日志排除项

Stackdriver Logging 中的日志提取页面可跟踪项目中的日志量。此外，该页面还为您提供了一些工具，使您可以停用所有日志提取或排除（舍弃）您不感兴趣的日志条目，这样您就可以尽可能减少超出每月配额的日志费用。如需详细了解系统如何处理排除的日志条目，请参阅本页面中的排除项概览。

如需详细了解 Stackdriver Logging 费用，请参阅 Stackdriver 价格。请注意，如果您在发送 Virtual Private Cloud 流日志后又从 Stackdriver Logging 中排除这些日志，则需支付 VPC 流日志生成费用。

跟踪日志使用情况

要跟踪项目的日志量，请转到 Stackdriver Logging 控制台中的日志提取页面：

转到“日志提取”页面

在页面顶部，您会看到项目接收的日志的汇总统计信息：

此处报告了 4 项数据：

• 上月提取的日志量：您的项目在上个日历月接收的日志量。

• 本月提取的日志量：您的项目自本月第一天以来接收的日志量。

• 排除的日志量：自本月第一天以来您从项目中排除的日志量。此数字不包含在本月提取的日志量中。本页面的后面部分会介绍排除日志的相关内容。

• 预计提取日志量：根据当前使用情况，预计您的项目将在本月结束时接收的日志量。

日志量不包含默认启用的审核日志，即所有管理员活动日志和 BigQuery 数据访问日志。这些日志是免费的，不能排除。

您还可以按资源类型查看细分的日志使用情况。请参阅本页面中的查看资源类型排除项。

停止所有日志提取

要立即停用所有日志提取，请在日志提取页面上执行以下操作：

1. 转到 Stackdriver Logging 控制台的日志提取页面，找到要管理其日志的项目。

   转到“日志提取”页面

2. 在汇总统计信息上方，点击已启用日志按钮。

3. 您会看到要停用所有日志提取吗？对话框。点击停用日志。

4. 如果您已成功停用所有日志提取，则会在 Stackdriver Logging 控制台中看到以下变化：

   

   • 您在第 2 步中点击的按钮现在显示为已停用日志。
   • Stackdriver Logging 控制台的每个页面顶部都会显示一个横幅：日志提取功能已关闭。系统不会再向 Stackdriver Logging 发送日志。
   • 在日志提取页面的排除项标签页中，有一个名为 google-ui-logs-ingestion-off 的过滤器。该过滤器的要排除的百分比值被设置为 100%，排除状态为有效。

要立即重新启用日志提取，请点击汇总统计信息上方的已停用日志按钮。该按钮现在显示为已启用日志，并且 Stackdriver Logging 控制台上不再显示横幅。

排除项概览

下图展示了系统如何在 Stackdriver Logging 中处理排除的日志条目：

以下情况适用于 Logging 中已排除的日志条目：

• 排除的日志条目不计入提供给项目的 Logging 配额。如需了解详情，请参阅 Logging 详情。

• 日志查看器中不显示排除的日志条目；此类日志条目不会计入基于日志的指标；它们不适用于 Stackdriver Error Reporting 或 Stackdriver Debugger。

• 您可以先导出日志条目，然后再将其排除。如需了解详情，请参阅导出日志。

• 您不能排除默认启用的任何审核日志；不过，默认启用的审核日志都是免费的。

• 您不能排除 AWS 日志或来自 GCP 以外来源的任何日志。

排除项有以下两种：

• 借助排除项过滤器，您可以根据过滤条件表达式灵活选择要排除的日志条目。您可以使用排除项过滤器来随机选择要排除的日志条目。如需了解详情，请参阅使用排除项过滤器。

• 借助资源类型排除项，您可以阻止来自特定类型资源的所有日志。如需了解详情，请参阅使用资源类型排除项。

在决定是否要排除某个日志条目时，Logging 会将这两种排除项都考虑在内。如果有任何资源类型排除项或任何排除项过滤器与日志条目匹配，则排除该日志条目。

使用排除项过滤器

通过创建排除项过滤器，您可以精确地控制要排除（舍弃）哪些日志条目。例如，您可以从单个虚拟机实例（而不是从所有虚拟机实例）中排除日志条目。

如果您同时使用排除项过滤器和资源类型排除项，它们可能会互相重叠。如果某个日志条目来自已停用的资源类型，或者它与本部分讨论的其中一个排除项过滤器匹配，则排除该日志条目。请注意，这是技术上的区别，因为正如前文所述，Logging 使用排除项过滤器来实现资源类型排除项。

在日志提取页面上，提取标签上的每资源类型表同时反映了资源类型排除项和排除项过滤器。即使您不使用资源类型排除项，也可以利用该表来跟踪排除项过滤器的效果。

查看排除项过滤器

要查看当前的排除项过滤器（包括 Logging 为实现资源类型排除项而创建的过滤器），请执行以下操作：

1. 访问 Stackdriver Logging 控制台的日志提取页面。选择要管理其日志的项目。

   转到“日志提取”页面

2. 在汇总统计信息下方，点击排除项标签页。在排除项过滤器表中，您会看到排除项过滤器（如果有）的列表：

   

如果您已停止所有日志提取，则列表中会包含一个名为 google-ui-logs-ingestion-off 的排除项过滤器。您可以使用该过滤器右侧的菜单来修改、删除或停用该过滤器。

创建排除项过滤器

要使用 Stackdriver Logging 控制台创建排除项过滤器，请执行以下操作：

1. 转到 Stackdriver Logging 控制台的日志提取页面，然后选择排除项标签页。

   转到“日志提取”页面

2. 点击创建排除项。您会在“日志查看器”面板旁边看到排除项编辑器：

   

3. 在“日志查看器”面板中，输入与要排除的日志条目匹配的过滤条件表达式。如需详细了解该面板，请参阅界面。

4. 在排除项编辑器中，通过填写以下文本框来完成排除项过滤器的创建：

   • 名称：用于标识排除项的名称，如 low-severity。
   • 说明：对过滤器的较长说明，如 Exclude logs whose severity is less than WARNING。
   • 要排除的百分比：输入一个介于 0 到 100 之间的整数或浮点值。例如，输入 100 或 100.0 即可排除所有匹配的日志条目。输入 99.50 可排除 99.5% 的匹配条目，而在 Logging 中保留 0.5% 的条目。

5. 点击创建排除项以创建并启动排除项。

提示：如果要防止他人使用您的排除项过滤器，请在相应排除项过滤器右侧的菜单中选择停用排除项。此外，您也可以在同一菜单中修改或删除排除项过滤器。

停止排除项

您可以通过以下几种方式停止排除部分或全部日志：

• 停止排除所有日志：在日志提取页面上，点击页面顶部的已停用日志按钮。如果您之前已经停用了所有日志提取，则该按钮将从**已停用日志变为已启用日志。如需了解详情，请参阅停止日志提取。

• 按资源类型停止排除：在日志提取页面的提取标签页上，在您要停止排除的资源类型右侧的菜单中点击启用日志源。

• 修改、停用或删除排除项过滤器：在日志提取页面的排除项标签页上，使用任何定位您要接收的日志条目的排除项过滤器右侧的菜单。如需了解详情，请参阅修改排除项。

提示：请检查所有排除项过滤器，因为相同的日志条目可以被多个过滤器定位。

修改排除项

您可以修改现有的排除项过滤器，以排除更多或更少的日志条目。

1. 转到 Stackdriver Logging 控制台中的日志提取页面，然后点击排除项标签页。

   转到“日志提取”页面

2. 选择一个排除项过滤器，然后从过滤器列表右侧的菜单中选择修改排除过滤器。

3. 更改高级日志过滤条件或更改要排除的百分比值。如果要更改该过滤条件，请检查匹配日志条目的预览。您无法更改现有排除项过滤器的名称。

4. 点击更新排除项。

最佳做法：请勿修改或删除由 Logging 将其作为资源类型排除项的一部分而创建的排除项过滤器。使用提取标签页上的停用日志源和启用日志源选项管理这些过滤器。

使用资源类型排除项

默认情况下，项目会接收来自所有类型资源的所有日志。要舍弃来自特定类型资源的所有日志，请使用资源类型排除项 (resource type exclusions)。

资源类型排除项是 Stackdriver Logging 控制台的一项功能。当您创建资源类型排除项时，Logging 会创建一个实现该排除项的排除项过滤器。如需了解详情，请参阅使用排除项过滤器。

查看资源类型排除项

要按资源类型查看日志使用情况以及查看资源类型排除项，请执行以下操作：

1. 转到 Stackdriver Logging 控制台中的日志提取页面。

   转到“日志提取”页面

2. 选择汇总信息下的提取标签页（默认已选中）。在日志提取表中，您可以看到按资源类型显示的日志使用情况：

   

该表显示了本月和上个月向项目发送日志的每种资源类型的日志使用情况信息。可能存在仅上个月发送了日志而本月未发送的资源类型，这些资源类型也列在此表中。

提取状态列是一个近似状态，指明是否存在与每种资源类型相关的排除项。状态可以是以下任何一种：

• 未提取：有一个或多个排除项以 100% 的采样率准确定位此资源类型。这意味着排除项的过滤器完全由 resource.type=[THIS_RESOURCE_TYPE] 组成。

• 全部提取：本月到目前为止，没有排除此资源类型的任何日志条目，也不存在准确定位此资源类型的排除项。

• 部分提取：有一个或多个排除项以介于 0% 到 100% 之间的采样率定位此资源类型。如果此资源类型在本月有任何日志条目被排除，则此状态将保留到月底，即使所有排除项目前均已移除也是如此。如需了解详情，请参阅修改排除项。

或者，您可以在排除项标签上检查资源类型排除项。Logging 通过创建排除项过滤器来实现资源类型排除项。请参阅查看排除项过滤器。

创建资源类型排除项

要排除（舍弃）来自特定类型资源的所有日志，请创建一个资源类型排除项。请按照以下步骤操作：

1. 转到 Stackdriver Logging 控制台中的日志提取页面。

   转到“日志提取”页面

2. 选择汇总信息下的提取标签页（默认已选中）。在日志提取表中，您可以看到按资源类型显示的日志使用情况，如上一部分中的屏幕截图所示。

3. 找到要排除的资源类型所在的表行。

4. 在表行右侧的菜单中选择根据此资源创建排除项过滤器。

5. 在排除项编辑器中，通过填写以下文本框来完成排除项过滤器的创建：

   • 名称：用于标识排除项的名称，如 low-severity。
   • 说明：对过滤器的较长说明，如 Exclude logs whose severity is less than WARNING。
   • 要排除的百分比：输入一个介于 0 到 100 之间的整数或浮点值。例如，输入 100 或 100.0 即可排除所有匹配的日志条目。输入 99.50 可排除 99.5% 的匹配条目，而在 Logging 中保留 0.5% 的条目。

6. 点击创建排除项以创建并启动排除项。

要停止排除来自该类型资源的日志，请点击菜单中的启用日志源。

API 中的排除项

要在 Stackdriver Logging API 中创建排除项过滤器，请使用 projects.exclusions.create 方法。该 API 还提供了查看、删除和更新排除项过滤器的方法。

此外，该 API 中还有一些排除方法，适用于由组织、结算帐号和文件夹接收的日志。这些排除项只能在 Stackdriver Logging API 中创建；它们在 Stackdriver Logging 控制台中不受支持。

如需了解可能在排除项中有用的日志过滤条件的示例，请参阅高级日志过滤条件。

API 中的资源类型排除项

资源类型排除项不是 API 中的一种单独的排除项。要创建一个排除项来舍弃来自特定类型资源的所有日志条目，请创建一个排除项过滤器并使用指定该资源类型的日志过滤条件。

resource.type = [THE_RESOURCE_TYPE]

API 中的采样排除项

要排除少于 100% 的匹配日志条目，请在日志过滤条件中使用 sample 函数。

排除项限制

在一个项目中，最多可以有 50 个排除项过滤器。这包括在 Stackdriver Logging 控制台或 API 中创建的排除项过滤器和资源类型排除项。

导出排除的日志

您可以先将日志条目导出到 Cloud Storage、BigQuery 或 Cloud Pub/Sub，然后再将其排除，这样就不会永久丢失您排除的日志条目。

导出的日志会产生目标位置费用。另请注意，如果您在发送 Virtual Private Cloud 流日志后又从 Stackdriver Logging 中排除这些日志，则除了目标位置费用外，还需支付 VPC 流日志生成费用。

要启动排除项并导出排除的日志，请执行以下操作：

1. 创建与要排除和导出的日志条目匹配的高级日志过滤条件。

   提示：编写过滤条件，使其与默认启用的任何审核日志都不匹配。匹配这些审核日志条目不会影响排除项，但会导致导出更多日志条目。

2. 使用日志过滤条件创建一个导出接收器，然后开始导出匹配的日志条目。

3. 使用日志过滤条件创建一个排除项过滤器，然后开始排除匹配的日志条目。

要停止排除项并导出排除的日志，请先停用排除项过滤器，然后再停止导出接收器。

如需详细了解如何导出日志，请参阅导出日志。