Questa pagina è stata tradotta dall'API Cloud Translation.

Fascicola e instrada i log a livello di organizzazione e cartella verso le destinazioni supportate

Questo documento descrive come creare dati sink. I sink aggregati ti consentono di combinare e indirizzare i log generati Risorse Google Cloud dell'organizzazione o della cartella in una posizione centralizzata.

Panoramica

I sink aggregati combinano e instradano voci di log dalle risorse contenute di un'organizzazione o una cartella in una destinazione.

Se vuoi controllare le voci di log su cui è possibile eseguire query in queste risorse, o instradato attraverso i sink di queste risorse, puoi configurare un sink aggregato non è una funzione di intercettazione o intercettazione:

Un sink aggregato non intercettazione instrada le voci di log tramite i sink nell'elemento figlio Google Cloud. Con questo sink, mantieni la visibilità delle voci di log nel e le risorse in cui sono state generate. I sink non di intercettazione non sono visibili alle risorse figlio.

Ad esempio, puoi creare un sink aggregato non di intercettazione che instrada tutte le voci di log generate dalle cartelle contenute da un'organizzazione in un bucket di log centrale. Le voci di log vengono archiviate nell' bucket di log, nonché nelle risorse in cui le voci di log sono state generate.
Un intercettazione del sink aggregato impedisce il routing delle voci di log alla nelle risorse figlio, ad eccezione dei sink _Required. Questo sink può è utile per evitare l'archiviazione di copie duplicate delle voci di log in più luoghi.

Ad esempio, considera gli audit log di accesso ai dati, che essere di grandi dimensioni e costoso archiviare più copie. Se hai gli audit log di accesso ai dati, potresti creare un'intercetta sink che instrada tutti gli audit log di accesso ai dati a un progetto centrale per l'analisi. Questo sink di intercettazione impedisce anche ai sink nelle risorse figlio di eseguire il routing dei log altrove.

I sink di intercettazione impediscono il passaggio dei registri attraverso il router dei log di risorse figlio, a meno che i log non corrispondano anche al sink _Required. Poiché vengono intercettati, non vengono conteggiati ai fini del calcolo delle metriche basate su log e i criteri di avviso basati su log nelle risorse figlio. Puoi visualizzare le intercette nella pagina Router dei log delle risorse figlio.

Per informazioni sulla gestione dei sink, consulta Indirizza i log alle destinazioni supportate: gestisci i sink.

Puoi creare fino a 200 sink per cartella o organizzazione.

Destinazioni supportate

Puoi utilizzare i sink aggregati senza intercettazione per instradare le voci di log all'interno di tra le stesse organizzazioni e cartelle alle seguenti destinazioni:

Bucket Cloud Logging: fornisce spazio di archiviazione in Cloud Logging. Un bucket di log può archiviare le voci di log ricevute da più progetti Google Cloud. Il bucket di log può trovarsi nello stesso progetto in cui hanno origine le voci di log. in un altro progetto. Puoi combinare I dati di Cloud Logging con altri dati eseguendo l'upgrade di un bucket di log da utilizzare Analisi dei log e creazione di un set di dati BigQuery collegato. Per informazioni sulla visualizzazione delle voci di log archiviate nei bucket di log, consulta Panoramica delle query e delle visualizzazioni dei log e visualizzare i log con routing ai bucket Cloud Logging.

Set di dati BigQuery: fornisce l'archiviazione delle voci di log in set di dati BigQuery. Il set di dati BigQuery può trovarsi nello stesso progetto in cui si trovano le voci di log o in un altro progetto. Puoi utilizzare le funzionalità di analisi dei big data sulle voci di log archiviate. Per combinare i dati di Cloud Logging con altri origini dati, ti consigliamo di eseguire l'upgrade dei bucket di log Analisi dei log e poi creare un set di dati BigQuery collegato. Per informazioni sulla visualizzazione delle voci di log indirizzate a BigQuery, consulta Visualizza i log indirizzati a BigQuery.

Bucket Cloud Storage: fornisce l'archiviazione delle voci di log in Cloud Storage. Il bucket Cloud Storage può trovarsi nello stesso progetto in cui sono presenti le voci di log o in un altro progetto. Le voci di log vengono archiviate come file JSON. Per informazioni sulla visualizzazione delle voci di log indirizzate a Cloud Storage: consulta Visualizzare i log con routing a Cloud Storage.

Argomento Pub/Sub: fornisce assistenza per le piattaforme di terze parti come integrazioni Splunk. Le voci di log vengono formattate in JSON e quindi instradate a un Pub/Sub per ogni argomento. L'argomento può trovarsi nello stesso progetto in cui si trovano le voci di log o in un altro progetto. Per informazioni sulla visualizzazione delle voci di log indirizzate a vedi Pub/Sub, Visualizza i log con routing a Pub/Sub.
Progetto Google Cloud: esegui il routing delle voci di log a un altro progetto Google Cloud. Nella configurazione, i sink nel progetto di destinazione elaborano le voci di log.

Best practice per l'intercettazione dei sink

Quando crei un sink di intercettazione, ti consigliamo di procedere come segue:

Valuta se le risorse figlio necessitano di un controllo indipendente del routing le voci di log. Se una risorsa figlio necessita del controllo indipendente di determinate di log, assicurati che il sink di intercettazione non le instrada le voci di log.
Aggiungi i dati di contatto alla descrizione di un sink di intercettazione. Questo potrebbe essere utile se chi gestisce il sink di intercettazione da coloro che gestiscono i progetti le cui voci di log vengono intercettate.
Testa la configurazione del sink creando prima un elemento aggregato non intercettabile per garantire che vengano instradate le voci di log corrette.

Sink aggregati e Controlli di servizio VPC

Quando utilizzi sink aggregati e si applicano le seguenti limitazioni, si applicano le seguenti limitazioni Controlli di servizio VPC:

I sink aggregati possono accedere ai dati dei progetti all'interno di un servizio perimetrale. Per impedire ai sink aggregati di accedere ai dati all'interno di un è consigliabile usare IAM per gestire Autorizzazioni di logging.
Controlli di servizio VPC non supporta l'aggiunta di cartelle o dell'organizzazione ai perimetri di servizio. Pertanto, non puoi utilizzare Controlli di servizio VPC per proteggere i log a livello di cartella e organizzazione, inclusi i log aggregati. Per gestire il logging a livello di cartella o organizzazione, ti consigliamo di o IAM.
Se esegui il routing dei log utilizzando un sink a livello di cartella o organizzazione verso un risorsa protetta da un perimetro di servizio, devi aggiungere in entrata nel perimetro di servizio. La regola in entrata deve consentire l'accesso alla risorsa dall'account di servizio utilizzato dal sink aggregato. Per saperne di più, consulta le seguenti pagine:
- Regole in entrata e in uscita
- Gestione dei perimetri di servizio
Quando specifichi un criterio in entrata o in uscita per un perimetro di servizio, non puoi usare ANY_SERVICE_ACCOUNT e ANY_USER_ACCOUNT come tipo di identità quando utilizzi un sink di log per il routing dei log alle risorse di Cloud Storage. Tuttavia, puoi utilizzare ANY_IDENTITY come tipo di identità.

Prima di iniziare

Prima di creare un sink, verifica quanto segue:

Hai una cartella o un'organizzazione Google Cloud con voci di log che puoi in Esplora log.
Devi disporre di uno dei seguenti ruoli IAM Organizzazione o cartella Google Cloud da cui effettui il routing. le voci di log.
- Proprietario (roles/owner)
- Amministratore Logging (roles/logging.admin)
- Writer configurazione log (roles/logging.configWriter)
Le autorizzazioni contenute in questi ruoli ti consentono di creare, eliminare modificare i sink. Per informazioni sull'impostazione dei ruoli IAM, consulta il Guida al controllo dell'accesso per Logging.
Hai una risorsa in una destinazione supportata oppure poterne creare uno.

La destinazione deve essere creata prima del sink, mediante Google Cloud CLI, la console Google Cloud o l'interfaccia su quelle di livello inferiore. Puoi creare la destinazione in qualsiasi progetto Google Cloud in qualsiasi ma devi assicurarti che l'account di servizio il sink ha le autorizzazioni per scrivere nella destinazione.

Crea un sink aggregato

Console

Per creare un sink aggregato per la cartella o l'organizzazione, segui questi passaggi:

Nella console Google Cloud, vai alla pagina Router dei log:
Vai a Router dei log

Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.
Seleziona una cartella o un'organizzazione esistente.
Seleziona Crea sink.
Nel riquadro Dettagli sink, inserisci i seguenti dettagli:
- Nome sink: fornisci un identificatore per il sink; tieni presente che dopo creare il sink, non puoi rinominarlo, ma puoi eliminarlo e creare un nuovo sink.
- (Facoltativo) Descrizione sink: descrivi lo scopo o il caso d'uso per nel lavandino.
Esegui una di queste operazioni:
- Per creare un sink di intercettazione, nel menu Seleziona servizio sink: seleziona Progetto Google Cloud, quindi inserisci il nome completo per la destinazione. Per informazioni sulla sintassi, consulta Formati del percorso di destinazione:
- Per creare un sink non di intercettazione, vai a Seleziona servizio sink ed esegui una delle seguenti operazioni:
  - Per eseguire il routing delle voci di log a un altro progetto Google Cloud, seleziona progetto Google Cloud, quindi inserisci il modello nome della destinazione. Per informazioni sulla sintassi, consulta Formati del percorso di destinazione:
  - Per eseguire il routing delle voci di log a un servizio corrispondente progetto Google Cloud, seleziona una delle seguenti opzioni:
    - Bucket Cloud Logging: seleziona o crea un Bucket di Logging.
    - Set di dati BigQuery: seleziona o crea l'elemento per ricevere le voci di log instradate. Hai anche la possibilità di per utilizzare tabelle partizionate.
    - Bucket Cloud Storage: seleziona o crea l'elemento Bucket Cloud Storage per ricevere le voci di log instradate.
    - Argomento Pub/Sub: seleziona o crea l'elemento per ricevere le voci di log indirizzate.
    - Splunk: seleziona l'argomento Pub/Sub per il tuo Splunk completamente gestito di Google Cloud.
  - a eseguire il routing delle voci di log a un servizio che si trova in un altro progetto Google Cloud, segui questi passaggi:
    1. Seleziona Altre risorse.
    2. Inserisci il nome completo della destinazione. Per informazioni sulla sintassi, consulta Formati del percorso di destinazione:
      
      Ad esempio, se la destinazione del sink è Pub/Sub l'argomento destination avrà il seguente aspetto:
```
pubsub.googleapis.com/projects/PROJECT_ID/topics/TOPIC_ID
```
Nel riquadro Scegli i log da includere nel sink, esegui una delle seguenti operazioni:
- Per creare un sink di intercettazione, seleziona Intercetta i log importati da dell'organizzazione e di tutte le risorse figlio.
- Per creare un sink aggregato non intercettabile, seleziona Includi log importati da questa risorsa e da tutte le risorse figlio.
Completa la finestra di dialogo inserendo un espressione di filtro nel Crea il campo di un filtro di inclusione che corrisponda alle voci di log che ti interessano. da includere. Se non imposti un filtro, verranno applicate tutte le voci di log dell'elenco vengono instradate alla destinazione.

Ad esempio, potresti creare un filtro per instradare tutti gli accessi ai dati gli audit log in un singolo bucket Logging. Questo filtro sembra ad esempio:
```
LOG_ID("cloudaudit.googleapis.com/data_access") OR LOG_ID("externalaudit.googleapis.com/data_access")
```
Per esempi di filtri, consulta Crea filtri per i sink aggregati.

Tieni presente che la lunghezza di un filtro non può superare i 20.000 caratteri.
(Facoltativo) Per verificare di aver inserito il filtro corretto, seleziona Visualizza l'anteprima dei log. Esplora log si apre in una nuova scheda con il filtro precompilato.
(Facoltativo) Nel riquadro Scegli i log da escludere dal sink, procedi nel seguente modo: le seguenti:
1. Nel campo Nome filtro di esclusione, inserisci un nome.
2. Nel campo Crea un filtro di esclusione, inserisci un un'espressione di filtro corrisponde alle voci di log che vuoi escludere. Puoi utilizzare anche Funzione sample per selezionare una parte delle voci di log da escludere.
  
  Punto chiave: se vuoi disattivare il filtro di esclusione. alla creazione del sink, quindi seleziona Disabilita dopo aver inserito l'espressione di filtro. Puoi aggiornare il sink in un secondo momento per abilitare filtro di esclusione.
  
  Ad esempio, per escludere le voci di log di un progetto specifico da essere indirizzato alla destinazione, aggiungi il seguente filtro di esclusione:
```
logName:projects/PROJECT_ID
```
  Per escludere le voci di log da più progetti, utilizza l'operatore logico-OR per unire le clausole logName.
Puoi creare fino a 50 filtri di esclusione per sink. Tieni presente che la lunghezza di un filtro non può superare 20.000 caratteri.
Seleziona Crea sink.
Concedi all'account di servizio per il sink l'autorizzazione di scrittura le voci di log nella destinazione del sink. Per ulteriori informazioni, vedi Imposta le autorizzazioni della destinazione.

Protocollo

Per creare un sink aggregato, utilizza organizations.sinks.create oppure folders.sinks.create Metodo dell'API Logging. Prepara gli argomenti per il metodo come segue:

Imposta il campo parent come l'organizzazione Google Cloud oppure cartella in cui creare il sink. L'elemento principale deve essere uno dei seguenti:
- organizations/ORGANIZATION_ID
- folders/FOLDER_ID
Nell'oggetto LogSink nel corpo della richiesta del metodo, esegui una delle seguenti operazioni:
- Imposta includeChildren su True.
- Per creare un sink di intercettazione, imposta anche il valore interceptChildren su True.
Imposta il campo filter in modo che corrisponda alle voci di log da includere.

Per esempi di filtri, consulta Crea filtri per i sink aggregati.

La lunghezza di un filtro non può superare i 20.000 caratteri.
Imposta i campi LogSink rimanenti come faresti per qualsiasi sink. Per ulteriori informazioni, vedi Esegui il routing dei log alle destinazioni supportate.
Chiama il numero organizations.sinks.create o folders.sinks.create a e creare il sink.
Concedi all'account di servizio l'autorizzazione di scrittura nel sink destinazione. Per ulteriori informazioni, vedi Imposta le autorizzazioni della destinazione.

gcloud

Per creare un sink aggregato, utilizza logging sinks create :

Per creare un sink, chiama gcloud logging sinks create e assicurati di includere l'opzione --include-children.

Prima di utilizzare il seguente comando, apporta le seguenti sostituzioni:
- SINK_NAME: il nome del sink di log. Non puoi modificare il nome di un sink dopo averlo creato.
- SINK_DESTINATION: il servizio o il progetto dove vuoi instradare le voci di log.
- INCLUSION_FILTER: il filtro di inclusione per un sink. Per esempi di filtri, consulta Crea filtri per i sink aggregati.
- FOLDER_ID: l'ID della cartella. Se vuoi creare un sink a livello di organizzazione, poi sostituisci --folder=FOLDER_ID con -- organization=ORGANIZATION_ID.
Esegui la gcloud logging sinks create :
```
gcloud logging sinks create SINK_NAME \
  SINK_DESTINATION  --include-children \
  --folder=FOLDER_ID --log-filter="INCLUSION_FILTER"
```
Puoi anche fornire le seguenti opzioni:
- Per creare un sink di intercettazione, includi il comando Opzione --intercept-children.
Ad esempio, se stai creando un sink aggregato a livello di cartella e la cui destinazione è un argomento Pub/Sub, il comando potrebbe avere il seguente aspetto:
```
gcloud logging sinks create SINK_NAME \
  pubsub.googleapis.com/projects/PROJECT_ID/topics/TOPIC_ID --include-children \
  --folder=FOLDER_ID --log-filter="logName:activity"
```
Concedi all'account di servizio l'autorizzazione di scrittura nel sink destinazione. Per ulteriori informazioni, vedi Imposta le autorizzazioni della destinazione.

L'applicazione di qualsiasi modifica apportata a un sink potrebbe richiedere alcuni minuti.

Crea filtri per i sink aggregati

Come ogni altro sink, anche il sink aggregato contiene un filtro che seleziona singoli le voci di log. Per esempi di filtri che potresti utilizzare per creare i tuoi un sink aggregato, consulta Esempi di query con Esplora log.

Di seguito sono riportati alcuni esempi di confronti di filtri utili quando si utilizza il metodo la funzionalità dei sink aggregati. Alcuni esempi utilizzano la seguente notazione:

: è l'operatore di sottostringa. Non sostituire l'operatore =.
... rappresenta eventuali confronti aggiuntivi di filtri.
Le variabili sono indicate da testo colorato. Sostituiscili con valori validi.

Tieni presente che la lunghezza di un filtro non può superare i 20.000 caratteri.

Per ulteriori dettagli sulla sintassi dei filtri, consulta Linguaggio di query di Logging.

Seleziona la sorgente log

Per un sink aggregato, per ogni risorsa secondaria dell'organizzazione o della cartella, i filtri di inclusione ed esclusione del sink vengono applicati a ogni voce di log viene inviato alla risorsa figlio. Una voce di log corrispondente il filtro di inclusione e che non è escluso viene indirizzato.

Se vuoi che il sink esegua il routing delle voci di log da tutte le risorse figlio, specifica un progetto, una cartella o un'organizzazione nei filtri di inclusione ed esclusione del sink. Ad esempio, supponiamo che configura un sink aggregato per un'organizzazione con il filtro seguente:

resource.type="gce_instance"

Con il filtro precedente, le voci di log con un tipo di risorsa Istanze di Compute Engine scritte in qualsiasi elemento figlio di quell'organizzazione vengono instradate alla destinazione dal sink aggregato.

Tuttavia, potrebbero verificarsi situazioni in cui vuoi utilizzare un sink aggregato solo per il routing delle voci di log da risorse figlio specifiche. Ad esempio, per conformità motivi per cui potresti voler archiviare gli audit log da cartelle o progetti specifici nel proprio bucket Cloud Storage. In queste situazioni, configura filtro di inclusione per specificare ogni risorsa figlio di cui vuoi inserire le voci di log vengono indirizzate correttamente. Se vuoi eseguire il routing delle voci di log da una cartella e da tutti i progetti quella cartella il filtro deve elencare la cartella e ognuno dei progetti contenuti quella cartella, oltre a unire le istruzioni con una clausola OR.

I filtri seguenti limitano le voci di log a progetti, cartelle o organizzazioni specifici di Google Cloud:

logName:"projects/PROJECT_ID/logs/" AND ...

logName:("projects/PROJECT_A_ID/logs/" OR "projects/PROJECT_B_ID/logs/") AND ...

logName:"folders/FOLDER_ID/logs/" AND ...

logName:"organizations/ORGANIZATION_ID/logs/" AND ...

Ad esempio, per instradare solo le voci di log scritte nelle istanze di Compute Engine. che sono state scritte nella cartella my-folder, usa il seguente filtro:

logName:"folders/my-folder/logs/" AND resource.type="gce_instance"

Con il filtro precedente, le voci di log scritte in qualsiasi risorsa diversa da my-folder, incluse le voci di log scritte nei progetti Google Cloud che vengono secondari di my-folder non vengono indirizzati alla destinazione.

Seleziona la risorsa monitorata

a eseguire il routing delle voci di log solo da una specifica risorsa monitorata in un progetto Google Cloud, utilizza più confronti per specificare la risorsa esattamente:

logName:"projects/PROJECT_ID/logs" AND
resource.type=RESOURCE_TYPE AND
resource.labels.instance_id=INSTANCE_ID

Per un elenco dei tipi di risorse, consulta Tipi di risorse monitorate.

Seleziona un esempio di voci di log

Per eseguire il routing di un campione casuale di voci di log, aggiungi l'sample integrata personalizzata. Ad esempio, per instradare solo il dieci percento delle voci di log corrispondenti filtro corrente, utilizza questa aggiunta:

sample(insertId, 0.10) AND ...

Per ulteriori informazioni, consulta Funzione sample.

Per saperne di più sui filtri di Cloud Logging, consulta Linguaggio di query di Logging.

Imposta autorizzazioni per la destinazione

Questa sezione descrive come concedere a Logging il Autorizzazioni Identity and Access Management per scrivere voci di log nella destinazione del sink. Per l'intera di ruoli e autorizzazioni di Logging, consulta Controllo dell'accesso.

Quando crei o aggiorni un sink che instrada le voci di log a qualsiasi destinazione diversa rispetto a un bucket di log nel progetto attuale, un account di servizio per quel sink è obbligatorio. Logging crea e gestisce automaticamente un account di servizio per te:

A partire dal 22 maggio 2023, quando crei un sink e nessun servizio esistente per la risorsa sottostante, Logging crea l'account di servizio. Logging usa lo stesso account di servizio per tutti i sink nella risorsa sottostante. Le risorse possono essere un progetto Google Cloud, un'organizzazione, una cartella account di fatturazione.
Prima del 22 maggio 2023, Logging ha creato un servizio per ogni sink. A partire dal 22 maggio 2023, Logging utilizza un account di servizio condiviso per tutti i sink nella risorsa sottostante.

L'identità writer di un sink è l'identificatore del servizio associato al sink. Tutti i sink hanno un'identità autore, a meno che non scrivere in un bucket di log nel progetto Google Cloud attuale.

Per instradare le voci di log a una risorsa protetta da un perimetro di servizio, devi aggiungere l'account di servizio per quel sink a un livello di accesso, quindi e assegnarlo al perimetro di servizio di destinazione. Questa operazione non è necessaria per e i sink non aggregati. Per maggiori dettagli, vedi Controlli di servizio VPC: Cloud Logging.

Per impostare le autorizzazioni del sink in modo che venga instradato alla destinazione, segui questi passaggi:

Console

Per ottenere informazioni sull'account di servizio per il sink, procedi nel seguente modo:
1. Nella console Google Cloud, vai alla pagina Router dei log:
  Vai a Router dei log
  
  Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.
2. Seleziona Menu, quindi scegli Visualizza i dettagli del sink. L'identità dell'autore viene visualizzata nella Riquadro Dettagli sink.
3. Se il valore del campo writerIdentity contiene un indirizzo email, quindi procedi al passaggio successivo. Se il valore è None, non devi configurare le autorizzazioni della destinazione.
4. Copia l'identità writer del sink negli appunti. La stringa serviceAccount: è nell'identità dell'account di servizio. Ad esempio:
```
serviceAccount:service-123456789012@gcp-sa-logging.iam.gserviceaccount.com
```
5. Aggiungi l'account di servizio come entità IAM nel progetto di destinazione:
  1. Nella console Google Cloud, vai alla pagina IAM:
    Vai a IAM
    
    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo IAM e Console di amministrazione.
  2. Seleziona il progetto di destinazione.
  3. Fai clic su Concedi l'accesso.
  4. Concedi all'account di servizio il ruolo IAM richiesto:
    - Per le destinazioni Cloud Storage, aggiungi l'identità writer del sink come entità mediante IAM, quindi assegnale Ruolo Creatore oggetti Storage (roles/storage.objectCreator).
    - Per le destinazioni BigQuery, aggiungi l'identità writer del sink come entità mediante IAM, quindi assegnale Ruolo di Editor dati BigQuery (roles/bigquery.dataEditor).
    - Per le destinazioni Pub/Sub, incluso Splunk, aggiungi l'identità writer del sink come entità mediante IAM, quindi assegnale Ruolo di Publisher Pub/Sub (roles/pubsub.publisher).
    - Per le destinazioni dei bucket Logging in diverse Per i progetti Google Cloud, aggiungi l'identità writer del sink come entità utilizzando IAM e poi assegnargli Ruolo Writer bucket di log (roles/logging.bucketWriter).
    - Per le destinazioni dei progetti Google Cloud, aggiungi il parametro writer come entità mediante IAM, quindi assegnargli Ruolo Writer log (roles/logging.logWriter). Nello specifico, un'entità ha bisogno Autorizzazione logging.logEntries.route.

Protocollo

Ti consigliamo di utilizzare la console Google Cloud o Google Cloud CLI per concedere un ruolo all'account di servizio.

gcloud

Assicurati di avere l'accesso come proprietario alla progetto Google Cloud che contiene la destinazione. Se non hai l'accesso come Proprietario alla destinazione del sink, quindi chiedi a un proprietario del progetto di aggiungere l'identità writer come entità.
Per ottenere informazioni sull'account di servizio per il sink, chiama il metodo gcloud logging sinks describe.

Prima di utilizzare il seguente comando, apporta le seguenti sostituzioni:
- SINK_NAME: il nome del sink di log. Non puoi modificare il nome di un sink dopo averlo creato.
Esegui la gcloud logging sinks describe :
```
gcloud logging sinks describe SINK_NAME
```
Se i dettagli del sink contengono un campo denominato writerIdentity: vai al passaggio successivo. Se i dettagli non includono un writerIdentity non devi configurare le autorizzazioni di destinazione per il sink.
Copia l'identità writer del sink negli appunti. La stringa serviceAccount: è nell'identità dell'account di servizio.

L'identità writer per l'account di servizio è simile alla seguenti:
```
serviceAccount:service-123456789012@gcp-sa-logging.iam.gserviceaccount.com
```
Per aggiungere l'account di servizio come entità IAM nel progetto di destinazione, chiama gcloud projects add-iam-policy-binding .

Prima di utilizzare il seguente comando, apporta le seguenti sostituzioni:
- PROJECT_ID: l'identificatore del progetto.
- PRINCIPAL: un identificatore per l'entità da utilizzare concedere il ruolo. Di solito, gli identificatori entità hanno il seguente formato: PRINCIPAL-TYPE:ID. Ad esempio: user:my-user@example.com. Per un elenco completo dei formati che PRINCIPAL_ID può avere, consulta gli identificatori entità.
- ROLE: un ruolo IAM.
  - Per le destinazioni Cloud Storage, aggiungi l'identità writer del sink come entità mediante IAM, quindi assegnale Ruolo Creatore oggetti Storage (roles/storage.objectCreator).
  - Per le destinazioni BigQuery, aggiungi l'identità writer del sink come entità mediante IAM, quindi assegnale Ruolo di Editor dati BigQuery (roles/bigquery.dataEditor).
  - Per le destinazioni Pub/Sub, incluso Splunk, aggiungi l'identità writer del sink come entità mediante IAM, quindi assegnale Ruolo di Publisher Pub/Sub (roles/pubsub.publisher).
  - Per le destinazioni dei bucket Logging in diverse Per i progetti Google Cloud, aggiungi l'identità writer del sink come entità utilizzando IAM e poi assegnargli Ruolo Writer bucket di log (roles/logging.bucketWriter).
  - Per le destinazioni dei progetti Google Cloud, aggiungi il parametro writer come entità mediante IAM, quindi assegnargli Ruolo Writer log (roles/logging.logWriter). Nello specifico, un'entità ha bisogno Autorizzazione logging.logEntries.route.
Esegui la gcloud projects add-iam-policy-binding :
```
gcloud projects add-iam-policy-binding PROJECT_ID --member=PRINCIPAL --role=ROLE
```

Passaggi successivi

Scopri come creare visualizzazioni dei log in un bucket di log. Le visualizzazioni di log consentono di concedere alle entità l'accesso in lettura a un sottoinsieme di voci di log in un bucket di log.
Per informazioni sulla gestione dei sink esistenti, consulta Indirizza i log alle destinazioni supportate: gestisci i sink.
Se riscontri problemi durante l'utilizzo dei sink per eseguire il routing dei log, consulta Risolvi i problemi di routing e sink.
Per scoprire come visualizzare i log nelle relative destinazioni e come i log sono formattati e organizzati, Visualizza i log nelle destinazioni sink