Este documento apresenta os contentores de registos, que são os contentores que o Cloud Logging usa para armazenar os seus dados de registo. Fornece informações sobre a localização, a gestão da chave de encriptação e a retenção de dados para contentores de registos. Também realça onde pode usar políticas da organização ou definições de recursos predefinidas para controlar a localização e a encriptação de novos contentores de registos em pastas ou organizações.
Acerca dos contentores de registo
Por predefinição, o Cloud Logging encripta o conteúdo do cliente armazenado em repouso. Os dados armazenados em contentores de registos pelo Logging são encriptados com chaves de encriptação de chaves, um processo conhecido como encriptação de envelope. O acesso aos seus dados de registo requer acesso a essas chaves de encriptação de chaves. Por predefinição, estas são Google-owned and Google-managed encryption keys e não requerem nenhuma ação da sua parte.
A sua organização pode ter requisitos regulamentares, relacionados com a conformidade ou de encriptação avançada que a nossa encriptação em repouso predefinida não oferece. Para cumprir os requisitos da sua organização, em vez de usarGoogle-owned and Google-managed encryption keys, pode gerir as suas próprias chaves.
Os contentores de registos são recursos regionais com uma localização fixa.O Google Cloud gerencia essa infraestrutura para que as suas aplicações estejam disponíveis de forma redundante nas zonas dessa região.
O período de retenção dos dados armazenados por um contentor de registos depende do contentor de registos. Este documento contém informações sobre a retenção de dados.
Pode criar visualizações de registos num contentor de registos. Uma vista de registos fornece acesso apenas a um subconjunto dos dados de registo armazenados num contentor de registos. Para cada contentor de registos, o Cloud Logging cria automaticamente uma visualização de registos que fornece acesso a todas as entradas de registo no contentor de registos. Controla o acesso a uma vista de registo através da gestão de identidade e de acesso (IAM).
Para consultar e ver os dados de registo, use o Logs Explorer ou as páginas do Log Analytics da Google Cloud consola:
A página Logs Explorer ajuda a resolver problemas e analisar o desempenho dos seus serviços e aplicações. Pode ver entradas de registo individuais e filtrar os dados de registo. Esta interface tem uma definição de âmbito, que lhe permite pesquisar dados de registo por projeto, contentor de registo ou vista de registo.
A página Log Analytics oferece uma interface SQL que lhe permite realizar análises agregadas nos seus dados de registo armazenados num contentor de registos atualizado para usar as estatísticas. Por exemplo, use esta interface para calcular e representar graficamente tendências. Pode consultar as visualizações de registos e as visualizações de estatísticas.
Para saber mais, consulte o artigo Consultar e ver entradas de registo.
Suporte para organizações e pastas
Para ajudar a sua organização a cumprir as necessidades de conformidade e regulamentares, o Logging suporta políticas organizacionais e definições de recursos predefinidas:
As predefinições de recursos especificam a localização e a forma como as chaves de encriptação são geridas para os contentores de registos criados pelo sistema quando são criados novos recursos numa pasta ou numa organização. Por exemplo, pode forçar estes contentores de registos criados pelo sistema a estar numa localização específica.
Uma política da organização pode restringir a localização de novos contentores de registos definidos pelo utilizador. O registo suporta políticas da organização que especificam regiões onde os contentores de registos podem ou não ser criados.
Recipientes de registos criados pelo sistema
Para cada Google Cloud projeto, conta de faturação, pasta ou organização,
o Cloud Logging cria dois contentores de registos, um denominado _Required e o
outro denominado _Default. A menos que as definições de recursos predefinidas
estejam configuradas, para estes contentores de registos, estes contentores têm
Google-owned and Google-managed encryption keys e o Cloud Logging seleciona a respetiva
localização.
Não pode eliminar os contentores de registos criados pelo sistema.
Pode atualizar contentores de registos criados pelo sistema para usar o Analytics. Esta atualização permite-lhe consultar os dados de registo através da página Log Analytics, que suporta SQL.
_Required contentor de registos
O contentor de registos _Required armazena entradas de registos necessárias para fins de conformidade ou auditoria. Por este motivo, não pode eliminar este contentor de registos nem modificar as entradas de registo armazenadas neste contentor de registos.
As entradas de registo neste contentor de registos são retidas durante 400 dias. Não é possível alterar este período de retenção.
As entradas de registo armazenadas no contentor de registos _Required de um recurso
também têm origem nesse recurso. Ou seja, o contentor de registos _Requirednum Google Cloud projeto só pode armazenar entradas de registos originadas nesse projeto.
O contentor de registos _Requiredarmazena os seguintes tipos de entradas de registo:
- Registos de auditoria da atividade do administrador
- Registos de auditoria de eventos do sistema
- Registos de auditoria do administrador do Google Workspace
- Registos de auditoria de grupos Enterprise
- Registos de auditoria do início de sessão
_Default contentor de registos
O contentor de registos _Default armazena entradas de registos que não são armazenadas automaticamente no contentor de registos _Required. Uma vez que o contentor de registos _Default foi criado pelo sistema, não o pode eliminar. No entanto, pode modificar as entradas de registo armazenadas neste contentor de registos.
O Cloud Logging retém as entradas de registo no contentor _Default durante 30 dias, a menos que configure a retenção personalizada para o contentor.
Por exemplo, este contentor de registos armazena:
- Registos de auditoria de acesso aos dados.
- Registos de auditoria de políticas recusadas.
- Registos gerados por aplicações e Google Cloud serviços.
Recipientes de registos definidos pelo utilizador
Pode criar contentores de registos definidos pelo utilizador em qualquer Google Cloud projeto. Quando cria um contentor de registos definido pelo utilizador, seleciona a localização e define o período de retenção de dados. Tem a opção de fornecer uma chave de encriptação gerida pelo cliente.
Pode atualizar os contentores de registos definidos pelo utilizador para usar as estatísticas. Esta atualização permite-lhe consultar os dados de registo através da página Log Analytics, que suporta SQL.
Pode modificar e eliminar contentores de registos definidos pelo utilizador. Para se proteger contra a eliminação de um contentor de registos que armazena entradas de registo dentro do respetivo período de retenção, pode bloquear o contentor de registos contra atualizações.
Controle o acesso a um contentor de registo
As autorizações e as funções do IAM controlam o acesso aos dados de registo. Por exemplo, pode fazer o seguinte:
- Conceder acesso de leitura e edição a um contentor de registo.
- Conceda acesso de edição a um contentor de registos com base na associação a um grupo através de etiquetas.
- Controle o acesso a campos específicos numa entrada de registo configurando o acesso ao nível do campo num contentor de registos.
Conceder acesso a um subconjunto de entradas de registo num contentor de registo criando uma vista de registo nesse contentor de registo.
Cada contentor de registos tem uma vista de registos predefinida, que normalmente inclui todas as entradas de registos no contentor de registos. Para o contentor de registos
_Default, a vista de registos predefinida exclui as entradas do registo de acesso a dados.
Para conceder a um utilizador as autorizações necessárias para ver e analisar entradas de registo, normalmente, é concedida uma das seguintes funções do IAM:
Função Logs Viewer (
roles/logging.viewer): concede acesso a todas as entradas de registo no contentor_Requirede acesso à vista de registo predefinida no contentor_Default.Visualizador de registos privados (
roles/logging.privateLogViewer) função: concede acesso a todos os registos nos contentores_Requirede_Default, incluindo registos de acesso a dados.
Se criar contentores de registos definidos pelo utilizador ou visualizações de registos em contentores de registos, são necessárias autorizações adicionais. Para mais informações sobre funções, consulte o artigo Controlo de acesso com a IAM.
Lista de regiões suportadas
Os contentores de registos são recursos regionais. A infraestrutura que armazena, indexa e pesquisa as suas entradas de registo está localizada numa localização geográfica específica. Com exceção dos contentores de registos nas regiões global, eu ou us, a Google gere a infraestrutura para que as suas aplicações estejam disponíveis de forma redundante nas zonas da região do contentor de registos. Google Cloud
As seguintes regiões são suportadas pelo Cloud Logging:
Global
| Nome da região | Descrição da região |
|---|---|
global |
Registos armazenados em centros de dados em todo o mundo. Os registos podem ser movidos para diferentes centros de dados. Ao contrário de outros recursos globais no Google Cloud, os contentores de registos globais no Cloud Logging não oferecem garantias de redundância adicionais em comparação com um contentor de registos regional. |
Várias regiões: UE e EUA
| Nome da região | Descrição da região |
|---|---|
eu |
Registos armazenados em quaisquer centros de dados na União Europeia. Os registos podem ser movidos para diferentes centros de dados. Sem garantias de redundância adicionais. |
us |
Registos armazenados em quaisquer centros de dados nos Estados Unidos. Os registos podem ser movidos para diferentes centros de dados. Sem garantias de redundância adicionais. |
África
| Nome da região | Descrição da região |
|---|---|
africa-south1 |
Joanesburgo |
Américas
| Nome da região | Descrição da região |
|---|---|
northamerica-northeast1 |
Montréal |
northamerica-northeast2 |
Toronto |
northamerica-south1 |
México |
southamerica-east1 |
São Paulo |
southamerica-west1 |
Santiago |
us-central1 |
Iowa |
us-east1 |
Carolina do Sul |
us-east4 |
Norte da Virgínia |
us-east5 |
Columbus |
us-south1 |
Dallas |
us-west1 |
Oregon |
us-west2 |
Los Angeles |
us-west3 |
Salt Lake City |
us-west4 |
Las Vegas |
Ásia-Pacífico
| Nome da região | Descrição da região |
|---|---|
asia-east1 |
Taiwan |
asia-east2 |
Hong Kong |
asia-northeast1 |
Tóquio |
asia-northeast2 |
Osaca |
asia-northeast3 |
Seul |
asia-south1 |
Mumbai |
asia-south2 |
Deli |
asia-southeast1 |
Singapura |
asia-southeast2 |
Jacarta |
australia-southeast1 |
Sydney |
australia-southeast2 |
Melbourne |
Europa
| Nome da região | Descrição da região |
|---|---|
europe-central2 |
Varsóvia |
europe-north1 |
Finlândia |
europe-north2 |
Estocolmo |
europe-southwest1 |
Madrid |
europe-west1 |
Bélgica |
europe-west2 |
Londres |
europe-west3 |
Frankfurt |
europe-west4 |
Países Baixos |
europe-west6 |
Zurique |
europe-west8 |
Milão |
europe-west9 |
Paris |
europe-west10 |
Berlim |
europe-west12 |
Turim |
Médio Oriente
| Nome da região | Descrição da região |
|---|---|
me-central1 |
Doha |
me-central2 |
Damã |
me-west1 |
Telavive |
O que se segue?
- Dados de registo de trajeto.
- Consultar e ver entradas de registo.
- Configure e faça a gestão de contentores de registos.
- Configure as predefinições para organizações e pastas.