Algumas ou todas as informações nesta página podem não se aplicar ao Cloud de Confiance da S3NS. Consulte Diferenças do Google Cloud para saber mais.

Esta página foi traduzida pela API Cloud Translation.

Armazenar entradas de registro

Este documento apresenta os buckets de registros, que são os contêineres que o Cloud Logging usa para armazenar seus dados de registros. Ele fornece informações sobre localização, gerenciamento da chave de criptografia e retenção de dados para buckets de registros. Ele também destaca onde é possível usar políticas da organização ou configurações de recursos padrão para controlar o local e a criptografia de novos buckets de registro em pastas ou organizações.

Sobre buckets de registros

Por padrão, o Cloud Logging criptografa o conteúdo do cliente armazenado em repouso. Os dados armazenados em buckets de registros pelo Logging são criptografados usando chaves de criptografia de chaves, um processo conhecido como criptografia de envelope. Para acessar os dados de registro, é preciso ter acesso a essas chaves de criptografia de chaves. Por padrão, eles são Google Cloud-powered encryption keys e não exigem nenhuma ação da sua parte.

Sua organização pode ter requisitos de criptografia regulamentares, relacionados à conformidade ou avançados que nossa criptografia em repouso padrão não oferece. Para atender aos requisitos da sua organização, em vez de usar Google Cloud-powered encryption keys, você pode gerenciar suas próprias chaves.

Os buckets de registro são recursos regionais com um local fixo.O Cloud de Confiance by S3NS gerencia essa infraestrutura para que seus aplicativos estejam disponíveis de maneira redundante nas zonas dessa região.

O período de armazenamento dos dados armazenados por um bucket de registros depende do bucket. Este documento contém informações sobre retenção de dados.

É possível criar visualizações de registros em um bucket de registros. Uma visualização de registros dá acesso apenas a um subconjunto dos dados de registros armazenados em um bucket de registros. Para cada bucket de registros, o Cloud Logging cria automaticamente uma visualização de registro que fornece acesso a todas as entrada de registro no bucket de registros. Você controla o acesso a uma visualização de registros usando o Identity and Access Management (IAM).

Para consultar e visualizar os dados de registro, use o Explorador de registros. Esta página ajuda você a resolver problemas e analisar o desempenho dos seus serviços e aplicativos. É possível ver entradas de registro individuais e filtrar os dados de registro. Essa interface tem uma configuração de escopo que permite pesquisar dados de registros por projeto, bucket de registros ou visualização de registros.

Para saber mais, consulte Consultar e visualizar entradas de registro.

Suporte para organizações e pastas

Para ajudar sua organização a atender às necessidades regulatórias e de compliance, o Logging é compatível com políticas da organização e configurações de recursos padrão:

As configurações padrão de recursos especificam o local e como as chaves de criptografia são gerenciadas para buckets de registros criados pelo sistema quando novos recursos são criados em uma pasta ou organização. Por exemplo, é possível forçar esses buckets de registros criados pelo sistema a ficar em um local específico.
Uma política da organização pode restringir o local de novos buckets de registro definidos pelo usuário. O Logging oferece suporte a políticas da organização que especificam regiões onde os buckets de registro podem ou não ser criados.

Buckets de registros criados pelo sistema

Para cada projeto, conta de faturamento, pasta ou organização do Cloud de Confiance , o Cloud Logging cria dois buckets de registro, um chamado _Required e o outro chamado _Default. A menos que as configurações de recursos padrão sejam configuradas, esses buckets de registro terãoGoogle Cloud-powered encryption keys , e o Cloud Logging selecionará o local deles.

Não é possível excluir os buckets de registro criados pelo sistema.

Bucket de registro `_Required`

O bucket de registros _Required armazena entradas de registro necessárias para fins de compliance ou auditoria. Por isso, não é possível excluir nem modificar as entradas de registro armazenadas nele. As entradas de registro nesse bucket de registros são mantidas por 400 dias. Não é possível mudar esse período de armazenamento.

As entradas de registro armazenadas no bucket de registros _Required de um recurso também se originam desse recurso. Ou seja, o bucket de registros _Required em um projeto Cloud de Confiance só pode armazenar entradas de registro originadas nesse projeto.

O bucket de registros _Required armazena os seguintes tipos de entradas de registro:

Registros de auditoria de atividade do administrador
Registros de auditoria de eventos do sistema
Registros de auditoria do administrador do Google Workspace
Registros de auditoria do Grupos do Google Enterprise
Registros de auditoria de login

Bucket de registro `_Default`

O bucket de registros _Default armazena entradas de registro que não são armazenadas automaticamente no bucket de registros _Required. Como o bucket de registros _Default é criado pelo sistema, não é possível excluí-lo. No entanto, é possível modificar quais entradas de registro são armazenadas nesse bucket de registros.

O Cloud Logging retém as entradas de registro no bucket _Default por 30 dias.

Por exemplo, este bucket de registros armazena:

Registros de auditoria de acesso a dados.
Registros de auditoria de política negada.
Registros gerados por aplicativos e Cloud de Confiance by S3NS serviços.

Buckets de registros definidos pelo usuário

É possível criar buckets de registros definidos pelo usuário em qualquer projeto doCloud de Confiance . Ao criar um bucket de registros definido pelo usuário, você seleciona o local. Você pode fornecer uma chave de criptografia gerenciada pelo cliente.

É possível modificar e excluir buckets de registros definidos pelo usuário. Para evitar a exclusão de um bucket de registros que armazena entradas dentro do período de armazenamento, bloqueie o bucket contra atualizações.

Controlar o acesso a um bucket de registros

As permissões e os papéis do IAM controlam o acesso aos dados de registros. Por exemplo, é possível fazer o seguinte:

Conceda acesso de leitura e edição a um bucket de registros.
Conceda acesso de edição a um bucket de registros com base na associação ao grupo usando tags.
Controle o acesso a campos específicos em uma entrada de registro configurando o acesso no nível do campo em um bucket de registros.
Conceda acesso a um subconjunto de entradas de registro em um bucket de registros criando uma visualização de registro nesse bucket.

Cada bucket de registros tem uma visualização de registros padrão, que normalmente inclui todas as entrada de registro no bucket. Para o bucket de registros _Default, a visualização de registros padrão exclui entradas de registro de acesso a dados.

Para dar a um usuário as permissões necessárias para visualizar e analisar entradas de registro, normalmente um dos seguintes papéis do IAM é concedido:

Papel Visualizador de registros (roles/logging.viewer): concede acesso a todas as entradas de registro no bucket _Required e à visualização de registro padrão no bucket _Default.
Papel Leitor de registros particulares (roles/logging.privateLogViewer): concede acesso a todos os registros nos buckets _Required e _Default, incluindo registros de acesso a dados.

Se você criar buckets de registro ou visualizações de registro definidas pelo usuário em buckets de registro, serão necessárias permissões adicionais. Para mais informações sobre papéis, consulte Controle de acesso com o IAM.

Lista de regiões compatíveis

Os buckets de registro são recursos regionais. A infraestrutura que armazena, indexa e pesquisa suas entradas de registro está localizada em uma região geográfica específica. Com exceção dos buckets de registros nas regiões global, eu ou us, o Cloud de Confiance by S3NS gerencia a infraestrutura para que seus aplicativos estejam disponíveis de maneira redundante nas zonas da região do bucket de registros.

As seguintes regiões são compatíveis com o Cloud Logging:

Nome da região Descrição da região

u-france-east1 França

Nome da região	Descrição da região
`u-france-east1`	França
`global`	Registros armazenados em data centers em qualquer região compatível. Os registros podem ser movidos para diferentes data centers. Sem garantias de redundância adicionais. Se você quiser escolher o local de armazenamento dos dados de registro, use um bucket de registros regional.

global

Registros armazenados em data centers em qualquer região compatível. Os registros podem ser movidos para diferentes data centers. Sem garantias de redundância adicionais.

Se você quiser escolher o local de armazenamento dos dados de registro, use um bucket de registros regional.