Algumas ou todas as informações nesta página podem não se aplicar à Trusted Cloud by S3NS. Consulte o artigo Diferenças em relação ao Google Cloud para mais detalhes.

Esta página foi traduzida pela API Cloud Translation.

Armazene entradas do registo

Este documento apresenta os contentores de registos, que são os contentores que o Cloud Logging usa para armazenar os seus dados de registo. Fornece informações sobre a localização, a gestão da chave de encriptação e a retenção de dados para contentores de registos. Também realça onde pode usar políticas da organização ou definições de recursos predefinidas para controlar a localização e a encriptação de novos contentores de registos em pastas ou organizações.

Acerca dos contentores de registo

Por predefinição, o Cloud Logging encripta o conteúdo do cliente armazenado em repouso. Os dados armazenados em contentores de registos pelo Logging são encriptados com chaves de encriptação de chaves, um processo conhecido como encriptação de envelope. O acesso aos seus dados de registo requer acesso a essas chaves de encriptação de chaves. Por predefinição, estas são Google Cloud-powered encryption keys e não requerem nenhuma ação da sua parte.

A sua organização pode ter requisitos regulamentares, relacionados com a conformidade ou de encriptação avançada que a nossa encriptação em repouso predefinida não oferece. Para cumprir os requisitos da sua organização, em vez de usarGoogle Cloud-powered encryption keys, pode gerir as suas próprias chaves.

Os contentores de registos são recursos regionais com uma localização fixa.O Trusted Cloud by S3NS gerencia essa infraestrutura para que as suas aplicações estejam disponíveis de forma redundante nas zonas dessa região.

O período de retenção dos dados armazenados por um contentor de registos depende do contentor de registos. Este documento contém informações sobre a retenção de dados.

Pode criar visualizações de registos num contentor de registos. Uma vista de registos fornece acesso apenas a um subconjunto dos dados de registo armazenados num contentor de registos. Para cada contentor de registos, o Cloud Logging cria automaticamente uma visualização de registos que fornece acesso a todas as entradas de registo no contentor de registos. Controla o acesso a uma vista de registo através da gestão de identidade e de acesso (IAM).

Para consultar e ver os dados de registo, use o Explorador de registos. Esta página ajuda a resolver problemas e a analisar o desempenho dos seus serviços e aplicações. Pode ver entradas de registo individuais e filtrar os dados de registo. Esta interface tem uma definição de âmbito, que lhe permite pesquisar dados de registo por projeto, contentor de registo ou vista de registo.

Para saber mais, consulte o artigo Consultar e ver entradas de registo.

Suporte para organizações e pastas

Para ajudar a sua organização a cumprir as necessidades de conformidade e regulamentares, o Logging suporta políticas organizacionais e definições de recursos predefinidas:

As predefinições de recursos especificam a localização e a forma como as chaves de encriptação são geridas para os contentores de registos criados pelo sistema quando são criados novos recursos numa pasta ou numa organização. Por exemplo, pode forçar estes contentores de registos criados pelo sistema a estar numa localização específica.
Uma política da organização pode restringir a localização de novos contentores de registos definidos pelo utilizador. O registo suporta políticas da organização que especificam regiões onde os contentores de registos podem ou não ser criados.

Recipientes de registos criados pelo sistema

Para cada Trusted Cloud projeto, conta de faturação, pasta ou organização, o Cloud Logging cria dois contentores de registos, um denominado _Required e o outro denominado _Default. A menos que as definições de recursos predefinidas estejam configuradas, para estes contentores de registos, estes contentores têm Google Cloud-powered encryption keys e o Cloud Logging seleciona a respetiva localização.

Não pode eliminar os contentores de registos criados pelo sistema.

`_Required` contentor de registos

O contentor de registos _Required armazena entradas de registos necessárias para fins de conformidade ou auditoria. Por este motivo, não pode eliminar este contentor de registos nem modificar as entradas de registo armazenadas neste contentor de registos. As entradas de registo neste contentor de registos são retidas durante 400 dias. Não é possível alterar este período de retenção.

As entradas de registo armazenadas no contentor de registos _Required de um recurso também têm origem nesse recurso. Ou seja, o contentor de registos _Requirednum Trusted Cloud projeto só pode armazenar entradas de registos originadas nesse projeto.

O contentor de registos _Requiredarmazena os seguintes tipos de entradas de registo:

Registos de auditoria da atividade do administrador
Registos de auditoria de eventos do sistema
Registos de auditoria do administrador do Google Workspace
Registos de auditoria de grupos Enterprise
Registos de auditoria do início de sessão

`_Default` contentor de registos

O contentor de registos _Default armazena entradas de registos que não são armazenadas automaticamente no contentor de registos _Required. Uma vez que o contentor de registos _Default foi criado pelo sistema, não o pode eliminar. No entanto, pode modificar as entradas de registo armazenadas neste contentor de registos.

O Cloud Logging retém as entradas de registo no contentor _Default durante 30 dias.

Por exemplo, este contentor de registos armazena:

Registos de auditoria de acesso aos dados.
Registos de auditoria de políticas recusadas.
Registos gerados por aplicações e Trusted Cloud by S3NS serviços.

Recipientes de registos definidos pelo utilizador

Pode criar contentores de registos definidos pelo utilizador em qualquer Trusted Cloud projeto. Quando cria um contentor de registos definido pelo utilizador, seleciona a localização. Tem a opção de fornecer uma chave de encriptação gerida pelo cliente.

Pode modificar e eliminar contentores de registos definidos pelo utilizador. Para se proteger contra a eliminação de um contentor de registos que armazena entradas de registo dentro do respetivo período de retenção, pode bloquear o contentor de registos contra atualizações.

Controle o acesso a um contentor de registo

As autorizações e as funções do IAM controlam o acesso aos dados de registo. Por exemplo, pode fazer o seguinte:

Conceder acesso de leitura e edição a um contentor de registo.
Conceda acesso de edição a um contentor de registos com base na associação a um grupo através de etiquetas.
Controle o acesso a campos específicos numa entrada de registo configurando o acesso ao nível do campo num contentor de registos.
Conceder acesso a um subconjunto de entradas de registo num contentor de registo criando uma vista de registo nesse contentor de registo.

Cada contentor de registos tem uma vista de registos predefinida, que normalmente inclui todas as entradas de registos no contentor de registos. Para o contentor de registos _Default, a vista de registos predefinida exclui as entradas do registo de acesso a dados.

Para conceder a um utilizador as autorizações necessárias para ver e analisar entradas de registo, normalmente, é concedida uma das seguintes funções do IAM:

Função Logs Viewer (roles/logging.viewer): concede acesso a todas as entradas de registo no contentor _Required e acesso à vista de registo predefinida no contentor _Default.
Visualizador de registos privados (roles/logging.privateLogViewer) função: concede acesso a todos os registos nos contentores _Required e _Default, incluindo registos de acesso a dados.

Se criar contentores de registos definidos pelo utilizador ou visualizações de registos em contentores de registos, são necessárias autorizações adicionais. Para mais informações sobre funções, consulte o artigo Controlo de acesso com a IAM.

Lista de regiões suportadas

Os contentores de registos são recursos regionais. A infraestrutura que armazena, indexa e pesquisa as suas entradas de registo está localizada numa localização geográfica específica. Com exceção dos contentores de registos nas regiões global, eu ou us, a Google gere a infraestrutura para que as suas aplicações estejam disponíveis de forma redundante nas zonas da região do contentor de registos. Trusted Cloud by S3NS

As seguintes regiões são suportadas pelo Cloud Logging:

Nome da região Descrição da região

u-france-east1 França

Nome da região	Descrição da região
`u-france-east1`	França
`global`	Registos armazenados em quaisquer centros de dados que se encontrem em qualquer região suportada. Os registos podem ser movidos para diferentes centros de dados. Sem garantias de redundância adicionais. Se quiser escolher a localização de armazenamento dos dados de registo, use um contentor de registos regional.

global

Registos armazenados em quaisquer centros de dados que se encontrem em qualquer região suportada. Os registos podem ser movidos para diferentes centros de dados. Sem garantias de redundância adicionais.

Se quiser escolher a localização de armazenamento dos dados de registo, use um contentor de registos regional.