Dokumen ini memperkenalkan bucket log, yaitu container yang digunakan Cloud Logging untuk menyimpan data log Anda. Objek ini memberikan informasi tentang lokasi, pengelolaan kunci enkripsi, dan retensi data untuk bucket log. Bagian ini juga menunjukkan tempat Anda dapat menggunakan kebijakan organisasi atau setelan resource default untuk mengontrol lokasi dan enkripsi bucket log baru di folder atau organisasi.
Tentang bucket log
Secara default, Cloud Logging mengenkripsi konten pelanggan yang disimpan dalam penyimpanan. Data yang disimpan di bucket log oleh Logging dienkripsi menggunakan kunci enkripsi kunci, sebuah proses yang dikenal sebagai enkripsi menyeluruh. Akses ke data logging Anda memerlukan akses ke kunci enkripsi tersebut. Secara default, ini adalah Google Cloud-powered encryption keys dan tidak memerlukan tindakan apa pun dari Anda.
Organisasi Anda mungkin memiliki persyaratan enkripsi tingkat lanjut, terkait kepatuhan, atau peraturan yang tidak disediakan oleh enkripsi dalam penyimpanan default kami. Untuk memenuhi persyaratan organisasi Anda, alih-alih menggunakan Google Cloud-powered encryption keys, Anda dapat mengelola kunci Anda sendiri.
Bucket log adalah resource regional dengan lokasi tetap. Cloud de Confiance by S3NS mengelola infrastruktur tersebut sehingga aplikasi Anda tersedia secara redundan di seluruh zona dalam region tersebut.
Periode retensi untuk data yang disimpan oleh bucket log bergantung pada bucket log. Dokumen ini berisi informasi tentang retensi data.
Anda dapat membuat tampilan log di bucket log. Tampilan log hanya memberikan akses ke sebagian kecil data log yang disimpan dalam bucket log. Untuk setiap bucket log, Cloud Logging otomatis membuat satu tampilan log yang memberikan akses ke setiap entri log dalam bucket log. Anda dapat mengontrol akses ke tampilan log menggunakan Identity and Access Management (IAM).
Untuk membuat kueri dan melihat data log, gunakan Logs Explorer. Halaman ini membantu Anda memecahkan masalah dan menganalisis performa layanan dan aplikasi Anda. Anda dapat melihat setiap entri log dan memfilter data log. Antarmuka ini memiliki setelan cakupan, yang memungkinkan Anda menelusuri data log menurut project, bucket log, atau tampilan log.
Untuk mempelajari lebih lanjut, lihat Kueri dan lihat entri log.
Dukungan untuk organisasi dan folder
Untuk membantu organisasi Anda memenuhi kebutuhan kepatuhan dan peraturan, Logging mendukung kebijakan organisasi dan setelan resource default:
Setelan resource default menentukan lokasi dan cara kunci enkripsi dikelola untuk bucket log yang dibuat sistem saat resource baru dibuat dalam folder atau organisasi. Misalnya, Anda dapat memaksa bucket log yang dibuat sistem ini berada di lokasi tertentu.
Kebijakan organisasi dapat membatasi lokasi bucket log yang ditentukan pengguna baru. Logging mendukung kebijakan organisasi yang menentukan region tempat bucket log dapat atau tidak dapat dibuat.
Bucket log yang dibuat sistem
Untuk setiap project, akun penagihan, folder, atau organisasi, Cloud Logging membuat dua bucket log, satu bernama _Required
dan yang lainnya bernama _Default
. Cloud de Confiance Kecuali jika setelan resource default dikonfigurasi, untuk bucket log ini, bucket tersebut memiliki
Google Cloud-powered encryption keys dan Cloud Logging memilih lokasinya.
Anda tidak dapat menghapus bucket log yang dibuat sistem.
Bucket log _Required
Bucket log _Required
menyimpan entri log yang diperlukan untuk tujuan kepatuhan atau audit. Oleh karena itu, Anda tidak dapat menghapus bucket log ini dan Anda tidak dapat mengubah entri log yang disimpan di bucket log ini.
Entri log di bucket log ini disimpan selama 400 hari; Anda tidak dapat mengubah periode retensi ini.
Entri log yang disimpan di bucket log _Required
untuk resource juga berasal dari resource tersebut. Artinya, bucket log _Required
dalam project Cloud de Confiance hanya dapat menyimpan entri log yang berasal dari project tersebut.
Bucket log _Required
menyimpan jenis entri log berikut:
- Log audit Aktivitas Admin
- Log audit Peristiwa Sistem
- Log audit Admin Google Workspace
- Log audit Enterprise Groups
- Log audit Login
Bucket log _Default
Bucket log _Default
menyimpan entri log yang tidak otomatis
disimpan di bucket log _Required
. Karena bucket log _Default
dibuat oleh sistem, Anda tidak dapat menghapusnya. Namun, Anda dapat mengubah entri log yang disimpan di bucket log ini.
_Default
selama
30 hari.
Misalnya, bucket log ini menyimpan:
- Log audit Akses Data.
- Log audit Kebijakan Ditolak.
- Log yang dihasilkan oleh aplikasi dan layanan Cloud de Confiance by S3NS .
Bucket log yang ditentukan pengguna
Anda dapat membuat bucket log yang ditentukan pengguna di projectCloud de Confiance mana pun. Saat membuat bucket log yang ditentukan pengguna, Anda memilih lokasi. Anda memiliki opsi untuk memberikan kunci enkripsi yang dikelola pelanggan.
Anda dapat mengubah dan menghapus bucket log yang ditentukan pengguna. Untuk melindungi dari penghapusan bucket log yang menyimpan entri log yang berada dalam periode retensinya, Anda dapat mengunci bucket log agar tidak diperbarui.
Mengontrol akses ke bucket log
Izin dan peran IAM mengontrol akses ke data log. Misalnya, Anda dapat melakukan semua hal berikut:
- Memberikan akses baca dan edit ke bucket log.
- Memberikan akses edit ke bucket log berdasarkan keanggotaan grup dengan menggunakan tag.
- Kontrol akses ke kolom tertentu dalam entri log dengan mengonfigurasi akses tingkat kolom pada bucket log.
Memberikan akses ke subset entri log dalam bucket log dengan membuat tampilan log di bucket log tersebut.
Setiap bucket log memiliki tampilan log default, yang biasanya mencakup setiap entri log dalam bucket log. Untuk bucket log
_Default
, tampilan log default mengecualikan entri log akses data.
Untuk memberi pengguna izin yang diperlukan untuk melihat dan menganalisis entri log, biasanya salah satu peran IAM berikut diberikan:
Peran Logs Viewer (
roles/logging.viewer
): Memberikan akses ke semua entri log di bucket_Required
, dan akses ke tampilan log default di bucket_Default
.Peran Private Logs Viewer (
roles/logging.privateLogViewer
): Memberikan akses ke semua log di bucket_Required
dan_Default
, termasuk log akses data.
Jika Anda membuat bucket log atau tampilan log yang ditentukan pengguna di bucket log, maka izin tambahan diperlukan. Untuk mengetahui informasi selengkapnya tentang peran, lihat Kontrol akses dengan IAM.
Daftar wilayah yang didukung
Bucket log adalah resource regional. Infrastruktur yang menyimpan, mengindeks, dan menelusuri entri log Anda berada di lokasi geografis tertentu. Dengan pengecualian bucket log di region global
, eu
, atau us
, Cloud de Confiance by S3NS mengelola infrastruktur sehingga aplikasi Anda tersedia secara redundan di seluruh zona dalam region bucket log.
Region berikut didukung oleh Cloud Logging:
Nama region | Deskripsi region |
---|---|
u-france-east1 |
Prancis |
global |
Log yang disimpan di pusat data mana pun yang berada di region yang didukung. Log mungkin dipindahkan ke pusat data yang berbeda. Tidak ada jaminan redundansi tambahan. Jika Anda ingin memilih lokasi penyimpanan untuk data log Anda, gunakan bucket log regional. |
Langkah berikutnya
- Merutekan data log.
- Buat kueri dan lihat entri log.
- Mengonfigurasi dan mengelola bucket log.
- Konfigurasi setelan default untuk organisasi dan folder.