基本コンセプト

Stackdriver Logging は、Google Cloud の Stackdriver プロダクト スイートの一部です。ログのストレージ、ユーザー インターフェース(ログビューア)、ログをプログラムで管理する API から構成されます。Logging では、ログエントリの読み取りと書き込み、ログの検索とクエリ、ログのエクスポートを行うことができます。また、ログベースの指標を作成することもできます。

プロジェクト

ログは、主に Google Cloud プロジェクトに関連付けられていますが、組織、フォルダ、請求アカウントなどの他のリソースにログが存在する場合もあります。ログビューアには 1 つのプロジェクトのログしか表示されませんが、Logging API を使用すると、複数のリソースのログエントリを読み取ることができます。

ログエントリ

ログエントリにはステータスやイベントが記録されます。エントリは、Google Cloud サービス、AWS サービス、サードパーティ製アプリケーション、または独自のアプリケーションによって作成されます。ログエントリで送受信される「メッセージ」は「ペイロード」と呼ばれ、単純な文字列の場合もあれば、構造化データの場合もあります。

Compute Engine や BigQuery など、定期的にログエントリを生成するサービスを使い始めると、プロジェクトにログエントリが送信されます。また、Stackdriver を AWS に接続した場合や、Logging エージェントを VM インスタンスにインストールした場合、Logging API で entries.write メソッドを呼び出した場合にもログエントリが生成されます。

ログ

ログは、Google Cloud リソース内のログエントリの名前付きコレクションです。各ログエントリにはログの名前が記録されています。ログ名は、syslog のような単純な識別子の場合もあれば、compute.googleapis.com/activity のようにログのライターを含む構造化された名前の場合もあります。ログエントリがない場合、ログは存在しません。

保持期間

ログエントリは、一定の時間 Stackdriver Logging で保持されます。この期間を保持期間といいます。この期間が経過すると、エントリは削除されます。ログエントリの保持時間を長くするには、Stackdriver Logging の外部にログをエクスポートします。

さまざまなタイプのログの保持期間は、Logging 割り当てと上限にリストされています。

モニタリング対象リソース

各ログエントリには、モニタリング対象リソースの名前など、ログの作成元が記録されます。たとえば、個々の Compute Engine VM インスタンス、個々の Amazon EC2 VM インスタンス、データベース インスタンスなどです。モニタリング対象リソースタイプの詳細については、モニタリング対象リソースとサービスをご覧ください。

クエリ

高度なクエリは、Logging クエリ言語のフィルタ式です。ログビューアや Logging API でログエントリを選択するときに使用されます。たとえば、特定の VM インスタンスで発生したログエントリや、特定の期間に受信した特定の重要度のログエントリを選択できます。

ログルーター

監査ログ、プラットフォーム ログ、ユーザーログを含むすべてのログは、Stackdriver Logging API に送信され、ここでログルーターを通過します。ログルーターは、各ログエントリを既存のルールと照合して、取り込むログエントリ、エクスポートに含めるログエントリ、破棄するログエントリを決定します。詳しくは、ログルーターの概要をご覧ください。

シンクを使用してログをエクスポートする

Logging が受信したログエントリは、Cloud Storage バケット、BigQuery データセット、Pub/Sub トピックにエクスポートできます。ログをエクスポートするには、シンクを構成します。これにより、Logging でログを受信しながらログエントリをエクスポートできます。シンクに記述された宛先やクエリで、エクスポートするログエントリを選択します。

ログベースの指標

指標は、Stackdriver Monitoring の機能です。ログベースの指標は、指定したクエリに一致するログエントリの数を表す指標です。

監査ログ

Google Cloud サービスは、監査ログを作成して Google Cloud リソースに対する特定の管理者またはユーザーの操作を記録します。監査ログは、ログビューアのその他のログと一緒に表示されます。詳細については、Cloud Audit Logging をご覧ください。

アクセス制御

Logging ログへのアクセス権は、Cloud Identity and Access Management 権限をメンバーに付与することで制御します。

Cloud IAM 閲覧者の役割を持つメンバーは、大半のログを読み取ることができます。データアクセス監査ログまたはアクセスの透明性ログを読み取るには、メンバーに Cloud IAM オーナーの役割または特別な権限を持つカスタム役割が必要です。

詳細については、アクセス制御をご覧ください。