Sebagian atau seluruh informasi di halaman ini mungkin tidak berlaku untuk Trusted Cloud dari S3NS. Lihat Perbedaan dari Google Cloud untuk mengetahui detail selengkapnya.

Halaman ini diterjemahkan oleh Cloud Translation API.

Menyimpan entri log

Dokumen ini memperkenalkan bucket log, yang merupakan penampung yang digunakan Cloud Logging untuk menyimpan data log Anda. File ini memberikan informasi tentang lokasi, pengelolaan kunci enkripsi, dan retensi data untuk bucket log. Halaman ini juga menyoroti tempat Anda dapat menggunakan kebijakan organisasi atau setelan resource default untuk mengontrol lokasi dan enkripsi untuk bucket log baru di folder atau organisasi.

Tentang bucket log

Secara default, Cloud Logging mengenkripsi konten pelanggan yang disimpan dalam penyimpanan. Data yang disimpan di bucket log oleh Logging dienkripsi menggunakan kunci enkripsi kunci, proses yang dikenal sebagai enkripsi amplop. Akses ke data logging Anda memerlukan akses ke kunci enkripsi kunci tersebut. Secara default, ini adalah Google Cloud-powered encryption keys dan tidak memerlukan tindakan apa pun dari Anda.

Organisasi Anda mungkin memiliki persyaratan enkripsi lanjutan, terkait kepatuhan, atau peraturan yang tidak disediakan oleh enkripsi dalam penyimpanan default kami. Untuk memenuhi persyaratan organisasi, Anda dapat mengelola kunci sendiri, bukan menggunakan Google Cloud-powered encryption keys.

Bucket log adalah resource regional dengan lokasi tetap. Trusted Cloud by S3NS mengelola infrastruktur tersebut sehingga aplikasi Anda tersedia secara redundan di seluruh zona dalam region tersebut.

Periode retensi untuk data yang disimpan oleh bucket log bergantung pada bucket log. Dokumen ini berisi informasi tentang retensi data.

Anda dapat membuat tampilan log di bucket log. Tampilan log hanya memberikan akses ke sebagian data log yang disimpan di bucket log. Untuk setiap bucket log, Cloud Logging otomatis membuat satu tampilan log yang memberikan akses ke setiap entri log dalam bucket log. Anda dapat mengontrol akses ke tampilan log menggunakan Identity and Access Management (IAM).

Untuk membuat kueri dan melihat data log, gunakan Logs Explorer. Halaman ini membantu Anda memecahkan masalah dan menganalisis performa layanan dan aplikasi. Anda dapat melihat setiap entri log dan memfilter data log. Antarmuka ini memiliki setelan cakupan, yang memungkinkan Anda menelusuri data log berdasarkan project, bucket log, atau tampilan log.

Untuk mempelajari lebih lanjut, lihat Mengkueri dan melihat entri log.

Dukungan untuk organisasi dan folder

Untuk membantu organisasi Anda memenuhi kebutuhan kepatuhan dan peraturan, logging mendukung kebijakan organisasi dan setelan resource default:

Setelan resource default menentukan lokasi dan cara kunci enkripsi dikelola untuk bucket log buatan sistem saat resource baru dibuat di folder atau organisasi. Misalnya, Anda dapat memaksa bucket log buatan sistem ini berada di lokasi tertentu.
Kebijakan organisasi dapat membatasi lokasi bucket log baru yang ditentukan pengguna. Logging mendukung kebijakan organisasi yang menentukan region tempat bucket log dapat, atau tidak dapat, dibuat.

Bucket log yang dibuat sistem

Untuk setiap Trusted Cloud project, akun penagihan, folder, atau organisasi, Cloud Logging membuat dua bucket log, satu bernama _Required dan yang lainnya bernama _Default. Kecuali jika setelan resource default dikonfigurasi, untuk bucket log ini, bucket ini memilikiGoogle Cloud-powered encryption keys dan Cloud Logging memilih lokasinya.

Anda tidak dapat menghapus bucket log yang dibuat sistem.

Bucket log `_Required`

Bucket log _Required menyimpan entri log yang diperlukan untuk tujuan kepatuhan atau audit. Karena alasan ini, Anda tidak dapat menghapus bucket log ini dan tidak dapat mengubah entri log yang disimpan di bucket log ini. Entri log di bucket log ini disimpan selama 400 hari; Anda tidak dapat mengubah periode retensi ini.

Entri log yang disimpan di bucket log _Required untuk resource juga berasal dari resource tersebut. Artinya, bucket log _Required dalam project Trusted Cloud hanya dapat menyimpan entri log yang berasal dari project tersebut.

Bucket log _Required menyimpan jenis entri log berikut:

Log audit Aktivitas Admin
Log audit Peristiwa Sistem
Log audit Admin Google Workspace
Log audit Enterprise Groups
Log audit Login

Bucket log `_Default`

Bucket log _Default menyimpan entri log yang tidak otomatis disimpan di bucket log _Required. Karena bucket log _Default dibuat oleh sistem, Anda tidak dapat menghapusnya. Namun, Anda dapat mengubah entri log yang disimpan di bucket log ini.

Cloud Logging menyimpan entri log di bucket _Default selama 30 hari.

Misalnya, bucket log ini menyimpan:

Log audit Akses Data.
Log audit Kebijakan Ditolak.
Log yang dihasilkan oleh aplikasi dan Trusted Cloud by S3NS layanan.

Bucket log yang ditentukan pengguna

Anda dapat membuat bucket log yang ditentukan pengguna di projectTrusted Cloud mana pun. Saat membuat bucket log yang ditentukan pengguna, Anda harus memilih lokasinya. Anda memiliki opsi untuk memberikan kunci enkripsi yang dikelola pelanggan.

Anda dapat mengubah dan menghapus bucket log yang ditentukan pengguna. Untuk mencegah penghapusan log bucket yang menyimpan entri log yang berada dalam periode retensinya, Anda dapat mengunci bucket log agar tidak dapat diperbarui.

Mengontrol akses ke bucket log

Peran dan izin IAM mengontrol akses ke data log. Misalnya, Anda dapat melakukan semua hal berikut:

Berikan akses baca dan edit ke bucket log.
Berikan akses edit ke bucket log berdasarkan keanggotaan grup dengan menggunakan tag.
Kontrol akses ke kolom tertentu dalam entri log dengan mengonfigurasi akses tingkat kolom di bucket log.
Berikan akses ke sebagian entri log di bucket log dengan membuat tampilan log di bucket log tersebut.

Setiap bucket log memiliki tampilan log default, yang biasanya menyertakan setiap entri log dalam bucket log. Untuk bucket log _Default, tampilan log default mengecualikan entri log akses data.

Untuk memberi pengguna izin yang diperlukan untuk melihat dan menganalisis entri log, biasanya salah satu peran IAM berikut diberikan:

Peran Logs Viewer (roles/logging.viewer): Memberikan akses ke semua entri log di bucket _Required, dan akses ke tampilan log default di bucket _Default.
Peran Private Logs Viewer (roles/logging.privateLogViewer): Memberikan akses ke semua log di bucket _Required dan _Default, termasuk log akses data.

Jika Anda membuat bucket log atau tampilan log yang ditentukan pengguna di bucket log, izin tambahan diperlukan. Untuk mengetahui informasi selengkapnya tentang peran, lihat Kontrol akses dengan IAM.

Daftar region yang didukung

Bucket log adalah resource regional. Infrastruktur yang menyimpan, mengindeks, dan menelusuri entri log Anda terletak di lokasi geografis tertentu. Dengan pengecualian bucket log di region global, eu, atau us, Trusted Cloud by S3NS mengelola infrastruktur sehingga aplikasi Anda tersedia secara redundan di seluruh zona dalam region bucket log.

Region berikut didukung oleh Cloud Logging:

Nama region Deskripsi region

u-france-east1 Prancis

Nama region	Deskripsi region
`u-france-east1`	Prancis
`global`	Log yang disimpan di pusat data mana pun yang berada di region yang didukung. Log mungkin dipindahkan ke pusat data yang berbeda. Tidak ada jaminan redundansi tambahan. Jika Anda ingin memilih lokasi penyimpanan untuk data log, gunakan bucket log regional.

global

Log yang disimpan di pusat data mana pun yang berada di region yang didukung. Log mungkin dipindahkan ke pusat data yang berbeda. Tidak ada jaminan redundansi tambahan.

Jika Anda ingin memilih lokasi penyimpanan untuk data log, gunakan bucket log regional.