本頁面的部分或全部資訊可能不適用於 Trusted Cloud by S3NS。詳情請參閱「與 Google Cloud 的差異」。

本頁面由 Cloud Translation API 翻譯而成。

儲存記錄項目

本文將介紹記錄檔 bucket，這是 Cloud Logging 用來儲存記錄檔資料的容器。本文提供記錄檔儲存空間的位置、加密金鑰管理方式，以及資料保留時間等資訊。此外，本文也會說明如何使用機構政策或預設資源設定，控管資料夾或機構中新記錄檔值區的位置和加密設定。

關於記錄檔 bucket

根據預設，Cloud Logging 會加密靜態儲存的客戶內容。Logging 會使用金鑰加密金鑰，對儲存在記錄檔儲存空間中的資料進行加密，這個程序稱為「信封式加密」。如要存取記錄資料，必須先取得這些金鑰加密金鑰。這些值預設為 Google Cloud-powered encryption keys ，您不必採取任何行動。

貴機構可能需要符合法規、法規遵循或進階加密要求，而預設的靜態加密機制無法滿足這些需求。為符合貴機構的需求，您可以自行管理金鑰，而不使用Google Cloud-powered encryption keys。

記錄檔 bucket 是具有固定位置的區域資源。 Trusted Cloud by S3NS 會管理該基礎架構，確保應用程式在該區域內的可用區提供備援功能。

記錄檔 bucket 儲存的資料保留期限，取決於記錄檔 bucket。這份文件包含資料保留相關資訊。

您可以在記錄儲存區中建立記錄檢視區。 記錄檢視畫面只會提供記錄 bucket 中儲存的部分記錄資料存取權。Cloud Logging 會自動為每個記錄檔值區建立一個記錄檢視畫面，方便您存取記錄檔值區中的每個記錄項目。您可以使用身分與存取權管理 (IAM) 控管記錄檢視區的存取權。

如要查詢及查看記錄資料，請使用記錄檔探索工具。本頁面可協助您排解服務和應用程式的效能問題，並進行分析。您可以查看個別記錄項目，並篩選記錄資料。這個介面提供範圍設定，可讓您依專案、記錄值區或記錄檢視搜尋記錄資料。

詳情請參閱「查詢及查看記錄項目」。

支援機構和資料夾

為協助貴機構滿足法規遵循需求，記錄檔支援機構政策和預設資源設定：

預設資源設定會指定位置，以及在資料夾或機構中建立新資源時，如何管理系統建立的記錄檔值區加密金鑰。舉例來說，您可以強制將這些系統建立的記錄檔儲存空間放在特定位置。
機構政策可以限制新使用者定義的記錄檔儲存空間位置。記錄作業支援機構政策，可指定記錄儲存空間的建立區域。

系統建立的記錄檔 bucket

Cloud Logging 會為每個 Trusted Cloud 專案、帳單帳戶、資料夾或機構建立兩個記錄檔值區，分別命名為 _Required 和 _Default。除非已設定預設資源設定，否則這些記錄值區會具有Google Cloud-powered encryption keys ，且 Cloud Logging 會選取這些值區的位置。

您無法刪除系統建立的記錄檔 bucket。

`_Required` 記錄檔 bucket

_Required記錄值區會儲存法規遵循或稽核程序所需的記錄項目。因此，您無法刪除這個記錄值區，也無法修改儲存在這個記錄值區中的記錄項目。這個記錄檔 bucket 中的記錄檔項目會保留 400 天，您無法變更保留期限。

儲存在資源的 _Required 記錄 bucket 中的記錄項目，也源自該資源。也就是說， Trusted Cloud 專案中的 _Required 記錄 bucket 只能儲存該專案產生的記錄項目。

_Required 記錄值區會儲存下列類型的記錄項目：

管理員活動稽核記錄
系統事件稽核記錄
Google Workspace 管理員稽核記錄
Groups Enterprise 稽核記錄
登入稽核記錄

`_Default` 記錄檔 bucket

_Default 記錄檔值區會儲存未自動儲存在 _Required 記錄檔值區中的記錄檔項目。_Default 記錄 bucket 是系統建立的，因此無法刪除。不過，您可以修改要儲存在這個記錄檔值區中的記錄項目。

Cloud Logging 會將記錄檔項目保留在 _Default 值區 30 天。

舉例來說，這個記錄值區會儲存：

資料存取稽核記錄。
政策遭拒的稽核記錄。
應用程式和服務產生的記錄檔。 Trusted Cloud by S3NS

使用者定義的記錄檔 bucket

您可以在任何Trusted Cloud 專案中建立使用者定義的記錄檔 bucket。建立使用者定義的記錄值區時，請選取位置。您可以選擇提供客戶自行管理的加密金鑰。

您可以修改及刪除使用者定義的記錄檔儲存空間。如要避免刪除儲存保留期限內記錄項目的記錄檔 bucket，可以鎖定記錄檔 bucket，防止更新。

控管記錄檔值區的存取權

IAM 權限和角色可控管記錄資料的存取權。舉例來說，您可以執行下列所有操作：

授予記錄 bucket 的讀取和編輯權限。
根據群組成員資格使用標記，授予記錄值區的編輯存取權。
如要控管記錄檔項目中特定欄位的存取權，請在記錄檔 bucket 中設定欄位層級存取權。
如要授予記錄 bucket 中部分記錄項目的存取權，請在該記錄 bucket 中建立記錄檢視畫面。

每個記錄 bucket 都有預設記錄檢視畫面，通常會包含記錄 bucket 中的所有記錄項目。對於 _Default 記錄 bucket，預設記錄檢視畫面會排除資料存取記錄項目。

如要授予使用者檢視及分析記錄檔項目的權限，通常會授予下列其中一個 IAM 角色：

記錄檢視者 (roles/logging.viewer) 角色：授予 _Required 值區中所有記錄項目的存取權，以及 _Default 值區中預設記錄檢視畫面的存取權。
私密記錄檢視者 (roles/logging.privateLogViewer) 角色：授予存取 _Required 和 _Default 值區中所有記錄的權限，包括資料存取記錄。

如果您在記錄值區中建立使用者定義的記錄值區或記錄檢視畫面，則需要額外權限。如要進一步瞭解角色，請參閱「使用身分與存取權管理功能控管存取權」一文。

支援的地區清單

記錄檔值區是區域性資源。儲存、建立索引及搜尋記錄項目的基礎架構位於特定地理位置。除了 global、eu 或 us 區域中的記錄檔 bucket 外， Trusted Cloud by S3NS 會管理基礎架構，確保應用程式在記錄檔 bucket 所在區域的各個可用區中，都能以備援方式運作。

Cloud Logging 支援下列區域：

地區名稱地區說明

u-france-east1 法國

地區名稱	地區說明
`u-france-east1`	法國
`global`	儲存在任何支援區域的資料中心。記錄檔可能會移至其他資料中心。不提供額外的備援保證。如要選擇記錄資料的儲存位置，請使用區域記錄值區。

global

儲存在任何支援區域的資料中心。記錄檔可能會移至其他資料中心。不提供額外的備援保證。

如要選擇記錄資料的儲存位置，請使用區域記錄值區。