基本コンセプト

Cloud Logging は、Google Cloud の Google Cloud のオペレーション スイートの一部です。ログのストレージ、ユーザー インターフェース(ログ エクスプローラ)、ログをプログラムで管理する API から構成されます。Logging では、ログエントリの読み取りと書き込み、ログのクエリ、エクスポート シンクやログベースの指標の作成など、ログのルーティングを制御できます。

プロジェクト

ログは、主に Google Cloud プロジェクトに関連付けられていますが、組織、フォルダ、請求アカウントなどの他の Google Cloud リソースにログが存在する場合もあります。

ログエントリ

ログエントリにはステータスやイベントが記録されます。エントリは、Google Cloud サービス、AWS サービス、サードパーティ アプリケーション、または独自のアプリケーションによって作成されます。ログエントリで送受信される「メッセージ」は「ペイロード」と呼ばれ、単純な文字列の場合もあれば、構造化データの場合もあります。

Compute Engine や BigQuery など、定期的にログエントリを生成するサービスを使い始めると、プロジェクトにログエントリが送信されます。また、Cloud Monitoring を AWS に接続するとき、VM インスタンスに Logging エージェントをインストールするとき、Logging API で entries.write メソッドを呼び出すときにもログエントリが生成されます。

ログエントリのデータ形式の詳細については、LogEntry タイプをご覧ください。

ログ

ログは、Google Cloud リソース内のログエントリの名前付きコレクションです。各ログエントリにはログの名前が記録されています。ログ名は、syslog のような単純な識別子の場合もあれば、compute.googleapis.com/activity のようにログのライターを含む構造化された名前の場合もあります。ログエントリが含まれていない場合、ログは存在しません。

保持期間

ログエントリは、一定の時間 Cloud Logging で保持されます。この期間を保持期間といいます。この期間が経過すると、エントリは削除されます。さまざまなタイプのログの保持期間は、Logging 割り当てと上限にリストされています。

一部のログの保持期間を構成できます。詳しくは、ログの保持: カスタム保持をご覧ください。

ログをバックアップする場合は、Cloud Logging の外部でログをエクスポートします。

モニタリング対象リソース

各ログエントリには、モニタリング対象リソースの名前など、ログの作成元が記録されます。たとえば、個々の Compute Engine VM インスタンス、Google Kubernetes Engine コンテナ、データベース インスタンスなどです。

モニタリング対象リソースタイプの詳細については、モニタリング対象リソースとサービスをご覧ください。

クエリ

クエリは、Logging クエリ言語のフィルタ式です。ログ エクスプローラや Logging API でログエントリを選択するときに使用されます。たとえば、特定の VM インスタンスで発生したログエントリや、特定の期間に受信した特定の重要度のログエントリを選択できます。

ログルーター

監査ログ、プラットフォーム ログ、ユーザーログを含むすべてのログは、Cloud Logging API に送信され、ここでログルーターを通過します。ログルーターは、各ログエントリを既存のルールと照合して、取り込む(保持する)ログエントリ、エクスポートに含めるログエントリ、破棄するログエントリを決定します。

詳しくは、ログルーターの概要をご覧ください。

シンクを使用してログをエクスポートする

Logging が受信したログエントリは、Cloud Storage バケット、BigQuery データセット、Pub/Sub トピックにエクスポートできます。

ログをエクスポートするには、シンクを構成します。これにより、Logging でログを受信しながらログエントリをエクスポートできます。シンクに記述された宛先やクエリで、エクスポートするログエントリを選択します。

詳細については、ログのエクスポートの概要をご覧ください。

ログベースの指標

指標は、Cloud Monitoring の機能です。ログベースの指標は、指定したクエリに一致するログエントリの数を表す指標です。

詳細については、ログベースの指標の概要をご覧ください。

ログタイプ

Cloud Logging で使用可能なログタイプについては、使用可能なログをご覧ください。

アクセス制御

Logging ログにアクセスする機能は、メンバーに Identity and Access Management 権限を付与することで制御されます。

IAM ビューアの役割を持つメンバーは、大半のログを読み取ることができます。データアクセス監査ログまたはアクセスの透明性ログを読み取るには、メンバーに IAM オーナーの役割または特別な権限を持つカスタムの役割を付与する必要があります。

必要な権限の詳細については、アクセス制御をご覧ください。