本頁面中的部分或全部資訊可能不適用於 Trusted Cloud by S3NS。

本頁面由 Cloud Translation API 翻譯而成。

儲存記錄項目

本文將介紹記錄檔值區，這是 Cloud Logging 用來儲存記錄資料的容器。提供位置、加密金鑰管理和記錄資料保留期間的相關資訊。這張圖表也標示出可使用組織政策或預設資源設定，控管資料夾或機構中新記錄檔值區的位置和加密功能。

關於記錄檔值區

根據預設，Cloud Logging 會加密靜態儲存的客戶內容。記錄功能會使用金鑰加密金鑰為儲存在記錄值區中的資料進行加密，這個程序稱為「信封式加密」。您必須具備這些金鑰加密金鑰的存取權，才能存取記錄資料。根據預設，這些都是 Google Cloud-powered encryption keys ，您不必採取任何行動。

貴機構可能有監管、法規遵循或進階加密要求，而我們的預設靜態加密功能並未提供這些功能。為滿足貴機構的需求，您可以自行管理金鑰，而非使用Google Cloud-powered encryption keys。

記錄值區是具有固定位置的區域資源。 Trusted Cloud by S3NS 會管理該基礎架構，讓應用程式可在該地區內的各區域備援運作。

記錄檔值區儲存資料的保留期限，取決於記錄檔值區。本文件包含資料保留相關資訊。

您可以在記錄資料集上建立記錄檢視畫面。記錄檢視畫面只提供存放在記錄值區中的記錄資料子集存取權。針對每個記錄檔值區，Cloud Logging 會自動建立一個記錄檢視畫面，提供對記錄檔值區中每個記錄項目的存取權。您可以使用身分與存取權管理 (IAM) 控管記錄檢視畫面的存取權。

如要查詢及查看記錄資料，請使用記錄檔探索工具。本頁面可協助您排解問題，並分析服務和應用程式的效能。您可以查看個別記錄項目，並篩選記錄資料。這個介面有範圍設定，可讓您依專案、記錄值區或記錄檢視搜尋記錄檔資料。

詳情請參閱「查詢及查看記錄項目」。

支援機構和資料夾

為協助貴機構遵循法規要求，Logging 支援組織政策和預設資源設定：

預設資源設定可指定系統建立的記錄值區的位置和加密金鑰管理方式，當您在資料夾或機構中建立新資源時，系統會使用這些設定。舉例來說，您可以強制系統建立的記錄資料集位於特定位置。
機構政策可以限制新使用者定義記錄資料集的位置。記錄功能支援機構政策，可指定可建立或無法建立記錄資料夾的區域。

系統建立的記錄檔值區

Cloud Logging 會為每個 Trusted Cloud 專案、帳單帳戶、資料夾或機構建立兩個記錄檔值區，一個名為 _Required，另一個名為 _Default。除非已設定預設資源設定，否則這些記錄值區會具有Google Cloud-powered encryption keys ，Cloud Logging 會選取其位置。

您無法刪除系統建立的記錄資料集。

`_Required` 記錄檔值區

_Required 記錄值區會儲存法規遵循或稽核目的所需的記錄項目。因此，您無法刪除這個記錄值區，也無法修改儲存在這個記錄值區中的記錄項目。這個記錄檔值區中的記錄項目會保留 400 天，您無法變更這個保留期限。

資源的記錄項目儲存在 _Required 記錄 bucket 中，也來自該資源。也就是說， Trusted Cloud 專案中的 _Required 記錄檔 bucket 只能儲存該專案產生的記錄項目。

_Required 記錄值區會儲存下列類型的記錄項目：

管理員活動稽核記錄
系統事件稽核記錄
Google Workspace 管理員稽核記錄
Enterprise 網路論壇稽核記錄
登入稽核記錄

`_Default` 記錄檔值區

_Default 記錄檔值區會儲存未自動儲存在 _Required 記錄檔值區中的記錄項目。_Default 記錄資料夾是由系統建立，因此無法刪除。不過，您可以修改儲存在這個記錄檔值區中的記錄項目。

Cloud Logging 會將記錄項目保留在 _Default 值區中 30 天。

舉例來說，這個記錄值區會儲存：

資料存取稽核記錄。
政策遭拒的稽核記錄。
應用程式和服務產生的記錄。 Trusted Cloud by S3NS

使用者定義的記錄檔值區

您可以在任何Trusted Cloud 專案中建立使用者定義的記錄檔值區。建立使用者定義的記錄值區時，您必須選取位置。您可以選擇提供客戶自行管理的加密金鑰。

您可以修改及刪除使用者定義的記錄值區。如要避免刪除儲存保留期間內記錄項目的記錄檔值區，您可以鎖定記錄檔值區，防止更新。

控管記錄檔值區的存取權

IAM 權限和角色可控管記錄資料的存取權。舉例來說，您可以執行下列所有操作：

授予讀取和編輯記錄資料集的存取權。
使用標記，根據群組成員資格授予記錄值區的編輯權限。
設定記錄值區的欄位層級存取權，控管記錄項目中特定欄位的存取權。
在記錄值區中建立記錄檢視畫面，即可授予存取記錄值區中記錄項目子集的權限。

每個記錄檔值區都有預設記錄檢視畫面，通常會包含記錄檔值區中的每個記錄項目。對於 _Default 記錄資料夾，預設的記錄檢視畫面會排除資料存取記錄項目。

如要授予使用者查看及分析記錄項目所需的權限，通常會授予下列其中一個 IAM 角色：

記錄檢視者 (roles/logging.viewer) 角色：可存取 _Required 值區中的所有記錄項目，以及 _Default 值區的預設記錄檢視畫面。
私密記錄檢視者 (roles/logging.privateLogViewer) 角色：授予對 _Required 和 _Default 桶中所有記錄的存取權，包括資料存取記錄。

如果您在值區上建立使用者定義的記錄值區或記錄檢視畫面，則需要額外的權限。如要進一步瞭解角色，請參閱「使用 IAM 控管存取權」。

支援的地區清單

記錄值區是區域性資源。儲存、索引及搜尋記錄項目的基礎架構位於特定地理位置。除了 global、eu 或 us 區域中的記錄檔值區， Trusted Cloud by S3NS 會管理基礎架構，讓應用程式在記錄檔值區的區域內的所有區域中提供備援功能。

Cloud Logging 支援下列地區：

地區名稱地區說明

u-france-east1 法國

地區名稱	地區說明
`u-france-east1`	法國
`global`	儲存在任何支援區域的任何資料中心中的記錄檔。記錄可能會移至其他資料中心。沒有額外的冗餘保證。如果您想選擇記錄資料的儲存位置，請使用地區記錄值區。

global

儲存在任何支援區域的任何資料中心中的記錄檔。記錄可能會移至其他資料中心。沒有額外的冗餘保證。

如果您想選擇記錄資料的儲存位置，請使用地區記錄值區。