Algumas ou todas as informações nesta página podem não se aplicar à nuvem confiável da S3NS.

Esta página foi traduzida pela API Cloud Translation.

Armazenar entradas de registro

Este documento apresenta os buckets de registro, que são os contêineres que o Cloud Logging usa para armazenar os dados de registro. Ele fornece informações sobre o local, o gerenciamento da chave de criptografia e a retenção de dados para buckets de registro. Ele também destaca onde é possível usar políticas da organização ou configurações de recursos padrão para controlar o local e a criptografia de novos buckets de registro em pastas ou organizações.

Sobre os buckets de registro

Por padrão, o Cloud Logging criptografa o conteúdo do cliente armazenado em repouso. Os dados armazenados em buckets de registro pelo Logging são criptografados usando chaves de criptografia de chaves, um processo conhecido como criptografia de envelope. Para acessar os dados de registro, é preciso ter acesso a essas chaves de criptografia de chaves. Por padrão, eles são Google Cloud-powered encryption keys e não exigem nenhuma ação da sua parte.

Sua organização pode ter requisitos de criptografia regulamentares, relacionados à conformidade ou avançados que nossa criptografia em repouso padrão não oferece. Para atender aos requisitos da sua organização, em vez de usar Google Cloud-powered encryption keys, você pode gerenciar suas próprias chaves.

Os buckets de registro são recursos regionais com um local fixo.O Trusted Cloud by S3NS gerencia essa infraestrutura para que seus aplicativos estejam disponíveis de maneira redundante nas zonas dessa região.

O período de armazenamento dos dados armazenados por um bucket de registros depende do bucket de registros. Este documento contém informações sobre a retenção de dados.

É possível criar visualizações de registros em um bucket de registros. Uma visualização de registro fornece acesso apenas a um subconjunto dos dados de registro armazenados em um bucket de registros. Para cada bucket de registros, o Cloud Logging cria automaticamente uma visualização de registro que fornece acesso a todas as entrada de registro no bucket de registros. Você controla o acesso a uma visualização de registro usando o Identity and Access Management (IAM).

Para consultar e visualizar os dados de registro, use o Explorador de registros. Esta página ajuda a resolver problemas e analisar o desempenho dos seus serviços e aplicativos. É possível conferir entradas de registro individuais e filtrar os dados de registro. Essa interface tem uma configuração de escopo, que permite pesquisar dados de registro por projeto, bucket de registros ou visualização de registro.

Para saber mais, consulte Consultar e visualizar entradas de registro.

Suporte a organizações e pastas

Para ajudar sua organização a atender às necessidades de compliance e regulamentares, o registro oferece suporte a políticas da organização e configurações padrão de recursos:

As configurações de recursos padrão especificam o local e como as chaves de criptografia são gerenciadas para buckets de registro criados pelo sistema quando novos recursos são criados em uma pasta ou organização. Por exemplo, é possível forçar esses buckets de registro criados pelo sistema a ficarem em um local específico.
Uma política da organização pode restringir o local de novos buckets de registro definidos pelo usuário. O registro de acessos oferece suporte a políticas da organização que especificam regiões em que os buckets de registro podem ou não ser criados.

Buckets de registro criados pelo sistema

Para cada Trusted Cloud projeto, conta de faturamento, pasta ou organização, o Cloud Logging cria dois buckets de registro, um chamado _Required e o outro _Default. A menos que as configurações de recursos padrão sejam configuradas, para esses buckets de registro, eles têm Google Cloud-powered encryption keys e o Cloud Logging seleciona o local deles.

Não é possível excluir os buckets de registro criados pelo sistema.

Bucket de registro `_Required`

O bucket de registros _Required armazena entradas de registro necessárias para fins de compliance ou auditoria. Por esse motivo, não é possível excluir esse bucket de registros nem modificar as entradas de registro armazenadas nele. As entradas de registro neste bucket são retidas por 400 dias. Não é possível mudar esse período de armazenamento.

As entradas de registro armazenadas no bucket de registros _Required de um recurso também são originadas nesse recurso. Ou seja, o bucket de registros _Required em um projeto Trusted Cloud só pode armazenar entradas de registro originadas nesse projeto.

O bucket de registros _Required armazena os seguintes tipos de entradas de registro:

Registros de auditoria de atividade do administrador
Registros de auditoria de eventos do sistema
Registros de auditoria do administrador do Google Workspace
Registros de auditoria do Grupos do Google Enterprise
Registros de auditoria de login

Bucket de registro `_Default`

O bucket de registros _Default armazena entradas de registro que não são armazenadas automaticamente no bucket de registros _Required. Como o bucket de registros _Default é criado pelo sistema, não é possível excluí-lo. No entanto, é possível modificar quais entradas de registro são armazenadas nesse bucket de registros.

O Cloud Logging retém as entradas de registro no bucket _Default por 30 dias.

Por exemplo, este bucket de registros armazena:

Registros de auditoria de acesso a dados.
Registros de auditoria de política negada.
Registros gerados por aplicativos e Trusted Cloud by S3NS serviços.

Buckets de registros definidos pelo usuário

É possível criar buckets de registro definidos pelo usuário em qualquer projeto doTrusted Cloud . Ao criar um bucket de registros definido pelo usuário, você seleciona o local. Você tem a opção de fornecer uma chave de criptografia gerenciada pelo cliente.

É possível modificar e excluir buckets de registros definidos pelo usuário. Para proteger contra a exclusão de um bucket de registros que armazena entradas de registro dentro do período de armazenamento, bloqueie o bucket de registros contra atualizações.

Controlar o acesso a um bucket de registros

As permissões e os papéis do IAM controlam o acesso aos dados de registro. Por exemplo, é possível fazer o seguinte:

Conceder acesso de leitura e edição a um bucket de registros.
Conceda acesso de edição a um bucket de registros com base na associação a grupos usando tags.
Controle o acesso a campos específicos em uma entrada de registro configurando o acesso no nível do campo em um bucket de registro.
Conceda acesso a um subconjunto de entradas de registro em um bucket de registros criando uma visualização de registro nesse bucket.

Cada bucket de registros tem uma visualização de registro padrão, que normalmente inclui todas as entrada de registro no bucket de registros. Para o bucket de registros _Default, a visualização de registro padrão exclui as entradas de registro de acesso a dados.

Para conceder a um usuário as permissões necessárias para visualizar e analisar entradas de registro, normalmente um dos seguintes papéis do IAM é concedido:

Função Visualizador de registros (roles/logging.viewer): concede acesso a todas as entradas de registro no bucket _Required e acesso à visualização de registro padrão no bucket _Default.
Função Leitor de registros particulares (roles/logging.privateLogViewer): concede acesso a todos os registros nos buckets _Required e _Default, incluindo registros de acesso a dados.

Se você criar visualizações de registro ou buckets de registro definidos pelo usuário, permissões adicionais serão necessárias. Para mais informações sobre papéis, consulte Controle de acesso com o IAM.

Lista de regiões com suporte

Os buckets de registro são recursos regionais. A infraestrutura que armazena, indexa e pesquisa suas entradas de registro está localizada em um local geográfico específico. Com exceção dos buckets de registro nas regiões global, eu ou us, o Trusted Cloud by S3NS gerencia a infraestrutura para que seus aplicativos estejam disponíveis de maneira redundante nas zonas da região do bucket de registros.

As regiões a seguir são compatíveis com o Cloud Logging:

Nome da região Descrição da região

u-france-east1 França

Nome da região	Descrição da região
`u-france-east1`	França
`global`	Registros armazenados em qualquer data center em qualquer região com suporte. Os registros podem ser movidos para data centers diferentes. Nenhuma garantia de redundância. Se você quiser escolher o local de armazenamento dos dados de registro, use um bucket de registros regional.

global

Registros armazenados em qualquer data center em qualquer região com suporte. Os registros podem ser movidos para data centers diferentes. Nenhuma garantia de redundância.

Se você quiser escolher o local de armazenamento dos dados de registro, use um bucket de registros regional.