Diese Seite wurde von der Cloud Translation API übersetzt.

Logs Ihrer Organisation zusammenfassen und speichern

In diesem Dokument wird beschrieben, wie Sie die von den Ressourcen generierten Logs verwalten in Ihrer Google Cloud-Organisation durch ein nicht abfangendes aggregierte Senke.

Sie können eine aggregierte Senke so konfigurieren, dass sie abfangen oder nicht abfangen, je nachdem, ob Sie steuern möchten, welche Logs abgefragt werden können, durch die Senken in untergeordneten Ressourcen weitergeleitet. In dieser Anleitung erstellen Sie eine aggregierte Senke, die die Audit-Logs Ihrer Organisation an eine Google Cloud-Projekt Dann erstellen Sie im Google Cloud-Projekt eine Logsenke, die die aggregierten Audit-Logs an einen Log-Bucket weiterleitet.

Weitere Informationen zu aggregierten Senken finden Sie unter Logs auf Organisations- und Ordnerebene sortieren und an unterstützte Ziele weiterleiten.

In dieser Anleitung führen Sie die folgenden Schritte aus:

Zuerst erstellen Sie einen Log-Bucket und eine Logsenke im Google Cloud-Projekt, in dem Sie Ihre aggregierten Logs speichern möchten.
Als Nächstes erstellen Sie eine nicht abfangende aggregierte Senke auf Organisationsebene, Sie leiten Logs an das Google Cloud-Projekt weiter.
Als Nächstes konfigurieren Sie den Lesezugriff auf Logansichten im neuen Log-Bucket.
Schließlich fragen Sie Ihre Logs über die Seite „Log-Explorer“ ab und sehen sich diese an.

Hinweise

Prüfen Sie dabei Folgendes:

Um die Berechtigungen zu erhalten, die Sie zum Erstellen von Log-Buckets und aggregierten Logsenken benötigen, bitten Sie Ihren Administrator, Ihnen folgenden IAM-Rollen:
- Autor von Logkonfigurationen (roles/logging.configWriter) für das Projekt
- Autor von Logkonfigurationen (roles/logging.configWriter) für Ihre Organisation
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

So erhalten Sie die Berechtigungen, die Sie zum Gewähren von Hauptrollen benötigen: bitten Sie Ihren Administrator, Ihnen IAM-Rolle Inhaber (roles/owner) für ein Projekt.
Wenn Sie VPC Service Controls verwenden, müssen Sie ein für den Dienstperimeter. Weitere Informationen zu Einschränkungen für VPC Service Controls finden Sie unter Aggregierte Senken und Einschränkungen für VPC Service Controls.

Log-Bucket erstellen

Log-Buckets speichern von anderen Google Cloud-Projekten, Ordnern oder Organisationen weitergeleitete Logs. Weitere Informationen finden Sie unter Log-Buckets konfigurieren

So erstellen Sie den Log-Bucket in dem Google Cloud-Projekt, das Sie erstellen möchten: zu aggregieren, führen Sie die folgenden Schritte aus:

Rufen Sie die Google Cloud Console auf:
Zur Google Cloud Console
Führen Sie in einem Cloud Shell-Terminal den Befehl gcloud logging buckets create-Befehl.

Führen Sie den folgenden Befehl aus, bevor Sie den folgenden Befehl ausführen: Ersatz:
- BUCKET_NAME: Der Name des Log-Buckets.
- LOCATION: Der Speicherort des Log-Buckets.
- PROJECT_ID: Die Kennung des Projekts, in dem das Element erstellt werden soll. Log-Bucket.
Führen Sie den Befehl gcloud logging buckets create aus:
```
 gcloud logging buckets create BUCKET_NAME \
   --location=LOCATION --project=PROJECT_ID
```
Hinweis: Nachdem Sie den Log-Bucket erstellt haben, können Sie den Bucket nicht mehr ändern. Region.

Prüfen Sie, ob der Log-Bucket erstellt wurde:

gcloud logging buckets list --project=PROJECT_ID

Optional: Legen Sie die Aufbewahrungsdauer für die Logs im Bucket fest. In diesem Beispiel wird die Aufbewahrung von im Bucket gespeicherten Logs auf 365 Tage verlängert:
```
gcloud logging buckets update BUCKET_NAME \
  --location=LOCATION --project=PROJECT_ID \
  --retention-days=365
```

Logsenke auf Projektebene erstellen

Durch Erstellen einer Senke leiten Sie Logeinträge an einen Log-Bucket weiter. Ein Waschbecken enthält ein Einschlussfilter, ein optionaler Ausschlussfilter und ein Ziel. In dieser als Ziel Ihr neuer Log-Bucket. Weitere Informationen zu Senken finden Sie unter Logs an unterstützte Ziele weiterleiten

So erstellen Sie eine Senke, die Logeinträge an den soeben erstellten Log-Bucket weiterleitet: nehmen Sie die folgenden Ersetzungen vor und führen den gcloud logging sinks create Befehl:

PROJECT_LEVEL_SINK_NAME: der Name der Projektebene Logsenke.
SINK_DESTINATION: Der Log-Bucket, an den Ihre Logs weitergeleitet werden. Die Das Format des Zielpfads für einen Log-Bucket lautet:
```
logging.googleapis.com/projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME
```
PROJECT_ID: Die Kennung des Projekts, in dem das Element erstellt werden soll. Logsenke. Legen Sie dieses Flag auf dasselbe Projekt fest, in dem Sie das Log erstellt haben Bucket.
Fügen Sie die folgenden Flags hinzu:
- --log-filter : Legen Sie mit diesem Flag einen Wert fest. Filter, der mit dem Log übereinstimmt die Sie in die Senke aufnehmen möchten. In dieser Anleitung ist der Filter alle Audit-Logeinträge auswählen. Wenn Sie keinen Filter festlegen, werden Logs aus Ihrem Google Cloud-Projekt an das Ziel weitergeleitet.
- --description: Verwenden Sie dieses Flag, um den Zweck oder Anwendungsfall für in die Spüle.
Führen Sie folgenden Befehl aus:
```
gcloud logging sinks create PROJECT_LEVEL_SINK_NAME SINK_DESTINATION
--project=PROJECT_ID
--log-filter='logName:cloudaudit.googleapis.com' \
--description="Audit logs from my organization" \
```

Aggregierte Senke erstellen

Aggregierte Senken kombinieren und weiterleiten Log-Einträge aus den Ressourcen in einer Organisation oder einem Ordner an ein Ziel.

In dieser Anleitung erstellen Sie eine aggregierte Senke, die nicht abfangen. Dieses Jeder Logeintrag, der von der aggregierten Senke weitergeleitet wird, den Senken in der Ressource, von der der Logeintrag stammt. Beispiel: das Audit-Log von einem Projekt, wird von der aggregierten Senke und dem Senken in diesem Projekt. Daher ist es möglich, mehrere Kopien eines Logeintrags.

Sie können abfangende Senken erstellen. Weitere Informationen finden Sie unter Logs auf Organisations- und Ordnerebene sortieren und an unterstützende Ziele weiterleiten

Senke auf Organisationsebene einrichten

Zum Erstellen einer aggregierten Senke, die nicht abfangen und das Log weiterleitet. Einträge zu einem Projekt erstellen, führen Sie die folgenden Schritte aus:

Führen Sie den Befehl gcloud logging sinks create aus:

Führen Sie den folgenden Befehl aus, bevor Sie den folgenden Befehl ausführen: Ersatz:
- SINK_NAME: Der Name der Logsenke.
- PROJECT_ID: Die Kennung des Projekts, in dem der Log-Bucket gespeichert wird.
- ORGANIZATION_ID: Die Kennung der Organisation.
Führen Sie den Befehl gcloud logging sinks create aus:
```
gcloud logging sinks create SINK_NAME \
logging.googleapis.com/projects/PROJECT_ID  \
  --log-filter='logName:cloudaudit.googleapis.com' \
  --description="Audit logs from my organization" \
  --organization=ORGANIZATION_ID \
  --include-children
```
Das Flag --include-children ist wichtig, damit Logs aus allen Google Cloud-Projekten innerhalb Ihrer Organisation berücksichtigt werden. Weitere Informationen finden Sie unter Logs auf Organisationsebene sortieren und an unterstützte Ziele weiterleiten.

Prüfen Sie, ob die Senke erstellt wurde:

gcloud logging sinks list --organization=ORGANIZATION_ID

Rufen Sie den Namen des Dienstkontos ab:

gcloud logging sinks describe SINK_NAME --organization=ORGANIZATION_ID

Die Ausgabe sieht dann ungefähr so aus:

writerIdentity: serviceAccount:o1234567890-ORGANIZATION_ID@gcp-sa-logging.iam.gserviceaccount.com

Kopieren Sie den Wert des Felds serviceAccount in die Zwischenablage.

Hinweis: Zum Weiterleiten von Logs an eine Ressource, die durch ein Dienstperimeter müssen Sie das Dienstkonto für diese Senke einer Zugriffsebene hinzufügen. Weisen Sie ihn dem Zieldienstperimeter zu. Dies ist für nicht aggregierte Senken nicht erforderlich. Weitere Informationen finden Sie unter VPC Service Controls: Cloud Logging

Zugriff auf die Senke gewähren

Nachdem Sie die aggregierte Senke erstellt haben, müssen Sie ihr die Berechtigung zum Logs in das Projekt schreiben, das Sie als Ziel festgelegt haben. Sie können Berechtigung über die Google Cloud Console oder durch Bearbeiten der IAM-Richtlinie (Identity and Access Management) wie unter Legen Sie Zielberechtigungen fest.

So gewähren Sie der Senke die Berechtigung zum Schreiben von Logs:

Öffnen Sie in der Google Cloud Console die Seite IAM:
Rufen Sie IAM auf.

Wenn Sie diese Seite über die Suchleiste finden, wählen Sie das Ergebnis mit der Zwischenüberschrift IAM und Verwaltung.
Wählen Sie das Google Cloud-Projekt aus, das Ihren Log-Bucket enthält.
Klicken Sie auf Zugriff erlauben.
Fügen Sie im Feld Neue Hauptkonten das Dienstkonto ohne das serviceAccount:.
Wählen Sie im Menü Rolle auswählen die Option Logautor aus.
Klicken Sie auf Speichern.

Generieren Sie Logs, um die Senkenprüfung zu unterstützen

Um zu überprüfen, ob Ihre aggregierte Senke richtig konfiguriert ist, versuchen Sie Folgendes: Folgendes:

Erstellen Sie Audit-Logs, die an den Log-Bucket weitergeleitet werden sollen.
- Wenn Sie viele Google Cloud-Projekte in Ihrer Organisation haben, haben Sie möglicherweise genügend Audit-Log-Traffic, zu Validierungszwecken erstellen. Fahren Sie mit dem nächsten Schritt fort.
- Andernfalls wechseln Sie zu einem anderen Projekt und erstellen eine Compute Engine-VM. Instanz und löschen Sie dann die von Ihnen erstellte Instanz. Audit-Logs werden geschrieben, wenn eine VM erstellt, gestartet und gelöscht wird.
Folgen Sie der Anleitung im Abschnitt Sehen Sie sich die Logs auf der Seite „Log-Explorer“ an, um Ihre Audit-Logs. Wählen Sie unbedingt die Ansicht _AllLogs aus.

Lesezugriff auf eine Logansicht für einen Log-Bucket konfigurieren

Wenn Sie einen Log-Bucket erstellen, erstellt Cloud Logging automatisch einen Logansicht mit dem Namen _AllLogs. Diese Ansicht enthält jeden im Log-Bucket gespeicherten Logeintrag.

Um ein Hauptkonto so zu beschränken, dass es nur Zugriff auf bestimmte Logeinträge hat, erstellen Sie eine Logansicht und führen Sie dann einen der folgenden Schritte aus:

Gewähren Sie ihnen die Rolle roles/logging.viewAccessor zusammen mit einem IAM-Bedingung, die die Erteilung auf die Logansicht einschränkt.
In der IAM-Richtlinie, die mit der Logansicht verknüpft ist, einem Hauptkonto Zugriff zu gewähren. Wir empfehlen diesen Ansatz, wenn Sie viele Logansichten enthält.

Weitere Informationen zu diesen beiden Ansätzen finden Sie unter Zugriff auf eine Logansicht steuern

In den folgenden Schritten weisen Sie einem Hauptkonto die Rolle roles/logging.viewAccessor zusammen mit einer IAM-Bedingung , durch die die Berechtigung auf die Ansicht _AllLogs eingeschränkt wird:

Öffnen Sie in der Google Cloud Console die Seite IAM:
Rufen Sie IAM auf.

Wenn Sie diese Seite über die Suchleiste finden, wählen Sie das Ergebnis mit der Zwischenüberschrift IAM und Verwaltung.

Achten Sie darauf, dass Sie das Google Cloud-Projekt ausgewählt haben, das Sie zum Zusammenfassen der Logs verwenden.
Klicken Sie auf Hinzufügen.
Fügen Sie im Feld Neues Hauptkonto ein Hauptkonto hinzu.
Wählen Sie im Menü Rolle auswählen die Option Zugriffsfunktion für Logansichten aus.

Hinweis: Wenn Sie dieser Rolle keine Bedingung hinzufügen, hat das Hauptkonto Zugriff auf alle Logansichten aller benutzerdefinierten Log-Buckets im Google Cloud-Projekt.
Fügen Sie der Bindung eine IAM-Bedingung hinzu:
1. Klicken Sie auf Bedingung hinzufügen und geben Sie einen Titel und eine Beschreibung ein.
2. Scrollen Sie im Menü Bedingungstyp zu Ressource und Wählen Sie Name aus.
3. Wählen Sie im Menü Operator die Option Endet mit aus.
4. Geben Sie in das Feld Wert den vollständigen Namen der Logansicht ein:
```
locations/LOCATION/buckets/BUCKET_NAME/views/_AllLogs
```
5. Klicken Sie auf Speichern, um die Bedingung zu speichern.
Klicken Sie auf Speichern, um die Bindung zu speichern.

Logs auf der Seite „Log-Explorer“ ansehen

So rufen Sie die Logs in Ihrem Log-Bucket auf:

Rufen Sie in der Google Cloud Console die Seite Log-Explorer auf.
Zum Log-Explorer

Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.
Wählen Sie Bereich eingrenzen aus.
Wählen Sie unter Bereich eingrenzen die Option Bereich nach Speicher aus.
Wählen Sie die Logansicht oder Logansichten aus, deren Logeinträge Sie ansehen möchten. Wenn Sie beispielsweise alle Logs ansehen möchten, wählen Sie die Ansicht mit dem Namen _AllLogs aus.
Klicken Sie auf Anwenden.

Der Log-Explorer wird aktualisiert und zeigt die Logs aus Ihrem Log-Bucket an.

Informationen zur Verwendung des Log-Explorers finden Sie unter Log-Explorer verwenden