Fascicola e instrada i log a livello di organizzazione e cartella verso le destinazioni supportate

Questo documento descrive come creare dati sink. I sink aggregati ti consentono di combinare e indirizzare i log generati Risorse Google Cloud dell'organizzazione o della cartella in una posizione centralizzata.

Panoramica

I sink aggregati combinano e instradano voci di log dalle risorse contenute di un'organizzazione o una cartella in una destinazione.

Se vuoi controllare quali log possono essere sottoposti a query in queste risorse o instradati attraverso i sink di queste risorse, puoi configurare un sink aggregato non è una funzione di intercettazione o intercettazione:

  • Un sink aggregato non di intercettazione instrada i log tramite i sink nell'elemento figlio Google Cloud. Con questo sink, mantieni la visibilità dei log nel e le risorse in cui sono state generate. I sink non di intercettazione non sono visibili alle risorse figlio.

    Ad esempio, puoi creare un sink aggregato non di intercettazione che instrada tutte le voci di log generate dalle cartelle contenute da un'organizzazione in un bucket Cloud Storage centrale. I log vengono archiviati nel bucket Cloud Storage, nonché nelle risorse in cui i log sono state generate.

  • Un intercettazione del sink aggregato impedisce il routing dei log tramite nelle risorse figlio, ad eccezione dei sink _Required. Questo sink può è utile per evitare che copie duplicate dei log vengano archiviate in in più luoghi.

    Ad esempio, considera gli audit log di accesso ai dati, che essere di grandi dimensioni e costoso archiviare più copie. Se hai gli audit log di accesso ai dati, potresti creare un'intercetta sink che instrada tutti gli audit log di accesso ai dati a un progetto centrale per l'analisi. Questo sink di intercettazione impedisce anche ai sink nelle risorse figlio di eseguire il routing dei log altrove.

    I sink di intercettazione impediscono il passaggio dei registri attraverso il router dei log di risorse figlio, a meno che i log non corrispondano anche al sink _Required. Poiché vengono intercettati, non vengono conteggiati ai fini del calcolo delle metriche basate su log e i criteri di avviso basati su log nelle risorse figlio. Puoi visualizzare le intercette nella pagina Router dei log delle risorse figlio.

Per informazioni sulla gestione dei sink, consulta Indirizza i log alle destinazioni supportate: gestisci i sink.

Puoi creare fino a 200 sink per cartella o organizzazione.

Destinazioni supportate

Puoi utilizzare i sink aggregati senza intercettazione per eseguire il routing dei log all'interno o tra le stesse organizzazioni e cartelle alle destinazioni seguenti:

  • Bucket Cloud Logging: fornisce spazio di archiviazione in Cloud Logging. Un bucket di log può archiviare le voci di log ricevute da più progetti Google Cloud. Puoi combinare I dati di Cloud Logging con altri dati eseguendo l'upgrade di un bucket di log da utilizzare Analisi dei log e creazione di un set di dati BigQuery collegato. Per informazioni sulla visualizzazione delle voci di log archiviate nei bucket di log, consulta Panoramica delle query e delle visualizzazioni dei log e visualizzare i log con routing ai bucket Cloud Logging.
  • Set di dati BigQuery: fornisce l'archiviazione delle voci di log in set di dati BigQuery. Puoi utilizzare le funzionalità di analisi dei big data sulle voci di log archiviate. Per combinare i dati di Cloud Logging con altri origini dati, ti consigliamo di eseguire l'upgrade dei bucket di log Analisi dei log e poi creare un set di dati BigQuery collegato. Per informazioni sulla visualizzazione delle voci di log indirizzate a BigQuery, consulta Visualizza i log indirizzati a BigQuery.
  • Bucket Cloud Storage: fornisce l'archiviazione delle voci di log in Cloud Storage. Registra sono archiviate come file JSON. Per informazioni sulla visualizzazione del log con routing a Cloud Storage, vedi Visualizzare i log con routing a Cloud Storage.
  • Argomento Pub/Sub: fornisce supporto per le integrazioni di terze parti. Registra vengono formattate in JSON e quindi instradate a Pub/Sub per ogni argomento. Per informazioni sulla visualizzazione delle voci di log indirizzate a vedi Pub/Sub, Visualizza i log con routing a Pub/Sub.
  • Splunk: fornisce assistenza per Splunk. Devi instradare le voci di log a un argomento Pub/Sub e quindi sottoscrivere quell'argomento usando Splunk.
  • Progetto Google Cloud: esegui il routing delle voci di log a un altro progetto Google Cloud. Quando puoi instradare le voci di log a un altro progetto Google Cloud, la destinazione il router dei log del progetto riceve le voci di log e le elabora. La i sink nel progetto di destinazione determinano in che modo vengono vengono indirizzate correttamente. Error Reporting può analizzare le voci di log quando la destinazione Il progetto instrada queste voci di log a un bucket di log di proprietà della destinazione progetto.
  • Altre risorse: instrada le voci di log a una destinazione supportata che si trova in un altro progetto. Per informazioni sui percorsi da utilizzare, consulta Formati del percorso di destinazione:

Best practice per l'intercettazione dei sink

Quando crei un sink di intercettazione, ti consigliamo di procedere come segue:

  • Valuta se le risorse figlio necessitano di un controllo indipendente del routing logaritmi. Se una risorsa figlio richiede il controllo indipendente di alcuni log, assicurati il sink di intercettazione non esegue il routing di questi log.

  • Aggiungi i dati di contatto alla descrizione di un sink di intercettazione. Questo potrebbe essere utile se chi gestisce il sink di intercettazione da coloro che gestiscono i progetti i cui log vengono intercettati.

  • Testa la configurazione del sink creando prima un elemento aggregato non intercettabile per garantire che vengano instradati i log corretti.

Sink aggregati e Controlli di servizio VPC

Quando utilizzi sink aggregati e si applicano le seguenti limitazioni, si applicano le seguenti limitazioni Controlli di servizio VPC:

  • I sink aggregati possono accedere ai dati dei progetti all'interno di un servizio perimetrale. Per impedire ai sink aggregati di accedere ai dati all'interno di un è consigliabile usare IAM per gestire Autorizzazioni di logging.

  • Controlli di servizio VPC non supporta l'aggiunta di cartelle o dell'organizzazione ai perimetri di servizio. Pertanto, non puoi utilizzare Controlli di servizio VPC per proteggere i log a livello di cartella e organizzazione, inclusi i log aggregati. Per gestire il logging a livello di cartella o organizzazione, ti consigliamo di o IAM.

  • Se esegui il routing dei log utilizzando un sink a livello di cartella o organizzazione verso un risorsa protetta da un perimetro di servizio, devi aggiungere in entrata nel perimetro di servizio. La regola in entrata deve consentire l'accesso alla risorsa dall'account di servizio utilizzato dal sink aggregato. Per saperne di più, consulta le seguenti pagine:

  • Quando specifichi un criterio in entrata o in uscita per un perimetro di servizio, non puoi usare ANY_SERVICE_ACCOUNT e ANY_USER_ACCOUNT come tipo di identità quando utilizzi un sink di log per il routing dei log alle risorse di Cloud Storage. Tuttavia, puoi utilizzare ANY_IDENTITY come tipo di identità.

Prima di iniziare

Prima di creare un sink, verifica quanto segue:

  • Hai una cartella o un'organizzazione Google Cloud con i log che puoi in Esplora log.

  • Devi disporre di uno dei seguenti ruoli IAM Organizzazione o cartella Google Cloud da cui esegui il routing dei log.

    • Proprietario (roles/owner)
    • Amministratore Logging (roles/logging.admin)
    • Writer configurazione log (roles/logging.configWriter)

    Le autorizzazioni contenute in questi ruoli ti consentono di creare, eliminare modificare i sink. Per informazioni sull'impostazione dei ruoli IAM, consulta il Guida al controllo dell'accesso per Logging.

  • Hai una risorsa in una destinazione supportata oppure poterne creare uno.

    La destinazione di routing deve essere creata prima del sink, tramite Google Cloud CLI, la console Google Cloud o l'interfaccia su quelle di livello inferiore. Puoi creare la destinazione in qualsiasi progetto Google Cloud in qualsiasi ma devi assicurarti che l'account di servizio il sink ha le autorizzazioni per scrivere nella destinazione.

Crea un sink aggregato

Per creare un sink aggregato non intercettabile, crea un sink in una all'organizzazione o alla cartella Google Cloud e imposta il valore includeChildren del sink su True. Quando imposti il parametro includeChildren, il sink instrada le voci di log dall'organizzazione o dalla cartella e (in modo ricorsivo) da qualsiasi conteneva cartelle, account di fatturazione o progetti Google Cloud. Per creare un di intercettazione del sink, imposta sia includeChildren sia interceptChildren parametri in True.

Per specificare le voci di log che desideri instradare al tuo destination, imposti il valore filtri di inclusione ed esclusione.

Per creare un sink aggregato per la cartella o l'organizzazione, segui questi passaggi:

Console

  1. Nella console Google Cloud, vai alla pagina Router dei log:

    Vai a Router dei log

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

  2. Seleziona una cartella o un'organizzazione esistente.

  3. Seleziona Crea sink.

  4. Nel riquadro Dettagli sink, inserisci i seguenti dettagli:

    • Nome sink: fornisci un identificatore per il sink; tieni presente che dopo creare il sink, non puoi rinominarlo, ma puoi eliminarlo e creare un nuovo sink.

    • (Facoltativo) Descrizione sink: descrivi lo scopo o il caso d'uso per nel lavandino.

  5. Nel riquadro Destinazione sink, seleziona il servizio sink e destinazione:

    • Seleziona servizio sink: seleziona il servizio in cui vuoi che i log vengono indirizzate correttamente. Se crei un sink di intercettazione, puoi solo seleziona un progetto Google Cloud come destinazione.

    In base al servizio selezionato, puoi scegliere tra le seguenti opzioni destinazioni:

    • Bucket Cloud Logging: seleziona o crea un Bucket di Logging. Se crei di un bucket di log, deve essere a livello di progetto. Non puoi creare un di log a livello di cartella o organizzazione.
    • Tabella BigQuery: seleziona o crea l'elemento per ricevere i log con routing. Hai anche la possibilità di utilizzare tabelle partizionate.
    • Bucket Cloud Storage: seleziona o crea l'elemento Bucket Cloud Storage per ricevere i log con routing.
    • Argomento Pub/Sub: seleziona o crea l'argomento specifico. per ricevere i log con routing.
    • Splunk: seleziona l'argomento Pub/Sub per il tuo Splunk completamente gestito di Google Cloud.

    • Progetto Google Cloud: seleziona il progetto Google Cloud da per ricevere i log delle route.

      Ad esempio, se la destinazione del sink è un set di dati BigQuery, la destinazione del sink sarebbe la seguente:

      bigquery.googleapis.com/projects/PROJECT_ID/datasets/DATASET_ID

  6. Nel riquadro Scegli i log da includere nel sink, esegui una delle seguenti operazioni:

    • Per creare un sink aggregato non intercettabile, seleziona Includi log importati da questa risorsa e da tutte le risorse figlio.

    • Per creare un sink di intercettazione, seleziona Intercetta i log importati da dell'organizzazione e di tutte le risorse figlio.

  7. Completa la finestra di dialogo inserendo un espressione di filtro nel Crea il campo di un filtro di inclusione che corrisponda alle voci di log che ti interessano. da includere. Se non imposti un filtro, verranno visualizzati tutti i log vengono instradate alla destinazione.

    Ad esempio, potresti creare un filtro per instradare tutti gli accessi ai dati gli audit log in un singolo bucket Logging. Questo filtro sembra ad esempio:

    LOG_ID("cloudaudit.googleapis.com/data_access") OR LOG_ID("externalaudit.googleapis.com/data_access")

    Tieni presente che la lunghezza di un filtro non può superare i 20.000 caratteri.

  8. (Facoltativo) Per verificare di aver inserito il filtro corretto, seleziona Visualizza l'anteprima dei log. Esplora log si apre in una nuova scheda con il filtro precompilato.

  9. (Facoltativo) Nel riquadro Scegli i log da escludere dal sink: le seguenti:

    1. Nel campo Nome filtro di esclusione, inserisci un nome.

    2. Nel campo Crea un filtro di esclusione, inserisci un un'espressione di filtro corrisponde alle voci di log che vuoi escludere. Puoi utilizzare anche Funzione sample per selezionare una parte delle voci di log da escludere.

      Ad esempio, per escludere i log di un progetto specifico indirizzato alla destinazione, aggiungi il seguente filtro di esclusione:

      logName:projects/PROJECT_ID

      Per escludere i log da più progetti, utilizza l'operatore logico-OR per unire le clausole logName.

    Puoi creare fino a 50 filtri di esclusione per un lavandino. Tieni presente che la lunghezza di un filtro non può superare 20.000 caratteri.

  10. Seleziona Crea sink.

API

Per creare un sink, usa organizations.sinks.create oppure folders.sinks.create nell'API Logging. Prepara gli argomenti al metodo come segue:

  1. Imposta il parametro parent come organizzazione Google Cloud oppure cartella in cui creare il sink. L'elemento principale deve essere uno dei seguenti:

    • organizations/ORGANIZATION_ID
    • folders/FOLDER_ID

  2. Nell'oggetto LogSink nel corpo della richiesta del metodo, esegui una delle seguenti:

    • Per creare un sink aggregato non intercettabile, imposta includeChildren a True.

    • Per creare un sink di intercettazione, imposta includeChildren e interceptChildren in True.

  3. Imposta la proprietà filter in modo che corrisponda alle voci di log da includere. Tieni presente che la lunghezza di un filtro non può superare i 20.000 caratteri.

    Per alcuni esempi di filtri utili, consulta Creare filtri per i sink aggregati.

  4. Imposta i restanti campi LogSink come faresti per qualsiasi sink. Per ulteriori informazioni, vedi Esegui il routing dei log alle destinazioni supportate.

  5. Chiama organizations.sinks.create o folders.sinks.create a e creare il sink.

  6. Recupera il nome dell'account di servizio dal campo writer_identity dalla risposta dell'API.

  7. Concedi all'account di servizio l'autorizzazione per scrivere nella destinazione del sink.

    Se non hai l'autorizzazione per apportare questa modifica al sink di destinazione, poi invia il nome dell'account di servizio a qualcuno che possa che cambino per te.

    Per saperne di più sulla concessione delle autorizzazioni agli account di servizio per vedi la sezione sull'impostazione delle autorizzazioni di destinazione.

gcloud

Per creare un sink aggregato, utilizza logging sinks create . Per creare un sink aggregato non intercettabile, specifica il parametro --include-children flag. Per creare un sink di intercettazione, specifica sia il valore Flag --include-children e --intercept-children.

  1. Fornisci il nome, la destinazione, il filtro e l'ID del sink cartella o organizzazione da cui esegui il routing dei log: quanto segue crea un sink aggregato non intercettabile:

    gcloud logging sinks create SINK_NAME \
  SINK_DESTINATION  --include-children \
  --folder=FOLDER_ID --log-filter="LOG_FILTER"

    Ad esempio, se stai creando un sink aggregato a livello di cartella e la cui destinazione è un set di dati BigQuery, il comando potrebbe avere il seguente aspetto:

    gcloud logging sinks create SINK_NAME \
  bigquery.googleapis.com/projects/PROJECT_ID/datasets/DATASET_ID --include-children \
  --folder=FOLDER_ID --log-filter="logName:activity"

    Note:

    • Per creare un sink a livello di organizzazione, sostituisci --folder=FOLDER_ID con --organization=ORGANIZATION_ID.

    • Affinché il sink includa tutte le risorse all'interno dell'organizzazione, È necessario impostare il flag --include-children, anche se il flag Il flag --organization è stato passato a create. Se impostato su false (impostazione predefinita), un sink eseguirà il routing dei log solo dalla risorsa host.

    • Per alcuni esempi di filtri utili, consulta Creare filtri per i sink aggregati.

  2. Recupera il nome dell'account di servizio utilizzato per creare il sink dal output comando.

  3. Concedi all'account di servizio l'autorizzazione per scrivere nel sink destinazione.

    Se non hai l'autorizzazione per apportare questa modifica al sink di destinazione, poi invia il nome dell'account di servizio a qualcuno che possa che cambino per te.

    Per saperne di più sulla concessione delle autorizzazioni agli account di servizio per vedi la sezione sull'impostazione delle autorizzazioni di destinazione.

L'applicazione di qualsiasi modifica apportata a un sink potrebbe richiedere alcuni minuti.

Crea filtri per i sink aggregati

Come ogni altro sink, anche il sink aggregato contiene un filtro che seleziona singoli le voci di log. Per esempi di filtri che potresti utilizzare per creare i tuoi un sink aggregato, consulta Esempi di query con Esplora log.

Di seguito sono riportati alcuni esempi di confronti di filtri utili quando si utilizza il metodo la funzionalità dei sink aggregati. Alcuni esempi utilizzano la seguente notazione:

  • : è l'operatore di sottostringa. Non sostituire l'operatore =.
  • ... rappresenta eventuali confronti aggiuntivi di filtri.
  • Le variabili sono indicate da testo colorato. Sostituiscili con valori validi.

Tieni presente che la lunghezza di un filtro non può superare i 20.000 caratteri.

Per ulteriori dettagli sulla sintassi dei filtri, consulta Linguaggio di query di Logging.

Seleziona la sorgente log

Per un sink aggregato, per ogni risorsa secondaria dell'organizzazione o della cartella, i filtri di inclusione ed esclusione del sink vengono applicati a ogni voce di log viene inviato alla risorsa figlio. Una voce di log corrispondente il filtro di inclusione e che non è escluso viene indirizzato.

Se vuoi che il sink esegua il routing dei log di tutte le risorse figlio, specifica un progetto, una cartella o un'organizzazione nei filtri di inclusione ed esclusione del sink. Ad esempio, supponiamo che configura un sink aggregato per un'organizzazione con il filtro seguente:

resource.type="gce_instance"

Con il filtro precedente, i log con un tipo di risorsa Istanze di Compute Engine scritte in qualsiasi elemento figlio di quell'organizzazione vengono instradate alla destinazione dal sink aggregato.

Tuttavia, potrebbero verificarsi situazioni in cui vuoi utilizzare un sink aggregato solo per il routing dei log da risorse figlio specifiche. Ad esempio, per la conformità motivi per cui potresti voler archiviare gli audit log da cartelle o progetti specifici nel proprio bucket Cloud Storage. In queste situazioni, configura filtro di inclusione per specificare ogni risorsa figlio di cui vuoi instradare i log. Se vuoi eseguire il routing dei log da una cartella e da tutti i progetti al suo interno, il filtro deve elencare la cartella e ognuno dei progetti contenuti quella cartella, oltre a unire le istruzioni con una clausola OR.

I seguenti filtri limitano i log a progetti Google Cloud specifici, cartelle o organizzazioni:

logName:"projects/PROJECT_ID/logs/" AND ... 
logName:("projects/PROJECT_A_ID/logs/" OR "projects/PROJECT_B_ID/logs/") AND ... 
logName:"folders/FOLDER_ID/logs/" AND ... 
logName:"organizations/ORGANIZATION_ID/logs/" AND ...

Ad esempio, per instradare solo i log scritti su istanze di Compute Engine che sono scritto nella cartella my-folder, usa il seguente filtro:

logName:"folders/my-folder/logs/" AND resource.type="gce_instance"

Con il filtro precedente, i log scritti in qualsiasi risorsa diversa da my-folder, inclusi i log scritti nei progetti Google Cloud secondari di my-folder, non vengono indirizzati alla destinazione.

Seleziona la risorsa monitorata

a eseguire il routing dei log solo da una specifica risorsa monitorata in un progetto Google Cloud, utilizza più confronti per specificare la risorsa esattamente:

logName:"projects/PROJECT_ID/logs" AND
resource.type=RESOURCE_TYPE AND
resource.labels.instance_id=INSTANCE_ID

Per un elenco dei tipi di risorse, consulta Tipi di risorse monitorate.

Seleziona un esempio di voci di log

Per eseguire il routing di un campione casuale di voci di log, aggiungi l'sample integrata personalizzata. Ad esempio, per instradare solo il dieci percento delle voci di log corrispondenti filtro corrente, utilizza questa aggiunta:

sample(insertId, 0.10) AND ...

Per ulteriori informazioni, consulta Funzione sample.

Per saperne di più sui filtri di Cloud Logging, consulta Linguaggio di query di Logging.

Imposta autorizzazioni per la destinazione

Questa sezione descrive come concedere a Logging il Autorizzazioni di Identity and Access Management per scrivere i log nella destinazione del sink. Per l'intera di ruoli e autorizzazioni di Logging, consulta Controllo dell'accesso.

Quando crei o aggiorni un sink che instrada i log a qualsiasi destinazione diversa rispetto a un bucket di log nel progetto attuale, un account di servizio per quel sink è obbligatorio. Logging crea e gestisce automaticamente un account di servizio per te:

  • A partire dal 22 maggio 2023, quando crei un sink e nessun servizio esistente per la risorsa sottostante, Logging crea l'account di servizio. Logging usa lo stesso account di servizio per tutti i sink nella risorsa sottostante. Le risorse possono essere un progetto Google Cloud, un'organizzazione, una cartella account di fatturazione.
  • Prima del 22 maggio 2023, Logging ha creato un servizio per ogni sink. A partire dal 22 maggio 2023, Logging utilizza un account di servizio condiviso per tutti i sink nella risorsa sottostante.

L'identità writer di un sink è l'identificatore del servizio associato al sink. Tutti i sink hanno un'identità autore, a meno che non scrivere in un bucket di log nel progetto Google Cloud attuale.

Per eseguire il routing dei log su una risorsa protetta da perimetro di servizio, devi aggiungere l'account di servizio per quel sink a un livello di accesso, quindi e assegnarlo al perimetro di servizio di destinazione. Questa operazione non è necessaria per e i sink non aggregati. Per maggiori dettagli, vedi Controlli di servizio VPC: Cloud Logging.

Per impostare le autorizzazioni del sink in modo che venga instradato alla destinazione, segui questi passaggi:

Console

    .

  1. Per ottenere informazioni sull'account di servizio per il sink, procedi nel seguente modo:

    1. Nella console Google Cloud, vai alla pagina Router dei log:

      Vai a Router dei log

      Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

    2. Seleziona Menu, quindi scegli Visualizza i dettagli del sink.

      Nel riquadro Dettagli sink, il campo writerIdentity contiene e l'identità dell'account di servizio. La stringa serviceAccount: è nell'identità dell'account di servizio. Ad esempio:

      serviceAccount:service-123456789012@gcp-sa-logging.iam.gserviceaccount.com

  2. Nel progetto di destinazione, concedi all'identità writer il ruolo richiesto affinché l'account di servizio scriva nella destinazione. Per concedere un ruolo a un'entità, devi avere il ruolo Proprietario (roles/owner):

    • Per le destinazioni Cloud Storage, aggiungi l'identità writer del sink come entità mediante IAM, quindi assegnale Ruolo Creatore oggetti Storage (roles/storage.objectCreator).
    • Per le destinazioni BigQuery, aggiungi l'identità writer del sink come entità mediante IAM, quindi assegnale Ruolo di Editor dati BigQuery (roles/bigquery.dataEditor).
    • Per le destinazioni Pub/Sub, incluso Splunk, aggiungi l'identità writer del sink come entità mediante IAM, quindi assegnale Ruolo di Publisher Pub/Sub (roles/pubsub.publisher).
    • Per le destinazioni dei bucket Logging in diverse Per i progetti Google Cloud, aggiungi l'identità writer del sink come entità utilizzando IAM e poi assegnargli Ruolo Writer bucket di log (roles/logging.bucketWriter).
    • Per le destinazioni dei progetti Google Cloud, aggiungi il parametro writer come entità mediante IAM, quindi assegnargli Ruolo Writer log (roles/logging.logWriter). Nello specifico, un'entità ha bisogno Autorizzazione logging.logEntries.route.
    Se non hai l'accesso come Proprietario alla destinazione del sink, chiedi a un proprietario del progetto di e poi aggiungere l'identità autore come entità.

API

  1. Per ottenere informazioni sull'account di servizio per il sink, chiama il metodo API organizations.sinks.get oppure folders.sinks.get.

    Il campo writerIdentity contiene l'identità dell'account di servizio. La stringa serviceAccount: fa parte dell'identità dell'account di servizio. Ad esempio:

    serviceAccount:service-123456789012@gcp-sa-logging.iam.gserviceaccount.com

  2. Nel progetto di destinazione, concedi all'identità writer il ruolo richiesto affinché l'account di servizio scriva nella destinazione. Per concedere un ruolo a un'entità, devi avere il ruolo Proprietario (roles/owner):

    • Per le destinazioni Cloud Storage, aggiungi l'identità writer del sink come entità mediante IAM, quindi assegnale Ruolo Creatore oggetti Storage (roles/storage.objectCreator).
    • Per le destinazioni BigQuery, aggiungi l'identità writer del sink come entità mediante IAM, quindi assegnale Ruolo di Editor dati BigQuery (roles/bigquery.dataEditor).
    • Per le destinazioni Pub/Sub, incluso Splunk, aggiungi l'identità writer del sink come entità mediante IAM, quindi assegnale Ruolo di Publisher Pub/Sub (roles/pubsub.publisher).
    • Per le destinazioni dei bucket Logging in diverse Per i progetti Google Cloud, aggiungi l'identità writer del sink come entità utilizzando IAM e poi assegnargli Ruolo Writer bucket di log (roles/logging.bucketWriter).
    • Per le destinazioni dei progetti Google Cloud, aggiungi il parametro writer come entità mediante IAM, quindi assegnargli Ruolo Writer log (roles/logging.logWriter). Nello specifico, un'entità ha bisogno Autorizzazione logging.logEntries.route.
    Se non hai l'accesso come Proprietario alla destinazione del sink, chiedi a un proprietario del progetto di e poi aggiungere l'identità autore come entità.

gcloud

  1. Per ottenere informazioni sull'account di servizio per il sink, esegui seguente comando:

    gcloud logging sinks describe SINK_NAME

    Il campo writerIdentity contiene l'identità dell'account di servizio. La stringa serviceAccount: fa parte dell'identità dell'account di servizio. Ad esempio:

    serviceAccount:service-123456789012@gcp-sa-logging.iam.gserviceaccount.com

  2. Nel progetto di destinazione, concedi all'identità writer il ruolo richiesto affinché l'account di servizio scriva nella destinazione. Per concedere un ruolo a un'entità, devi avere il ruolo Proprietario (roles/owner):

    • Per le destinazioni Cloud Storage, aggiungi l'identità writer del sink come entità mediante IAM, quindi assegnale Ruolo Creatore oggetti Storage (roles/storage.objectCreator).
    • Per le destinazioni BigQuery, aggiungi l'identità writer del sink come entità mediante IAM, quindi assegnale Ruolo di Editor dati BigQuery (roles/bigquery.dataEditor).
    • Per le destinazioni Pub/Sub, incluso Splunk, aggiungi l'identità writer del sink come entità mediante IAM, quindi assegnale Ruolo di Publisher Pub/Sub (roles/pubsub.publisher).
    • Per le destinazioni dei bucket Logging in diverse Per i progetti Google Cloud, aggiungi l'identità writer del sink come entità utilizzando IAM e poi assegnargli Ruolo Writer bucket di log (roles/logging.bucketWriter).
    • Per le destinazioni dei progetti Google Cloud, aggiungi il parametro writer come entità mediante IAM, quindi assegnargli Ruolo Writer log (roles/logging.logWriter). Nello specifico, un'entità ha bisogno Autorizzazione logging.logEntries.route.
    Se non hai l'accesso come Proprietario alla destinazione del sink, chiedi a un proprietario del progetto di e poi aggiungere l'identità autore come entità.

Passaggi successivi