Questo documento descrive come creare dati sink. I sink aggregati ti consentono di combinare e indirizzare i log generati Risorse Google Cloud dell'organizzazione o della cartella in una posizione centralizzata.
Panoramica
I sink aggregati combinano e instradano voci di log dalle risorse contenute di un'organizzazione o una cartella in una destinazione.
Se vuoi controllare quali log possono essere sottoposti a query in queste risorse o instradati attraverso i sink di queste risorse, puoi configurare un sink aggregato non è una funzione di intercettazione o intercettazione:
Un sink aggregato non di intercettazione instrada i log tramite i sink nell'elemento figlio Google Cloud. Con questo sink, mantieni la visibilità dei log nel e le risorse in cui sono state generate. I sink non di intercettazione non sono visibili alle risorse figlio.
Ad esempio, puoi creare un sink aggregato non di intercettazione che instrada tutte le voci di log generate dalle cartelle contenute da un'organizzazione in un bucket Cloud Storage centrale. I log vengono archiviati nel bucket Cloud Storage, nonché nelle risorse in cui i log sono state generate.
Un intercettazione del sink aggregato impedisce il routing dei log tramite nelle risorse figlio, ad eccezione dei sink
_Required
. Questo sink può è utile per evitare che copie duplicate dei log vengano archiviate in in più luoghi.Ad esempio, considera gli audit log di accesso ai dati, che essere di grandi dimensioni e costoso archiviare più copie. Se hai gli audit log di accesso ai dati, potresti creare un'intercetta sink che instrada tutti gli audit log di accesso ai dati a un progetto centrale per l'analisi. Questo sink di intercettazione impedisce anche ai sink nelle risorse figlio di eseguire il routing dei log altrove.
I sink di intercettazione impediscono il passaggio dei registri attraverso il router dei log di risorse figlio, a meno che i log non corrispondano anche al sink
_Required
. Poiché vengono intercettati, non vengono conteggiati ai fini del calcolo delle metriche basate su log e i criteri di avviso basati su log nelle risorse figlio. Puoi visualizzare le intercette nella pagina Router dei log delle risorse figlio.
Per informazioni sulla gestione dei sink, consulta Indirizza i log alle destinazioni supportate: gestisci i sink.
Puoi creare fino a 200 sink per cartella o organizzazione.
Destinazioni supportate
Puoi utilizzare i sink aggregati senza intercettazione per eseguire il routing dei log all'interno o tra le stesse organizzazioni e cartelle alle destinazioni seguenti:
- Bucket Cloud Logging: fornisce spazio di archiviazione in Cloud Logging. Un bucket di log può archiviare le voci di log ricevute da più progetti Google Cloud. Puoi combinare I dati di Cloud Logging con altri dati eseguendo l'upgrade di un bucket di log da utilizzare Analisi dei log e creazione di un set di dati BigQuery collegato. Per informazioni sulla visualizzazione delle voci di log archiviate nei bucket di log, consulta Panoramica delle query e delle visualizzazioni dei log e visualizzare i log con routing ai bucket Cloud Logging.
- Set di dati BigQuery: fornisce l'archiviazione delle voci di log in set di dati BigQuery. Puoi utilizzare le funzionalità di analisi dei big data sulle voci di log archiviate. Per combinare i dati di Cloud Logging con altri origini dati, ti consigliamo di eseguire l'upgrade dei bucket di log Analisi dei log e poi creare un set di dati BigQuery collegato. Per informazioni sulla visualizzazione delle voci di log indirizzate a BigQuery, consulta Visualizza i log indirizzati a BigQuery.
- Bucket Cloud Storage: fornisce l'archiviazione delle voci di log in Cloud Storage. Registra sono archiviate come file JSON. Per informazioni sulla visualizzazione del log con routing a Cloud Storage, vedi Visualizzare i log con routing a Cloud Storage.
- Argomento Pub/Sub: fornisce supporto per le integrazioni di terze parti. Registra vengono formattate in JSON e quindi instradate a Pub/Sub per ogni argomento. Per informazioni sulla visualizzazione delle voci di log indirizzate a vedi Pub/Sub, Visualizza i log con routing a Pub/Sub.
- Splunk: fornisce assistenza per Splunk. Devi instradare le voci di log a un argomento Pub/Sub e quindi sottoscrivere quell'argomento usando Splunk.
- Progetto Google Cloud: esegui il routing delle voci di log a un altro progetto Google Cloud. Quando puoi instradare le voci di log a un altro progetto Google Cloud, la destinazione il router dei log del progetto riceve le voci di log e le elabora. La i sink nel progetto di destinazione determinano in che modo vengono vengono indirizzate correttamente. Error Reporting può analizzare le voci di log quando la destinazione Il progetto instrada queste voci di log a un bucket di log di proprietà della destinazione progetto.
- Altre risorse: instrada le voci di log a una destinazione supportata che si trova in un altro progetto. Per informazioni sui percorsi da utilizzare, consulta Formati del percorso di destinazione:
Best practice per l'intercettazione dei sink
Quando crei un sink di intercettazione, ti consigliamo di procedere come segue:
Valuta se le risorse figlio necessitano di un controllo indipendente del routing logaritmi. Se una risorsa figlio richiede il controllo indipendente di alcuni log, assicurati il sink di intercettazione non esegue il routing di questi log.
Aggiungi i dati di contatto alla descrizione di un sink di intercettazione. Questo potrebbe essere utile se chi gestisce il sink di intercettazione da coloro che gestiscono i progetti i cui log vengono intercettati.
Testa la configurazione del sink creando prima un elemento aggregato non intercettabile per garantire che vengano instradati i log corretti.
Sink aggregati e Controlli di servizio VPC
Quando utilizzi sink aggregati e si applicano le seguenti limitazioni, si applicano le seguenti limitazioni Controlli di servizio VPC:
I sink aggregati possono accedere ai dati dei progetti all'interno di un servizio perimetrale. Per impedire ai sink aggregati di accedere ai dati all'interno di un è consigliabile usare IAM per gestire Autorizzazioni di logging.
Controlli di servizio VPC non supporta l'aggiunta di cartelle o dell'organizzazione ai perimetri di servizio. Pertanto, non puoi utilizzare Controlli di servizio VPC per proteggere i log a livello di cartella e organizzazione, inclusi i log aggregati. Per gestire il logging a livello di cartella o organizzazione, ti consigliamo di o IAM.
Se esegui il routing dei log utilizzando un sink a livello di cartella o organizzazione verso un risorsa protetta da un perimetro di servizio, devi aggiungere in entrata nel perimetro di servizio. La regola in entrata deve consentire l'accesso alla risorsa dall'account di servizio utilizzato dal sink aggregato. Per saperne di più, consulta le seguenti pagine:
Quando specifichi un criterio in entrata o in uscita per un perimetro di servizio, non puoi usare
ANY_SERVICE_ACCOUNT
eANY_USER_ACCOUNT
come tipo di identità quando utilizzi un sink di log per il routing dei log alle risorse di Cloud Storage. Tuttavia, puoi utilizzareANY_IDENTITY
come tipo di identità.
Prima di iniziare
Prima di creare un sink, verifica quanto segue:
Hai una cartella o un'organizzazione Google Cloud con i log che puoi in Esplora log.
Devi disporre di uno dei seguenti ruoli IAM Organizzazione o cartella Google Cloud da cui esegui il routing dei log.
- Proprietario (
roles/owner
) - Amministratore Logging (
roles/logging.admin
) - Writer configurazione log (
roles/logging.configWriter
)
Le autorizzazioni contenute in questi ruoli ti consentono di creare, eliminare modificare i sink. Per informazioni sull'impostazione dei ruoli IAM, consulta il Guida al controllo dell'accesso per Logging.
- Proprietario (
Hai una risorsa in una destinazione supportata oppure poterne creare uno.
La destinazione di routing deve essere creata prima del sink, tramite Google Cloud CLI, la console Google Cloud o l'interfaccia su quelle di livello inferiore. Puoi creare la destinazione in qualsiasi progetto Google Cloud in qualsiasi ma devi assicurarti che l'account di servizio il sink ha le autorizzazioni per scrivere nella destinazione.
Crea un sink aggregato
Per creare un sink aggregato non intercettabile, crea un sink in una
all'organizzazione o alla cartella Google Cloud e imposta il valore includeChildren
del sink
su True
. Quando imposti il parametro includeChildren
, il sink
instrada le voci di log dall'organizzazione o dalla cartella e (in modo ricorsivo) da qualsiasi
conteneva cartelle, account di fatturazione o progetti Google Cloud. Per creare un
di intercettazione del sink, imposta sia includeChildren
sia interceptChildren
parametri in True
.
Per specificare le voci di log che desideri instradare al tuo destination, imposti il valore filtri di inclusione ed esclusione.
Per creare un sink aggregato per la cartella o l'organizzazione, segui questi passaggi:
Console
-
Nella console Google Cloud, vai alla pagina Router dei log:
Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.
Seleziona una cartella o un'organizzazione esistente.
Seleziona Crea sink.
Nel riquadro Dettagli sink, inserisci i seguenti dettagli:
Nome sink: fornisci un identificatore per il sink; tieni presente che dopo creare il sink, non puoi rinominarlo, ma puoi eliminarlo e creare un nuovo sink.
(Facoltativo) Descrizione sink: descrivi lo scopo o il caso d'uso per nel lavandino.
Nel riquadro Destinazione sink, seleziona il servizio sink e destinazione:
- Seleziona servizio sink: seleziona il servizio in cui vuoi che i log vengono indirizzate correttamente. Se crei un sink di intercettazione, puoi solo seleziona un progetto Google Cloud come destinazione.
In base al servizio selezionato, puoi scegliere tra le seguenti opzioni destinazioni:
- Bucket Cloud Logging: seleziona o crea un Bucket di Logging. Se crei di un bucket di log, deve essere a livello di progetto. Non puoi creare un di log a livello di cartella o organizzazione.
- Tabella BigQuery: seleziona o crea l'elemento per ricevere i log con routing. Hai anche la possibilità di utilizzare tabelle partizionate.
- Bucket Cloud Storage: seleziona o crea l'elemento Bucket Cloud Storage per ricevere i log con routing.
- Argomento Pub/Sub: seleziona o crea l'argomento specifico. per ricevere i log con routing.
- Splunk: seleziona l'argomento Pub/Sub per il tuo Splunk completamente gestito di Google Cloud.
Progetto Google Cloud: seleziona il progetto Google Cloud da per ricevere i log delle route.
Ad esempio, se la destinazione del sink è un set di dati BigQuery, la destinazione del sink sarebbe la seguente:
bigquery.googleapis.com/projects/PROJECT_ID/datasets/DATASET_ID
Nel riquadro Scegli i log da includere nel sink, esegui una delle seguenti operazioni:
Per creare un sink aggregato non intercettabile, seleziona Includi log importati da questa risorsa e da tutte le risorse figlio.
Per creare un sink di intercettazione, seleziona Intercetta i log importati da dell'organizzazione e di tutte le risorse figlio.
Completa la finestra di dialogo inserendo un espressione di filtro nel Crea il campo di un filtro di inclusione che corrisponda alle voci di log che ti interessano. da includere. Se non imposti un filtro, verranno visualizzati tutti i log vengono instradate alla destinazione.
Ad esempio, potresti creare un filtro per instradare tutti gli accessi ai dati gli audit log in un singolo bucket Logging. Questo filtro sembra ad esempio:
LOG_ID("cloudaudit.googleapis.com/data_access") OR LOG_ID("externalaudit.googleapis.com/data_access")
Tieni presente che la lunghezza di un filtro non può superare i 20.000 caratteri.
(Facoltativo) Per verificare di aver inserito il filtro corretto, seleziona Visualizza l'anteprima dei log. Esplora log si apre in una nuova scheda con il filtro precompilato.
(Facoltativo) Nel riquadro Scegli i log da escludere dal sink: le seguenti:
Nel campo Nome filtro di esclusione, inserisci un nome.
Nel campo Crea un filtro di esclusione, inserisci un un'espressione di filtro corrisponde alle voci di log che vuoi escludere. Puoi utilizzare anche Funzione
sample
per selezionare una parte delle voci di log da escludere.Ad esempio, per escludere i log di un progetto specifico indirizzato alla destinazione, aggiungi il seguente filtro di esclusione:
logName:projects/PROJECT_ID
Per escludere i log da più progetti, utilizza l'operatore logico-OR per unire le clausole
logName
.
Puoi creare fino a 50 filtri di esclusione per un lavandino. Tieni presente che la lunghezza di un filtro non può superare 20.000 caratteri.
Seleziona Crea sink.
API
Per creare un sink, usa organizations.sinks.create oppure folders.sinks.create nell'API Logging. Prepara gli argomenti al metodo come segue:
Imposta il parametro
parent
come organizzazione Google Cloud oppure cartella in cui creare il sink. L'elemento principale deve essere uno dei seguenti:organizations/ORGANIZATION_ID
folders/FOLDER_ID
Nell'oggetto LogSink nel corpo della richiesta del metodo, esegui una delle seguenti:
Per creare un sink aggregato non intercettabile, imposta
includeChildren
aTrue
.Per creare un sink di intercettazione, imposta
includeChildren
einterceptChildren
inTrue
.
Imposta la proprietà
filter
in modo che corrisponda alle voci di log da includere. Tieni presente che la lunghezza di un filtro non può superare i 20.000 caratteri.Per alcuni esempi di filtri utili, consulta Creare filtri per i sink aggregati.
Imposta i restanti campi LogSink come faresti per qualsiasi sink. Per ulteriori informazioni, vedi Esegui il routing dei log alle destinazioni supportate.
Chiama organizations.sinks.create o folders.sinks.create a e creare il sink.
Recupera il nome dell'account di servizio dal campo
writer_identity
dalla risposta dell'API.Concedi all'account di servizio l'autorizzazione per scrivere nella destinazione del sink.
Se non hai l'autorizzazione per apportare questa modifica al sink di destinazione, poi invia il nome dell'account di servizio a qualcuno che possa che cambino per te.
Per saperne di più sulla concessione delle autorizzazioni agli account di servizio per vedi la sezione sull'impostazione delle autorizzazioni di destinazione.
gcloud
Per creare un sink aggregato, utilizza
logging sinks create
. Per creare un sink aggregato non intercettabile, specifica il parametro
--include-children
flag. Per creare un sink di intercettazione, specifica sia il valore
Flag --include-children
e --intercept-children
.
Fornisci il nome, la destinazione, il filtro e l'ID del sink cartella o organizzazione da cui esegui il routing dei log: quanto segue crea un sink aggregato non intercettabile:
gcloud logging sinks create SINK_NAME \ SINK_DESTINATION --include-children \ --folder=FOLDER_ID --log-filter="LOG_FILTER"
Ad esempio, se stai creando un sink aggregato a livello di cartella e la cui destinazione è un set di dati BigQuery, il comando potrebbe avere il seguente aspetto:
gcloud logging sinks create SINK_NAME \ bigquery.googleapis.com/projects/PROJECT_ID/datasets/DATASET_ID --include-children \ --folder=FOLDER_ID --log-filter="logName:activity"
Note:
Per creare un sink a livello di organizzazione, sostituisci
--folder=FOLDER_ID
con--organization=ORGANIZATION_ID
.Affinché il sink includa tutte le risorse all'interno dell'organizzazione, È necessario impostare il flag
--include-children
, anche se il flag Il flag--organization
è stato passato acreate
. Se impostato sufalse
(impostazione predefinita), un sink eseguirà il routing dei log solo dalla risorsa host.Per alcuni esempi di filtri utili, consulta Creare filtri per i sink aggregati.
Recupera il nome dell'account di servizio utilizzato per creare il sink dal output comando.
Concedi all'account di servizio l'autorizzazione per scrivere nel sink destinazione.
Se non hai l'autorizzazione per apportare questa modifica al sink di destinazione, poi invia il nome dell'account di servizio a qualcuno che possa che cambino per te.
Per saperne di più sulla concessione delle autorizzazioni agli account di servizio per vedi la sezione sull'impostazione delle autorizzazioni di destinazione.
L'applicazione di qualsiasi modifica apportata a un sink potrebbe richiedere alcuni minuti.
Crea filtri per i sink aggregati
Come ogni altro sink, anche il sink aggregato contiene un filtro che seleziona singoli le voci di log. Per esempi di filtri che potresti utilizzare per creare i tuoi un sink aggregato, consulta Esempi di query con Esplora log.
Di seguito sono riportati alcuni esempi di confronti di filtri utili quando si utilizza il metodo la funzionalità dei sink aggregati. Alcuni esempi utilizzano la seguente notazione:
:
è l'operatore di sottostringa. Non sostituire l'operatore=
....
rappresenta eventuali confronti aggiuntivi di filtri.- Le variabili sono indicate da testo colorato. Sostituiscili con valori validi.
Tieni presente che la lunghezza di un filtro non può superare i 20.000 caratteri.
Per ulteriori dettagli sulla sintassi dei filtri, consulta Linguaggio di query di Logging.
Seleziona la sorgente log
Per un sink aggregato, per ogni risorsa secondaria dell'organizzazione o della cartella, i filtri di inclusione ed esclusione del sink vengono applicati a ogni voce di log viene inviato alla risorsa figlio. Una voce di log corrispondente il filtro di inclusione e che non è escluso viene indirizzato.
Se vuoi che il sink esegua il routing dei log di tutte le risorse figlio, specifica un progetto, una cartella o un'organizzazione nei filtri di inclusione ed esclusione del sink. Ad esempio, supponiamo che configura un sink aggregato per un'organizzazione con il filtro seguente:
resource.type="gce_instance"
Con il filtro precedente, i log con un tipo di risorsa Istanze di Compute Engine scritte in qualsiasi elemento figlio di quell'organizzazione vengono instradate alla destinazione dal sink aggregato.
Tuttavia, potrebbero verificarsi situazioni in cui vuoi utilizzare un sink aggregato
solo per il routing dei log
da risorse figlio specifiche. Ad esempio, per la conformità
motivi per cui potresti voler archiviare gli audit log da cartelle o progetti specifici
nel proprio bucket Cloud Storage. In queste situazioni, configura
filtro di inclusione per specificare ogni risorsa figlio di cui vuoi instradare i log.
Se vuoi eseguire il routing dei log da una cartella e da tutti i progetti al suo interno,
il filtro deve elencare la cartella e ognuno dei progetti contenuti
quella cartella, oltre a unire le istruzioni con una clausola OR
.
I seguenti filtri limitano i log a progetti Google Cloud specifici, cartelle o organizzazioni:
logName:"projects/PROJECT_ID/logs/" AND ...
logName:("projects/PROJECT_A_ID/logs/" OR "projects/PROJECT_B_ID/logs/") AND ...
logName:"folders/FOLDER_ID/logs/" AND ...
logName:"organizations/ORGANIZATION_ID/logs/" AND ...
Ad esempio, per instradare solo i log scritti su istanze di Compute Engine che sono
scritto nella cartella my-folder
, usa il seguente filtro:
logName:"folders/my-folder/logs/" AND resource.type="gce_instance"
Con il filtro precedente, i log scritti in qualsiasi risorsa diversa da my-folder
,
inclusi i log scritti nei progetti Google Cloud secondari di my-folder
,
non vengono indirizzati alla destinazione.
Seleziona la risorsa monitorata
a eseguire il routing dei log solo da una specifica risorsa monitorata in un progetto Google Cloud, utilizza più confronti per specificare la risorsa esattamente:
logName:"projects/PROJECT_ID/logs" AND resource.type=RESOURCE_TYPE AND resource.labels.instance_id=INSTANCE_ID
Per un elenco dei tipi di risorse, consulta Tipi di risorse monitorate.
Seleziona un esempio di voci di log
Per eseguire il routing di un campione casuale di voci di log, aggiungi l'sample
integrata
personalizzata. Ad esempio, per instradare solo il dieci percento delle voci di log corrispondenti
filtro corrente, utilizza questa aggiunta:
sample(insertId, 0.10) AND ...
Per ulteriori informazioni, consulta
Funzione sample
.
Per saperne di più sui filtri di Cloud Logging, consulta Linguaggio di query di Logging.
Imposta autorizzazioni per la destinazione
Questa sezione descrive come concedere a Logging il Autorizzazioni di Identity and Access Management per scrivere i log nella destinazione del sink. Per l'intera di ruoli e autorizzazioni di Logging, consulta Controllo dell'accesso.
Quando crei o aggiorni un sink che instrada i log a qualsiasi destinazione diversa rispetto a un bucket di log nel progetto attuale, un account di servizio per quel sink è obbligatorio. Logging crea e gestisce automaticamente un account di servizio per te:
- A partire dal 22 maggio 2023, quando crei un sink e nessun servizio esistente per la risorsa sottostante, Logging crea l'account di servizio. Logging usa lo stesso account di servizio per tutti i sink nella risorsa sottostante. Le risorse possono essere un progetto Google Cloud, un'organizzazione, una cartella account di fatturazione.
- Prima del 22 maggio 2023, Logging ha creato un servizio per ogni sink. A partire dal 22 maggio 2023, Logging utilizza un account di servizio condiviso per tutti i sink nella risorsa sottostante.
L'identità writer di un sink è l'identificatore del servizio associato al sink. Tutti i sink hanno un'identità autore, a meno che non scrivere in un bucket di log nel progetto Google Cloud attuale.
Per eseguire il routing dei log su una risorsa protetta da perimetro di servizio, devi aggiungere l'account di servizio per quel sink a un livello di accesso, quindi e assegnarlo al perimetro di servizio di destinazione. Questa operazione non è necessaria per e i sink non aggregati. Per maggiori dettagli, vedi Controlli di servizio VPC: Cloud Logging.
Per impostare le autorizzazioni del sink in modo che venga instradato alla destinazione, segui questi passaggi:
Console
- .
Per ottenere informazioni sull'account di servizio per il sink, procedi nel seguente modo:
-
Nella console Google Cloud, vai alla pagina Router dei log:
Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.
Seleziona more_vert Menu, quindi scegli Visualizza i dettagli del sink.
Nel riquadro Dettagli sink, il campo
writerIdentity
contiene e l'identità dell'account di servizio. La stringaserviceAccount:
è nell'identità dell'account di servizio. Ad esempio:serviceAccount:service-123456789012@gcp-sa-logging.iam.gserviceaccount.com
-
Nel progetto di destinazione, concedi all'identità writer il ruolo richiesto affinché l'account di servizio scriva nella destinazione. Per concedere un ruolo a un'entità, devi avere il ruolo Proprietario (
roles/owner
):- Per le destinazioni Cloud Storage, aggiungi l'identità writer del sink
come entità mediante IAM, quindi assegnale
Ruolo Creatore oggetti Storage
(
roles/storage.objectCreator
). - Per le destinazioni BigQuery, aggiungi l'identità writer del sink
come entità mediante IAM, quindi assegnale
Ruolo di Editor dati BigQuery
(
roles/bigquery.dataEditor
). - Per le destinazioni Pub/Sub, incluso Splunk, aggiungi l'identità writer del sink
come entità mediante IAM, quindi assegnale
Ruolo di Publisher Pub/Sub
(
roles/pubsub.publisher
). - Per le destinazioni dei bucket Logging in diverse
Per i progetti Google Cloud, aggiungi l'identità writer del sink come entità
utilizzando IAM e poi assegnargli
Ruolo Writer bucket di log
(
roles/logging.bucketWriter
). - Per le destinazioni dei progetti Google Cloud, aggiungi il parametro
writer come entità mediante IAM, quindi assegnargli
Ruolo Writer log
(
roles/logging.logWriter
). Nello specifico, un'entità ha bisogno Autorizzazionelogging.logEntries.route
.
- Per le destinazioni Cloud Storage, aggiungi l'identità writer del sink
come entità mediante IAM, quindi assegnale
Ruolo Creatore oggetti Storage
(
API
Per ottenere informazioni sull'account di servizio per il sink, chiama il metodo API organizations.sinks.get oppure folders.sinks.get.
Il campo
writerIdentity
contiene l'identità dell'account di servizio. La stringaserviceAccount:
fa parte dell'identità dell'account di servizio. Ad esempio:serviceAccount:service-123456789012@gcp-sa-logging.iam.gserviceaccount.com
Nel progetto di destinazione, concedi all'identità writer il ruolo richiesto affinché l'account di servizio scriva nella destinazione. Per concedere un ruolo a un'entità, devi avere il ruolo Proprietario (
roles/owner
):- Per le destinazioni Cloud Storage, aggiungi l'identità writer del sink
come entità mediante IAM, quindi assegnale
Ruolo Creatore oggetti Storage
(
roles/storage.objectCreator
). - Per le destinazioni BigQuery, aggiungi l'identità writer del sink
come entità mediante IAM, quindi assegnale
Ruolo di Editor dati BigQuery
(
roles/bigquery.dataEditor
). - Per le destinazioni Pub/Sub, incluso Splunk, aggiungi l'identità writer del sink
come entità mediante IAM, quindi assegnale
Ruolo di Publisher Pub/Sub
(
roles/pubsub.publisher
). - Per le destinazioni dei bucket Logging in diverse
Per i progetti Google Cloud, aggiungi l'identità writer del sink come entità
utilizzando IAM e poi assegnargli
Ruolo Writer bucket di log
(
roles/logging.bucketWriter
). - Per le destinazioni dei progetti Google Cloud, aggiungi il parametro
writer come entità mediante IAM, quindi assegnargli
Ruolo Writer log
(
roles/logging.logWriter
). Nello specifico, un'entità ha bisogno Autorizzazionelogging.logEntries.route
.
- Per le destinazioni Cloud Storage, aggiungi l'identità writer del sink
come entità mediante IAM, quindi assegnale
Ruolo Creatore oggetti Storage
(
gcloud
Per ottenere informazioni sull'account di servizio per il sink, esegui seguente comando:
gcloud logging sinks describe SINK_NAME
Il campo
writerIdentity
contiene l'identità dell'account di servizio. La stringaserviceAccount:
fa parte dell'identità dell'account di servizio. Ad esempio:serviceAccount:service-123456789012@gcp-sa-logging.iam.gserviceaccount.com
Nel progetto di destinazione, concedi all'identità writer il ruolo richiesto affinché l'account di servizio scriva nella destinazione. Per concedere un ruolo a un'entità, devi avere il ruolo Proprietario (
roles/owner
):- Per le destinazioni Cloud Storage, aggiungi l'identità writer del sink
come entità mediante IAM, quindi assegnale
Ruolo Creatore oggetti Storage
(
roles/storage.objectCreator
). - Per le destinazioni BigQuery, aggiungi l'identità writer del sink
come entità mediante IAM, quindi assegnale
Ruolo di Editor dati BigQuery
(
roles/bigquery.dataEditor
). - Per le destinazioni Pub/Sub, incluso Splunk, aggiungi l'identità writer del sink
come entità mediante IAM, quindi assegnale
Ruolo di Publisher Pub/Sub
(
roles/pubsub.publisher
). - Per le destinazioni dei bucket Logging in diverse
Per i progetti Google Cloud, aggiungi l'identità writer del sink come entità
utilizzando IAM e poi assegnargli
Ruolo Writer bucket di log
(
roles/logging.bucketWriter
). - Per le destinazioni dei progetti Google Cloud, aggiungi il parametro
writer come entità mediante IAM, quindi assegnargli
Ruolo Writer log
(
roles/logging.logWriter
). Nello specifico, un'entità ha bisogno Autorizzazionelogging.logEntries.route
.
- Per le destinazioni Cloud Storage, aggiungi l'identità writer del sink
come entità mediante IAM, quindi assegnale
Ruolo Creatore oggetti Storage
(
Passaggi successivi
Scopri come creare visualizzazioni dei log in un bucket di log. Le visualizzazioni di log consentono di concedere alle entità l'accesso in lettura a un sottoinsieme di voci di log in un bucket di log.
Per informazioni sulla gestione dei sink esistenti, consulta Indirizza i log alle destinazioni supportate: gestisci i sink.
Se riscontri problemi durante l'utilizzo dei sink per eseguire il routing dei log, consulta Risolvi i problemi di routing e sink.
Per scoprire come visualizzare i log nelle relative destinazioni e come i log sono formattati e organizzati, Visualizza i log nelle destinazioni sink