt werden.
Mit einer Organisationsrichtlinie können Sie den Speicherort neuer benutzerdefinierter Log-Buckets einschränken. Die Protokollierung unterstützt Organisationsrichtlinien, mit denen Regionen angegeben werden, in denen Log-Buckets erstellt werden können oder nicht.

Vom System erstellte Log-Buckets

Für jedes Trusted Cloud Projekt, jedes Rechnungskonto, jeden Ordner und jede Organisation erstellt Cloud Logging zwei Log-Buckets, die _Required und _Default heißen. Sofern keine Standardressourceneinstellungen konfiguriert sind, haben diese Log-Buckets den WertGoogle Cloud-powered encryption keys und Cloud Logging wählt ihren Speicherort aus.

Die vom System erstellten Log-Buckets können nicht gelöscht werden.

`_Required` Log-Bucket

Im _Required-Log-Bucket werden Logeinträge gespeichert, die für Compliance- oder Auditzwecke erforderlich sind. Aus diesem Grund können Sie diesen Log-Bucket nicht löschen und auch nicht ändern, welche Logeinträge in diesem Log-Bucket gespeichert werden. Logeinträge in diesem Log-Bucket werden 400 Tage lang aufbewahrt. Sie können diese Aufbewahrungsdauer nicht ändern.

Die Logeinträge, die im _Required-Log-Bucket für eine Ressource gespeichert sind, stammen auch aus dieser Ressource. Das bedeutet, dass im Log-Bucket _Required in einem Trusted Cloud Projekt nur Logeinträge gespeichert werden können, die aus diesem Projekt stammen.

Im Log-Bucket _Required werden die folgenden Arten von Logeinträgen gespeichert:

Audit-Logs zur Administratoraktivität
Audit-Logs zu Systemereignissen
Admin-Audit-Logs von Google Workspace
Audit-Logs zu Unternehmensgruppen
Audit-Logs für die Anmeldung

`_Default` Log-Bucket

Der _Default-Log-Bucket enthält Logeinträge, die nicht automatisch im _Required-Log-Bucket gespeichert werden. Da der _Default-Log-Bucket vom System erstellt wird, kann er nicht gelöscht werden. Sie können jedoch festlegen, welche Logeinträge in diesem Log-Bucket gespeichert werden.

In Cloud Logging werden die Logeinträge im _Default-Bucket 30 Tage lang aufbewahrt.

In diesem Log-Bucket werden beispielsweise folgende Daten gespeichert:

Audit-Logs zum Datenzugriff
Audit-Logs zu Richtlinienverstößen
Von Anwendungen und Diensten generierte Logs. Trusted Cloud by S3NS

Benutzerdefinierte Log-Buckets

In jedemTrusted Cloud -Projekt können Sie benutzerdefinierte Log-Buckets erstellen. Wenn Sie einen benutzerdefinierten Log-Bucket erstellen, wählen Sie den Speicherort aus. Sie haben die Möglichkeit, einen vom Kunden verwalteten Verschlüsselungsschlüssel anzugeben.

Sie können benutzerdefinierte Log-Buckets ändern und löschen. Wenn Sie verhindern möchten, dass ein Log-Bucket mit Logeinträgen gelöscht wird, die sich noch in der Aufbewahrungsdauer befinden, können Sie den Log-Bucket gegen Aktualisierungen sperren.

Zugriff auf einen Log-Bucket steuern

Mit IAM-Berechtigungen und ‑Rollen wird der Zugriff auf Protokolldaten gesteuert. Sie haben beispielsweise folgende Möglichkeiten:

Lese- und Bearbeitungszugriff auf einen Protokoll-Bucket gewähren
Sie können Nutzern mithilfe von Tags Bearbeitungszugriff auf einen Log-Bucket gewähren, der auf der Gruppenmitgliedschaft basiert.
Sie können den Zugriff auf bestimmte Felder in einem Logeintrag steuern, indem Sie den Zugriff auf Feldebene für einen Log-Bucket konfigurieren.
Sie können Zugriff auf einen Teil der Logeinträge in einem Log-Bucket gewähren, indem Sie eine Logansicht für diesen Log-Bucket erstellen.

Jeder Log-Bucket hat eine Standard-Logansicht, die in der Regel alle Logeinträge im Log-Bucket enthält. Für den Log-Bucket _Default werden in der Standard-Logansicht keine Datenzugriffs-Logeinträge berücksichtigt.

Um einem Nutzer die Berechtigungen zum Ansehen und Analysieren von Protokolleinträgen zu gewähren, wird in der Regel eine der folgenden IAM-Rollen gewährt:

Rolle Log-Betrachter (roles/logging.viewer): Gewährt Zugriff auf alle Logeinträge im Bucket _Required und auf die Standard-Logansicht im Bucket _Default.
Rolle Betrachter privater Logs (roles/logging.privateLogViewer): Gewährt Zugriff auf alle Logs in den Buckets _Required und _Default, einschließlich Logs zum Datenzugriff.

Wenn Sie benutzerdefinierte Protokoll-Buckets oder Protokollansichten in Protokoll-Buckets erstellen, sind zusätzliche Berechtigungen erforderlich. Weitere Informationen zu Rollen finden Sie unter Zugriffssteuerung mit IAM.

Liste der unterstützten Regionen

Log-Buckets sind regionale Ressourcen. Die Infrastruktur, in der Ihre Protokolleinträge gespeichert, indexiert und durchsucht werden, befindet sich an einem bestimmten geografischen Standort. Mit Ausnahme von Log-Buckets in den Regionen global, eu oder us verwaltet Trusted Cloud by S3NS die Infrastruktur so, dass Ihre Anwendungen redundant in den Zonen innerhalb der Region des Log-Buckets verfügbar sind.

Die folgenden Regionen werden von Cloud Logging unterstützt:

Name der Region Beschreibung der Region

u-france-east1 Frankreich

Name der Region	Beschreibung der Region
`u-france-east1`	Frankreich
`global`	Protokolle, die in Rechenzentren in einer unterstützten Region gespeichert sind. Protokolle können in verschiedene Rechenzentren verschoben werden. Es gibt keine zusätzlichen Redundanzgarantien. Wenn Sie den Speicherort für Ihre Protokolldaten auswählen möchten, verwenden Sie einen regionalen Protokoll-Bucket.

global

Protokolle, die in Rechenzentren in einer unterstützten Region gespeichert sind. Protokolle können in verschiedene Rechenzentren verschoben werden. Es gibt keine zusätzlichen Redundanzgarantien.

Wenn Sie den Speicherort für Ihre Protokolldaten auswählen möchten, verwenden Sie einen regionalen Protokoll-Bucket.