Menyimpan entri log

Dokumen ini memperkenalkan bucket log, yaitu container yang digunakan Cloud Logging untuk menyimpan data log Anda. Objek ini memberikan informasi tentang lokasi, pengelolaan kunci enkripsi, dan retensi data untuk bucket log. Bagian ini juga menunjukkan tempat Anda dapat menggunakan kebijakan organisasi atau setelan resource default untuk mengontrol lokasi dan enkripsi bucket log baru di folder atau organisasi.

Tentang bucket log

Secara default, Cloud Logging mengenkripsi konten pelanggan yang disimpan dalam penyimpanan. Data yang disimpan di bucket log oleh Logging dienkripsi menggunakan kunci enkripsi kunci, sebuah proses yang dikenal sebagai enkripsi menyeluruh. Akses ke data logging Anda memerlukan akses ke kunci enkripsi tersebut. Secara default, ini adalah Google Cloud-powered encryption keys dan tidak memerlukan tindakan apa pun dari Anda.

Organisasi Anda mungkin memiliki persyaratan enkripsi tingkat lanjut, terkait kepatuhan, atau peraturan yang tidak disediakan oleh enkripsi dalam penyimpanan default kami. Untuk memenuhi persyaratan organisasi Anda, alih-alih menggunakan Google Cloud-powered encryption keys, Anda dapat mengelola kunci Anda sendiri.

Bucket log adalah resource regional dengan lokasi tetap. Cloud de Confiance by S3NS mengelola infrastruktur tersebut sehingga aplikasi Anda tersedia secara redundan di seluruh zona dalam region tersebut.

Periode retensi untuk data yang disimpan oleh bucket log bergantung pada bucket log. Dokumen ini berisi informasi tentang retensi data.

Anda dapat membuat tampilan log di bucket log. Tampilan log hanya memberikan akses ke sebagian kecil data log yang disimpan dalam bucket log. Untuk setiap bucket log, Cloud Logging otomatis membuat satu tampilan log yang memberikan akses ke setiap entri log dalam bucket log. Anda dapat mengontrol akses ke tampilan log menggunakan Identity and Access Management (IAM).

Untuk membuat kueri dan melihat data log, gunakan Logs Explorer. Halaman ini membantu Anda memecahkan masalah dan menganalisis performa layanan dan aplikasi Anda. Anda dapat melihat setiap entri log dan memfilter data log. Antarmuka ini memiliki setelan cakupan, yang memungkinkan Anda menelusuri data log menurut project, bucket log, atau tampilan log.

Untuk mempelajari lebih lanjut, lihat Kueri dan lihat entri log.

Dukungan untuk organisasi dan folder

Untuk membantu organisasi Anda memenuhi kebutuhan kepatuhan dan peraturan, Logging mendukung kebijakan organisasi dan setelan resource default:

Bucket log yang dibuat sistem

Untuk setiap project, akun penagihan, folder, atau organisasi, Cloud Logging membuat dua bucket log, satu bernama _Required dan yang lainnya bernama _Default. Cloud de Confiance Kecuali jika setelan resource default dikonfigurasi, untuk bucket log ini, bucket tersebut memiliki Google Cloud-powered encryption keys dan Cloud Logging memilih lokasinya.

Anda tidak dapat menghapus bucket log yang dibuat sistem.

Bucket log _Required

Bucket log _Required menyimpan entri log yang diperlukan untuk tujuan kepatuhan atau audit. Oleh karena itu, Anda tidak dapat menghapus bucket log ini dan Anda tidak dapat mengubah entri log yang disimpan di bucket log ini. Entri log di bucket log ini disimpan selama 400 hari; Anda tidak dapat mengubah periode retensi ini.

Entri log yang disimpan di bucket log _Required untuk resource juga berasal dari resource tersebut. Artinya, bucket log _Required dalam project Cloud de Confiance hanya dapat menyimpan entri log yang berasal dari project tersebut.

Bucket log _Required menyimpan jenis entri log berikut:

Bucket log _Default

Bucket log _Default menyimpan entri log yang tidak otomatis disimpan di bucket log _Required. Karena bucket log _Default dibuat oleh sistem, Anda tidak dapat menghapusnya. Namun, Anda dapat mengubah entri log yang disimpan di bucket log ini.

Cloud Logging menyimpan entri log di bucket _Default selama 30 hari.

Misalnya, bucket log ini menyimpan:

Bucket log yang ditentukan pengguna

Anda dapat membuat bucket log yang ditentukan pengguna di projectCloud de Confiance mana pun. Saat membuat bucket log yang ditentukan pengguna, Anda memilih lokasi. Anda memiliki opsi untuk memberikan kunci enkripsi yang dikelola pelanggan.

Anda dapat mengubah dan menghapus bucket log yang ditentukan pengguna. Untuk melindungi dari penghapusan bucket log yang menyimpan entri log yang berada dalam periode retensinya, Anda dapat mengunci bucket log agar tidak diperbarui.

Mengontrol akses ke bucket log

Izin dan peran IAM mengontrol akses ke data log. Misalnya, Anda dapat melakukan semua hal berikut:

  • Memberikan akses baca dan edit ke bucket log.
  • Memberikan akses edit ke bucket log berdasarkan keanggotaan grup dengan menggunakan tag.
  • Kontrol akses ke kolom tertentu dalam entri log dengan mengonfigurasi akses tingkat kolom pada bucket log.
  • Memberikan akses ke subset entri log dalam bucket log dengan membuat tampilan log di bucket log tersebut.

    Setiap bucket log memiliki tampilan log default, yang biasanya mencakup setiap entri log dalam bucket log. Untuk bucket log _Default, tampilan log default mengecualikan entri log akses data.

Untuk memberi pengguna izin yang diperlukan untuk melihat dan menganalisis entri log, biasanya salah satu peran IAM berikut diberikan:

  • Peran Logs Viewer (roles/logging.viewer): Memberikan akses ke semua entri log di bucket _Required, dan akses ke tampilan log default di bucket _Default.

  • Peran Private Logs Viewer (roles/logging.privateLogViewer): Memberikan akses ke semua log di bucket _Required dan _Default, termasuk log akses data.

Jika Anda membuat bucket log atau tampilan log yang ditentukan pengguna di bucket log, maka izin tambahan diperlukan. Untuk mengetahui informasi selengkapnya tentang peran, lihat Kontrol akses dengan IAM.

Daftar wilayah yang didukung

Bucket log adalah resource regional. Infrastruktur yang menyimpan, mengindeks, dan menelusuri entri log Anda berada di lokasi geografis tertentu. Dengan pengecualian bucket log di region global, eu, atau us, Cloud de Confiance by S3NS mengelola infrastruktur sehingga aplikasi Anda tersedia secara redundan di seluruh zona dalam region bucket log.

Region berikut didukung oleh Cloud Logging:

Nama region Deskripsi region
u-france-east1 Prancis
global

Log yang disimpan di pusat data mana pun yang berada di region yang didukung. Log mungkin dipindahkan ke pusat data yang berbeda. Tidak ada jaminan redundansi tambahan.

Jika Anda ingin memilih lokasi penyimpanan untuk data log Anda, gunakan bucket log regional.

Langkah berikutnya