Diese Seite wurde von der Cloud Translation API übersetzt.
Switch to English

Logs Ihrer Organisation in einem Log-Bucket speichern

Auf dieser Seite wird beschrieben, wie Sie Logs in einem einzelnen Log-Bucket speichern. Eine gängige Methode zur Verwaltung Ihrer Logs besteht darin, sie organisationsübergreifend in einem einzelnen Log-Bucket zu aggregieren. In diesem Leitfaden wird der Prozess beispielhaft anhand der Zusammenfassung aller Audit-Logs erläutert.

Dieser Vorgang umfasst folgende Schritte:

  1. Log-Bucket zum Speichern der aggregierten Logs erstellen.

  2. Eine Senke auf Organisationsebene erstellen, um Logs an den neuen Log-Bucket weiterzuleiten.

  3. Lesezugriff für den neuen Log-Bucket konfigurieren.

  4. Logs über die Logs-Explorer-Seite suchen

Hinweis

Zum Ausführen der Schritte in diesem Leitfaden muss Folgendes bekannt sein:

  • In welchem Projekt sollen die Logs aggregiert werden? Für dieses Beispiel verwenden wir ein Projekt namens logs-test-project.

  • Wie lauten Name und Speicherort des Logs-Buckets, in dem Sie Logs zusammenfassen? In diesem Beispiel lautet der Bucket-Name all-audit-logs-bucket, der Standort ist global.

  • Welche Logs sollen berücksichtigt werden? In diesem Beispiel berücksichtigen wir alle Audit-Logs, logName:cloudaudit.googleapis.com.

  • Wie lautet der Name der Senke, mit der diese Logs erfasst werden? In diesem Beispiel ist der Name der Senke all-audit-logs-sink.

  • Wie lautet die Organisationsnummer? In diesem Beispiel ist die Organisationsnummer 12345.

Log-Bucket erstellen

Log-Buckets speichern von anderen Projekten, Ordnern oder Organisationen weitergeleitete Logs. Weitere Informationen finden sich unter Log-Buckets.

Führen Sie folgende Schritte aus, um den Bucket in dem Projekt zu erstellen, in dem Sie Logs zusammenfassen möchten:

  1. Öffnen Sie die Google Cloud Console in dem Projekt, mit dem Sie die Logs aggregieren.

    Zur Google Cloud Console

  2. Führen Sie in einem Cloud Shell-Terminal folgenden Befehl aus, um einen Bucket zu erstellen. Ersetzen Sie dabei die fett formatierten Teile durch Ihre eigenen Informationen:

     gcloud logging buckets create all-audit-logs-bucket \
       --location=global \
       --project=logs-test-project
    
  3. Prüfen Sie, ob der Bucket erstellt wurde:

    gcloud logging buckets list --project=logs-test-project
    
  4. Optional können Sie die Aufbewahrungsdauer der Logs im Bucket festlegen. In diesem Beispiel wird die Aufbewahrung von im Bucket gespeicherten Logs auf 365 Tage verlängert:

    gcloud logging buckets update all-audit-logs-bucket --location=global --project=logs-test-project --retention-days=365
    

Logsenke erstellen

Um Logs zu einem Log-Bucket zu leiten können Sie eine Log-Senke erstellen. Eine Senke enthält einen Log-Filter, der bestimmt, welche Log-Einträge über die Senke exportiert werden, sowie ein Ziel. In dieser Anleitung ist das Exportziel unser Bucket mit Namen "all-audit-logs-bucket".

Senke auf Organisationsebene einrichten

Führen Sie folgende Schritte aus, um eine Senke zu erstellen.

  1. Führen Sie folgenden Befehl aus und ersetzen Sie die fett formatierten Teile durch Ihre eigenen Informationen:

    gcloud logging sinks create all-audit-logs-sink \
    logging.googleapis.com/projects/logs-test-project/locations/global/buckets/all-audit-logs-bucket \
      --log-filter='logName:cloudaudit.googleapis.com' \
      --description="All audit logs from my org log sink" \
      --organization=12345 \
      --include-children
    

    Das Flag --include-children ist wichtig, damit Logs aus allen Projekten innerhalb Ihrer Organisation berücksichtigt werden. Weitere Informationen finden Sie unter Aggregierte Senken.

  2. Prüfen Sie, ob die Senke erstellt wurde:

    gcloud logging sinks list --organization=12345
    
  3. Rufen Sie den Namen des Dienstkontos ab:

    gcloud logging sinks describe all-audit-logs-sink --organization=12345
    

    Die Ausgabe sieht dann ungefähr so aus:

    writerIdentity: serviceAccount:p1234567890-12345@gcp-sa-logging.iam.gserviceaccount.com
    
  4. Kopieren Sie den gesamten String für writerIdentity ab serviceAccount:.

Berechtigungen für die Senke festlegen

Nachdem Sie die Senke erstellt haben, müssen Sie ihr Schreibzugriff auf den Bucket gewähren. Dazu nutzen Sie entweder die Cloud Console oder Sie passen die IAM-Richtlinie (Identity and Access Management) manuell an, wie unter Log-Buckets verwalten beschrieben.

In diesem Leitfaden werden die Berechtigungen über die Cloud Console anhand der folgenden Schritte festgelegt.

  1. Rufen Sie in der Cloud Console die Seite "IAM" auf.

    Zur IAM-Seite

  2. Klicken Sie auf Hinzufügen.

  3. Fügen Sie im Feld Neues Mitglied das Dienstkonto ohne das Präfix serviceAccount: hinzu.

  4. Wählen Sie im Drop-down-Menü Rolle auswählen die Option Log-Buckets-Autor.

  5. Klicken Sie auf Speichern.

Generieren Sie Logs, um die Senkenprüfung zu unterstützen

Wenn Ihre Senke Audit-Logs nutzt, können Sie prüfen, ob die Senke die Logs korrekt weiterleitet. Starten Sie dazu eine VM in einem anderen Projekt und fahren Sie diese dann herunter, um zu sehen, ob dieses Ereignis in den Logs auftaucht.

Wenn in Ihrer Organisation bereits viele Projekte vorhanden sind, haben Sie möglicherweise genügend Audit-Log-Traffic, um diesen Schritt nicht ausführen zu müssen.

Lesezugriff für den neuen Log-Bucket konfigurieren

Da nun Logs aus ihrer gesamten Organisation in Ihren Bucket weitergeleitet werden, können Sie über alle diese Logs hinweg Suchen durchführen. Sie müssen Lesezugriff gewähren, um die Ansichten im neuen Bucket zu sehen, insbesondere die Rolle logs views accessor.

In diesem Leitfaden werden die Berechtigungen über die Cloud Console anhand der folgenden Schritte festgelegt.

  1. Rufen Sie in der Cloud Console für das Projekt, das Sie zum Aggregieren der Logs verwenden, die IAM-Seite auf.

    Zur IAM-Seite

  2. Klicken Sie auf Hinzufügen.

  3. Geben Sie im Feld Neues Mitglied Ihr E-Mail-Konto ein.

  4. Wählen Sie im Drop-down-Menü Rolle auswählen die Option Logs-Ansicht-Zgriffsfunktion.

    Diese Rolle gibt Nutzern Lesezugriff auf alle Ansichten. Um den Nutzerzugriff auf einen bestimmten Bucket zu beschränken, fügen Sie eine Bedingung auf Basis des Ressourcennamens hinzu.

    1. Klicken Sie auf Bedingung hinzufügen.

    2. Geben Sie für die Bedingung einen Titel und eineBeschreibung ein.

    3. Wählen Sie im Drop-down-Menü Bedingungstyp die Option Ressource > Name.

    4. Wählen Sie im Drop-down-Menü Operator die Option Endet mit.

    5. Geben Sie im Feld Wert den Orts- und Bucket-Namen-Teil der Bucket-ID ein.

      Beispiel:

      locations/global/buckets/all-audit-logs-bucket
      
    6. Klicken Sie auf Speichern, um die Bedingung hinzuzufügen.

  5. Klicken Sie auf Speichern, um die Berechtigungen festzulegen.

Logs über die Logs-Explorer-Seite suchen

Nachdem Sie die Berechtigungen im vorherigen Abschnitt festgelegt haben, rufen Sie die Cloud Console auf und führen dann die folgenden Schritte aus.

  1. Wählen Sie im Logging-Menü für das Projekt, das Sie zum Zusammenfassen der Logs verwenden, die Option Log-Explorer aus.

    Log-Explorer aufrufen

  2. Wählen Sie Bereich eingrenzen aus.

  3. Wählen Sie unter Bereich eingrenzen die Option Bereich nach Speicher aus.

  1. Wählen Sie „all-audit-logs-bucket“.

  2. Klicken Sie auf Anwenden.

  3. Der Log-Explorer wird aktualisiert und zeigt die Logs Ihres Buckets an.

    Informationen zur Verwendung des Log-Explorers finden Sie unter Log-Explorer verwenden.