本頁面的部分或所有資訊可能不適用於 S3NS 的 Cloud de Confiance。詳情請參閱「與 Google Cloud 的差異」。

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

儲存記錄項目

本文將介紹「記錄檔 bucket」，這是 Cloud Logging 用來儲存記錄檔資料的容器。其中包含記錄檔儲存空間的位置、加密金鑰管理方式，以及資料保留時間。此外，這項功能也會醒目顯示您可以在何處使用 Cloud Logging 的組織政策或預設資源設定，控管資料夾或機構中新記錄檔儲存空間的位置和加密方式。

關於記錄檔 bucket

根據預設，Cloud Logging 會加密靜態儲存的客戶內容。Logging 儲存在記錄檔 bucket 中的資料會以金鑰加密金鑰進行加密，這個程序稱為「信封式加密」。如要存取記錄資料，必須具備對應的金鑰加密金鑰存取權。這些是預設值，您不必採取任何行動。 Google Cloud-powered encryption keys

貴機構可能需要符合法規、法規遵循或進階加密要求，而預設的靜態資料加密機制無法滿足這些需求。為符合貴機構的需求，您可以自行管理金鑰，而不使用Google Cloud-powered encryption keys。

記錄檔 bucket 是位置固定的區域性資源。 Cloud de Confiance by S3NS 會管理該基礎架構，確保應用程式在該區域內的可用區提供備援功能。

記錄檔 bucket 儲存資料的保留期限取決於記錄檔 bucket。這份文件包含資料保留相關資訊。

您可以在記錄檔 bucket 中建立記錄檢視畫面。記錄檢視畫面只會提供記錄檔 bucket 中儲存的部分記錄資料存取權。Cloud Logging 會自動為每個記錄檔 bucket 建立一個記錄檢視畫面，方便您存取記錄檔 bucket 中的每個記錄項目。您可以使用 Identity and Access Management (IAM) 控管記錄檢視區的存取權。

如要查詢及查看記錄資料，請使用 Logs Explorer。本頁面可協助您排解服務和應用程式效能問題，並進行分析。您可以查看個別記錄項目，並篩選記錄資料。這個介面提供範圍設定，可讓您依專案、記錄檔 bucket 或記錄檢視搜尋記錄資料。

詳情請參閱「查詢及查看記錄項目」。

支援機構和資料夾

為協助貴機構滿足法規遵循和法規需求，記錄功能支援組織政策和預設資源設定：

對於機構和資料夾，Cloud Logging 的預設資源設定會指定系統建立的記錄 bucket 位置。此外，他們也會指定所有記錄儲存區的加密金鑰管理方式。
機構政策可以限制新使用者定義的記錄檔儲存空間位置。記錄作業支援組織政策，可指定可建立或無法建立記錄檔 bucket 的區域。

系統建立的記錄檔 bucket

Cloud Logging 會為每個 Cloud de Confiance 專案、帳單帳戶、資料夾或機構建立兩個記錄檔值區，分別命名為 _Required 和 _Default。除非已設定 Cloud Logging 的預設資源設定，否則這些 bucket 會具有Google Cloud-powered encryption keys ，且 Cloud Logging 會選取其位置。

您無法刪除系統建立的記錄 bucket。

`_Required` 記錄檔 bucket

_Required 記錄檔 bucket 會儲存法規遵循或稽核所需的記錄項目。因此，您無法刪除這個記錄檔 bucket，也無法修改儲存在這個記錄檔 bucket 中的記錄檔項目。這個記錄檔 bucket 中的記錄檔項目會保留 400 天，您無法變更保留期限。

儲存在資源的 _Required 記錄檔 bucket 中的記錄項目，也來自該資源。也就是說， Cloud de Confiance 專案中的 _Required 記錄檔 bucket 只能儲存該專案產生的記錄項目。

_Required 記錄檔 bucket 會儲存下列類型的記錄項目：

管理員活動稽核記錄
系統事件稽核記錄
Google Workspace 管理員稽核記錄
Enterprise 網路論壇稽核記錄
登入稽核記錄

`_Default` 記錄檔 bucket

_Default 記錄檔值區會儲存未自動儲存在 _Required 記錄檔值區中的記錄檔項目。_Default 記錄檔 bucket 是由系統建立，因此無法刪除。不過，您可以修改要儲存在這個記錄檔 bucket 中的記錄項目。

Cloud Logging 會將記錄項目保留在 _Default 值區 30 天，除非您為該值區設定自訂保留時間。

舉例來說，這個記錄檔 bucket 會儲存：

資料存取稽核記錄。
政策遭拒稽核記錄。
應用程式和服務產生的記錄。 Cloud de Confiance by S3NS

使用者定義的記錄檔 bucket

您可以在任何Cloud de Confiance 專案中建立使用者定義的記錄檔 bucket。建立使用者定義的記錄檔 bucket 時，請選取位置並設定資料保留期限。您可以選擇提供客戶管理的加密金鑰。

您可以修改及刪除使用者定義的記錄檔儲存空間。如要避免刪除儲存保留期限內記錄項目的記錄檔 bucket，可以鎖定記錄檔 bucket，防止更新。

控管記錄檔 bucket 的存取權

IAM 權限和角色可控管記錄資料的存取權。舉例來說，您可以執行下列所有操作：

授予記錄檔 bucket 的讀取和編輯權限。
根據群組成員資格使用標記，授予記錄檔 bucket 的編輯存取權。
如要控管記錄項目中特定欄位的存取權，請在記錄檔 bucket 中設定欄位層級存取權。
如要授予記錄檔 bucket 中部分記錄項目的存取權，請在該記錄檔 bucket 中建立記錄檢視畫面。

每個記錄檔 bucket 都有預設記錄檢視畫面，通常會包含記錄檔 bucket 中的所有記錄項目。對於 _Default 記錄檔 bucket，預設記錄檢視畫面會排除資料存取記錄項目。

如要授予使用者查看及分析記錄檔項目的權限，通常會授予下列其中一個 IAM 角色：

記錄檢視者 (roles/logging.viewer) 角色：授予 _Required bucket 中所有記錄項目的存取權，以及 _Default bucket 中預設記錄檢視畫面的存取權。
私密記錄檢視者 (roles/logging.privateLogViewer) 角色：授予存取 _Required 和 _Default bucket 中所有記錄的權限，包括資料存取權記錄。

如果您在記錄值區中建立使用者定義的記錄值區或記錄檢視畫面，則需要額外權限。如要進一步瞭解角色，請參閱「使用 IAM 控管存取權」。

支援的地區清單

記錄檔值區是區域資源。儲存、建立索引及搜尋記錄項目的基礎架構位於特定地理位置。除了 global、eu 或 us 區域中的記錄檔 bucket 外， Cloud de Confiance by S3NS 會管理基礎架構，確保應用程式在記錄檔 bucket 所在區域的各個可用區中，都能以備援方式運作。

Cloud Logging 支援下列區域：

區域名稱地區說明

u-france-east1 法國

區域名稱	地區說明
`u-france-east1`	法國
`global`	儲存在任何支援區域的資料中心。記錄檔可能會移至其他資料中心。不提供額外的備援保證。如要選擇記錄檔資料的儲存位置，請使用區域記錄檔 bucket。

global

儲存在任何支援區域的資料中心。記錄檔可能會移至其他資料中心。不提供額外的備援保證。

如要選擇記錄檔資料的儲存位置，請使用區域記錄檔 bucket。