ACE#5(ensure-operations)
ある組織は、すべてのプロジェクトの Cloud Audit Logs を中央のセキュリティチームが分析するために、組織レベルで単一の BigQuery データセットへ集約したいと考えています。最も適切な構成はどれですか。
正解:A
正解の根拠
組織レベルの Log Sink (集約シンク) を作成し、includeChildren=true を指定すると、配下の全フォルダ・プロジェクトのログが単一の宛先に集約できます。宛先には BigQuery データセット、Cloud Storage バケット、Pub/Sub トピック、別の Logging バケットを指定可能で、運用負荷の低い標準的なパターンです。
サービス比較
| 項目 | 組織レベル Log Sink | プロジェクト個別 Sink |
|---|---|---|
| スコープ | 全プロジェクト一括 | プロジェクト単位 |
| 運用負荷 | 低 | 高 (個別管理) |
| 新規プロジェクト | 自動対象 | 都度設定 |
不正解の理由
- D: Pub/Sub への個別転送は冗長で、組織横断の集約には組織レベルの集約シンクが適切です
- B: Cloud Functions のポーリングは API クォータ消費が大きく、シンクの存在意義が失われます
- C: gcloud logging copy はバケット間コピーで、リアルタイムの集約配信には適しません
コメント