本页面上的部分或全部信息可能不适用于 Trusted Cloud by S3NS。

存储日志条目

本文档介绍了日志存储桶，这类存储桶是 Cloud Logging 用于存储日志数据的容器。其中提供了有关日志存储桶的位置、加密密钥管理和数据保留的信息。它还重点介绍了您可以在哪些情况下使用组织政策或默认资源设置来控制文件夹或组织中新日志存储桶的位置和加密。

日志存储桶简介

默认情况下，Cloud Logging 会对以静态方式存储的客户内容进行加密。Logging 存储在日志存储桶中的数据使用密钥加密密钥进行加密，此过程称为信封加密。访问日志记录数据需要具有这些密钥加密密钥的访问权限。默认情况下，这些内容是 Google Cloud-powered encryption keys ，您自己无需执行任何操作。

您的组织可能具有我们的默认静态加密不提供的监管、合规性相关或高级加密要求。为满足组织的要求，您可以自行管理密钥，而不是使用Google Cloud-powered encryption keys。

日志存储桶是具有固定位置的区域级资源。 Trusted Cloud by S3NS 负责管理该基础设施，以便您的应用在该区域内的各可用区之间以冗余方式提供。

日志存储桶存储的数据的保留期限取决于日志存储桶。本文档包含有关数据保留的信息。

您可以创建日志存储桶中的日志视图。日志视图仅提供对日志存储桶中存储的部分日志数据的访问权限。对于每个日志存储桶，Cloud Logging 都会自动创建一个日志视图，用于提供对日志存储桶中每个日志条目的访问权限。您可以使用 Identity and Access Management (IAM) 来控制对日志视图的访问权限。

如需查询和查看日志数据，请使用 Logs Explorer。此页面可帮助您排查问题并分析服务和应用的性能。您可以查看各个日志条目以及过滤日志数据。此界面具有范围设置，可让您按项目、日志存储桶或日志视图搜索日志数据。

如需了解详情，请参阅查询和查看日志条目。

对组织和文件夹的支持

为了帮助组织满足合规性和监管需求，Logging 支持组织政策和默认资源设置：

默认资源设置用于指定在文件夹或组织中创建新资源时，系统创建的日志存储桶的位置及其加密密钥管理方式。例如，您可以强制将这些系统创建的日志存储桶放在特定位置。
组织政策可以限制用户定义的新日志存储桶的位置。Logging 支持用于指定可以创建或不能创建日志存储桶的区域的组织政策。

系统创建的日志存储桶

对于每个 Trusted Cloud 项目、结算账号、文件夹或组织，Cloud Logging 都会创建两个日志存储桶，一个名为 _Required，另一个名为 _Default。除非配置了默认资源设置，否则对于这些日志存储桶，它们会具有Google Cloud-powered encryption keys 并且 Cloud Logging 会选择其位置。

您无法删除系统创建的日志存储桶。

`_Required` 日志存储分区

_Required 日志存储桶用于存储实现合规性或审核目的所需的日志条目。因此，您无法删除此日志存储桶，也无法修改存储在此日志存储桶中的日志条目。此日志存储桶中的日志条目会保留 400 天；您无法更改此保留期限。

存储在某个资源的 _Required 日志存储桶中的日志条目也源自该资源。也就是说，某个 Trusted Cloud 项目中的 _Required 日志存储桶只能存储源自该项目的日志条目。

_Required 日志存储桶存储以下类型的日志条目：

管理员活动审核日志
系统事件审核日志
Google Workspace 管理员审核日志
企业版群组审核日志
登录审核日志

`_Default` 日志存储分区

_Default 日志存储桶用于存储不会自动存储在 _Required 日志存储桶中的日志条目。由于 _Default 日志存储桶是由系统创建的，因此您无法将其删除。不过，您可以修改存储在此日志存储桶中的日志条目。

Cloud Logging 会将 _Default 存储桶中的日志条目保留 30 天。

例如，此日志存储桶可存储：

数据访问审核日志。
政策拒绝审核日志。
由应用和 Trusted Cloud by S3NS 服务生成的日志。

用户定义的日志存储分区

您可以在任何Trusted Cloud 项目中创建用户定义的日志存储桶。创建用户定义的日志存储桶时，您可以选择位置。您可以选择提供客户管理的加密密钥。

您可以修改和删除用户定义的日志存储桶。如需防止删除存储处于保留期限内的日志条目的日志存储桶，您可以锁定日志存储桶以防更新。

控制对日志存储桶的访问权限

IAM 权限和角色可控制对日志数据的访问权限。例如，您可以执行以下所有操作：

授予对日志存储桶的读取和修改权限。
使用标记，根据群组成员资格授予对日志存储桶的修改权限。
通过对日志存储桶配置字段级访问权限，控制对日志条目中特定字段的访问权限。
通过在日志存储桶中创建日志视图，授予对日志存储桶中部分日志条目的访问权限。

每个日志存储桶都有一个默认日志视图，该视图通常包含日志存储桶中的每个日志条目。对于 _Default 日志存储桶，默认日志视图不包括数据访问日志条目。

如需向用户授予查看和分析日志条目所需的权限，通常可授予以下 IAM 角色之一：

Logs Viewer (roles/logging.viewer) 角色：授予对 _Required 存储桶中的所有日志条目的访问权限，以及对 _Default 存储桶中的默认日志视图的访问权限。
Private Logs Viewer (roles/logging.privateLogViewer) 角色：授予对 _Required 和 _Default 存储桶中的所有日志（包括数据访问日志）的访问权限。

如果您创建用户定义的日志存储桶或是日志存储桶中的日志视图，则需要额外权限。如需详细了解角色，请参阅使用 IAM 进行访问权限控制。

支持的区域列表

日志存储桶属于区域级资源。对日志条目进行存储、编制索引和搜索的基础设施位于特定的地理位置。除了 global、eu 或 us 区域中的日志存储桶之外， Trusted Cloud by S3NS 负责管理该基础设施，以便您的应用在日志存储桶所在区域内的各个可用区之间以冗余方式提供。

Cloud Logging 支持以下区域：

区域名称区域说明

u-france-east1 法国

区域名称	区域说明
`u-france-east1`	法国
`global`	存储在位于任何支持的区域中的任何数据中心的日志。日志可能会移至其他数据中心。没有额外的冗余保证。如果您想选择日志数据的存储位置，请使用区域日志存储桶。

global

存储在位于任何支持的区域中的任何数据中心的日志。日志可能会移至其他数据中心。没有额外的冗余保证。

如果您想选择日志数据的存储位置，请使用区域日志存储桶。