Mengumpulkan dan merutekan log tingkat organisasi serta folder ke tujuan yang didukung

Dokumen ini menjelaskan cara membuat sink gabungan. Sink gabungan memungkinkan Anda menggabungkan dan merutekan log yang dihasilkan oleh resource Google Cloud di organisasi atau folder Anda ke lokasi terpusat.

Ringkasan

Sink gabungan menggabungkan dan merutekan entri log dari resource yang terdapat dalam organisasi atau folder ke tujuan.

Jika ingin mengontrol log yang dapat dikueri dalam resource ini, atau dirutekan melalui sink dalam resource ini, Anda dapat mengonfigurasi sink gabungan agar tidak diintersepsi atau dicegat:

Sink gabungan yang tidak mencegat merutekan log melalui sink di resource turunan. Dengan sink ini, Anda mempertahankan visibilitas log di resource tempat log tersebut dihasilkan. Sink yang tidak mengintersep tidak terlihat oleh resource turunan.

Misalnya, Anda dapat membuat sink gabungan tanpa intersepsi yang merutekan semua entri log yang dihasilkan dari folder yang terdapat dalam organisasi ke bucket Cloud Storage pusat. Log disimpan di bucket Cloud Storage pusat, serta di resource tempat log dibuat.
Sink gabungan mencegah log dirutekan melalui sink dalam resource turunan, kecuali untuk sink _Required. Sink ini dapat berguna untuk mencegah salinan log duplikat disimpan di beberapa tempat.

Misalnya, pertimbangkan log audit Akses Data, yang volumenya bisa besar dan mahal untuk menyimpan beberapa salinan. Jika telah mengaktifkan log audit Akses Data, Anda dapat membuat sink penyadapan tingkat folder yang merutekan semua log audit Akses Data ke project pusat untuk dianalisis. Sink penyadapan ini juga mencegah sink dalam resource turunan mengarahkan salinan log ke tempat lain.

Sink yang mengganggu mencegah log diteruskan melalui Router Log resource turunan, kecuali jika log juga cocok dengan sink _Required. Karena log diintersepsi, log tidak diperhitungkan dalam metrik berbasis log atau pemberitahuan berbasis log dalam resource turunan. Anda dapat melihat sink intersepsi di halaman Router Log pada resource turunan.

Untuk mengetahui informasi tentang cara mengelola sink, lihat Merutekan log ke tujuan yang didukung: Mengelola sink.

Anda dapat membuat hingga 200 sink per folder atau organisasi.

Tujuan yang didukung

Anda dapat menggunakan sink agregat yang tidak mengintersep untuk merutekan log di dalam atau di antara organisasi dan folder yang sama ke tujuan berikut:

Bucket Cloud Logging: Menyediakan penyimpanan di Cloud Logging. Bucket log dapat menyimpan entri log yang diterima oleh beberapa project Google Cloud. Anda dapat menggabungkan data Cloud Logging dengan data lain dengan mengupgrade bucket log untuk menggunakan Log Analytics, lalu membuat set data BigQuery tertaut. Untuk mendapatkan informasi tentang cara melihat entri log yang disimpan di bucket log, lihat Ringkasan log dan kueri serta Melihat log yang dirutekan ke bucket Cloud Logging.
Set data BigQuery: Menyediakan penyimpanan entri log di set data BigQuery. Anda dapat menggunakan kemampuan analisis big data pada entri log yang disimpan. Untuk menggabungkan data Cloud Logging Anda dengan sumber data lain, sebaiknya upgrade bucket log Anda untuk menggunakan Log Analytics, lalu buat set data BigQuery tertaut. Untuk mendapatkan informasi tentang cara melihat entri log yang diarahkan ke BigQuery, baca artikel Melihat log yang dirutekan ke BigQuery.
Bucket Cloud Storage: Menyediakan penyimpanan entri log di Cloud Storage. Entri log disimpan sebagai file JSON. Untuk mengetahui informasi tentang cara melihat entri log yang dirutekan ke Cloud Storage, baca bagian Melihat log yang dirutekan ke Cloud Storage.
Pub/Sub topic: Memberikan dukungan untuk integrasi pihak ketiga. Entri log diformat ke dalam JSON, lalu dirutekan ke topik Pub/Sub. Untuk mengetahui informasi tentang cara melihat entri log yang dirutekan ke Pub/Sub, baca bagian Melihat log yang dirutekan ke Pub/Sub.
Splunk: Memberikan dukungan untuk Splunk. Anda harus mengarahkan entri log Anda ke topik Pub/Sub, lalu berlangganan ke topik tersebut menggunakan Splunk.
Project Google Cloud: Merutekan entri log ke project Google Cloud lain. Saat Anda mengarahkan entri log ke project Google Cloud yang berbeda, Router Log project tujuan akan menerima entri log dan memprosesnya. Sink dalam project tujuan menentukan cara entri log yang diterima dirutekan. Error Reporting dapat menganalisis entri log saat project tujuan merutekan entri log tersebut ke bucket log yang dimiliki oleh project tujuan.
Resource lainnya: Merutekan entri log Anda ke tujuan yang didukung yang berada dalam project berbeda. Untuk mengetahui informasi tentang jalur yang akan digunakan, lihat Format jalur tujuan.

Praktik terbaik untuk menyadap sink

Saat membuat sink penyadapan, kami sarankan agar Anda melakukan hal berikut:

Pertimbangkan apakah resource turunan memerlukan kontrol independen dalam merutekan log-nya. Jika resource turunan memerlukan kontrol independen atas log tertentu, pastikan sink penyadapan Anda tidak mengarahkan log tersebut.
Tambahkan informasi kontak ke deskripsi sink penyadapan. Hal ini mungkin berguna jika orang yang mengelola sink penyadapan berbeda dengan orang yang mengelola project yang log-nya disadap.
Uji konfigurasi sink Anda dengan membuat sink agregat yang tidak diintersepsi terlebih dahulu untuk memastikan log yang benar sedang dirutekan.

Sink gabungan dan Kontrol Layanan VPC

Batasan berikut berlaku saat Anda menggunakan sink gabungan dan Kontrol Layanan VPC:

Sink gabungan dapat mengakses data dari project di dalam perimeter layanan. Untuk membatasi sink gabungan agar tidak mengakses data di dalam perimeter, sebaiknya gunakan IAM untuk mengelola izin Logging.
Kontrol Layanan VPC tidak mendukung penambahan folder atau resource organisasi ke perimeter layanan. Oleh karena itu, Anda tidak dapat menggunakan Kontrol Layanan VPC untuk melindungi log tingkat folder dan organisasi, termasuk log agregat. Untuk mengelola izin Logging di tingkat folder atau organisasi, sebaiknya gunakan IAM.
Jika Anda merutekan log menggunakan sink tingkat folder atau organisasi ke resource yang dilindungi oleh perimeter layanan, Anda harus menambahkan aturan masuk ke perimeter layanan. Aturan masuk harus mengizinkan akses ke resource dari akun layanan yang digunakan oleh sink gabungan. Untuk informasi lebih lanjut, lihat halaman berikut:
- Aturan masuk dan keluar
- Mengelola perimeter layanan
Saat menetapkan kebijakan traffic masuk atau keluar untuk perimeter layanan, Anda tidak dapat menggunakan ANY_SERVICE_ACCOUNT dan ANY_USER_ACCOUNT sebagai jenis identitas saat menggunakan sink log untuk merutekan log ke resource Cloud Storage. Namun, Anda dapat menggunakan ANY_IDENTITY sebagai jenis identitas.

Sebelum memulai

Sebelum Anda membuat sink, pastikan hal berikut:

Anda memiliki folder atau organisasi Google Cloud dengan log yang dapat dilihat di Logs Explorer.
Anda memiliki salah satu peran IAM berikut untuk folder atau organisasi Google Cloud tempat Anda merutekan log.
- Pemilik (roles/owner)
- Admin Logging (roles/logging.admin)
- Penulis Konfigurasi Log (roles/logging.configWriter)
Izin yang terdapat dalam peran ini memungkinkan Anda membuat, menghapus, atau mengubah sink. Untuk mengetahui informasi tentang cara menetapkan peran IAM, lihat Panduan kontrol akses Logging.
Anda memiliki resource di tujuan yang didukung atau memiliki kemampuan untuk membuatnya.

Tujuan pemilihan rute harus dibuat sebelum sink, melalui Google Cloud CLI, Google Cloud Console, atau Google Cloud API. Anda dapat membuat tujuan di project Google Cloud apa pun di organisasi apa pun, tetapi Anda perlu memastikan bahwa akun layanan dari sink memiliki izin untuk menulis ke tujuan.

Membuat sink gabungan

Untuk membuat sink agregat yang tidak mengintersep, Anda membuat sink dalam organisasi atau folder Google Cloud, dan menetapkan parameter includeChildren sink ke True. Saat Anda menetapkan parameter includeChildren, sink merutekan entri log dari organisasi atau folder, dan (secara berulang) dari folder, akun penagihan, atau project Google Cloud yang ada. Untuk membuat sink penyadapan, tetapkan parameter includeChildren dan interceptChildren ke True.

Untuk menentukan entri log yang ingin dirutekan ke destination, tetapkan filter penyertaan dan pengecualian sink.

Guna membuat sink gabungan untuk folder atau organisasi Anda, lakukan hal berikut:

Konsol

Di panel navigasi konsol Google Cloud, pilih Logging, lalu pilih Log Router:
Buka Router Log
Pilih folder atau organisasi yang ada.
Pilih Create sink.
Di panel Sink details, masukkan detail berikut:
- Nama sink: Berikan ID untuk sink; perhatikan bahwa setelah membuat sink, Anda tidak dapat mengganti nama sink, tetapi dapat menghapusnya dan membuat sink baru.
- Deskripsi sink (opsional): Jelaskan tujuan atau kasus penggunaan sink.
Di panel Sink destination, pilih layanan dan tujuan sink:
- Select sink service: Pilih layanan tempat Anda ingin log dirutekan. Jika membuat sink penyadapan, Anda hanya dapat memilih project Google Cloud sebagai tujuan.
Berdasarkan layanan yang dipilih, Anda dapat memilih dari tujuan berikut:
- Bucket Cloud Logging: Pilih atau buat Logging bucket. Jika Anda membuat bucket log, bucket tersebut harus berada di level project. Anda tidak dapat membuat bucket log di tingkat folder atau organisasi.
- Tabel BigQuery: Pilih atau buat set data tertentu untuk menerima log yang dirutekan. Anda juga memiliki opsi untuk menggunakan tabel yang dipartisi.
- Bucket Cloud Storage: Pilih atau buat bucket Cloud Storage tertentu untuk menerima log yang dirutekan.
- Pub/Sub topic: Pilih atau buat topik tertentu untuk menerima log yang dirutekan.
- Splunk: Pilih topik Pub/Sub untuk layanan Splunk Anda.
- Project Google Cloud: Pilih project Google Cloud untuk menerima log rute.
  
  Misalnya, jika tujuan sink Anda adalah set data BigQuery, tujuan sink adalah sebagai berikut:
```
bigquery.googleapis.com/projects/PROJECT_ID/datasets/DATASET_ID
```
Di panel Choose logs to include in sink, lakukan salah satu tindakan berikut:
- Untuk membuat sink agregat yang tidak mengganggu, pilih Include logs edested by this resource and all child resources.
- Untuk membuat sink penyadapan, pilih Intercept logs created by ini dan semua resource turunan.
Selesaikan dialog dengan memasukkan ekspresi filter di kolom Filter penyertaan build yang cocok dengan entri log yang ingin Anda sertakan. Jika Anda tidak menetapkan filter, semua log dari resource yang dipilih akan dirutekan ke tujuan.

Misalnya, Anda mungkin ingin membuat filter untuk merutekan semua log audit Akses Data ke satu bucket Logging. Filter ini akan terlihat seperti berikut:
```
LOG_ID("cloudaudit.googleapis.com/data_access") OR LOG_ID("externalaudit.googleapis.com/data_access")
```
Perhatikan bahwa panjang filter tidak boleh melebihi 20.000 karakter.
(Opsional) Untuk memastikan bahwa Anda memasukkan filter yang benar, pilih Preview logs. Tindakan ini akan membuka Logs Explorer di tab baru, dengan filter yang telah diisi otomatis.
(Opsional) Di panel Pilih log yang akan dikecualikan dari sink, lakukan hal berikut:
1. Di kolom Nama filter pengecualian, masukkan nama.
2. Di kolom Build an exception filter, masukkan ekspresi filter yang cocok dengan entri log yang ingin Anda kecualikan. Anda juga dapat menggunakan fungsi sample untuk memilih sebagian entri log yang akan dikecualikan.
  
  Poin Penting: Jika Anda ingin filter pengecualian dinonaktifkan saat sink dibuat, pilih Disable setelah Anda memasukkan ekspresi filter. Anda dapat memperbarui sink nanti untuk mengaktifkan filter pengecualian.
  
  Misalnya, untuk mengecualikan log dari project tertentu agar tidak dirutekan ke tujuan, tambahkan filter pengecualian berikut:
```
logName:projects/PROJECT_ID
```
  Untuk mengecualikan log dari beberapa project, gunakan operator logical-OR untuk menggabungkan klausa logName.
Anda dapat membuat hingga 50 filter pengecualian per sink. Perhatikan bahwa panjang filter tidak boleh melebihi 20.000 karakter.
Pilih Create sink.

API

Untuk membuat sink, gunakan organizations.sinks.create atau folders.sinks.create di Logging API. Siapkan argumen ke metode sebagai berikut:

Tetapkan parameter parent menjadi organisasi atau folder Google Cloud tempat sink dibuat. Induk harus berupa salah satu dari berikut:
- organizations/ORGANIZATION_ID
- folders/FOLDER_ID
Pada objek LogSink dalam isi permintaan metode, lakukan salah satu hal berikut:
- Untuk membuat sink agregat yang tidak mengintersep, tetapkan includeChildren ke True.
- Untuk membuat sink intersepsi, tetapkan parameter includeChildren dan interceptChildren ke True.
Tetapkan properti filter agar cocok dengan entri log yang ingin Anda sertakan. Perhatikan bahwa panjang filter tidak boleh melebihi 20.000 karakter.

Untuk mengetahui beberapa contoh filter yang berguna, lihat Membuat filter untuk sink agregat.
Tetapkan kolom LogSink yang tersisa seperti yang Anda lakukan untuk sink. Untuk mengetahui informasi selengkapnya, lihat Merutekan log ke tujuan yang didukung.
Panggil organizations.sinks.create atau folders.sinks.create untuk membuat sink.
Ambil nama akun layanan dari kolom writer_identity yang ditampilkan dari respons API.
Beri akun layanan tersebut izin untuk menulis ke tujuan sink Anda.

Jika Anda tidak memiliki izin untuk membuat perubahan ke tujuan sink, kirim nama akun layanan kepada seseorang yang bisa melakukan perubahan itu untuk Anda.

Untuk mengetahui informasi selengkapnya tentang memberikan izin kepada akun layanan untuk resource, lihat bagian menetapkan izin tujuan.

gcloud

Untuk membuat sink gabungan, gunakan perintah logging sinks create. Untuk membuat sink agregat yang tidak mengintersep, tentukan flag --include-children. Untuk membuat sink penyadapan, tentukan tanda --include-children dan --intercept-children.

Berikan nama sink, tujuan sink, filter, dan ID folder atau organisasi tempat Anda merutekan log: Contoh berikut akan membuat sink gabungan yang tidak melakukan intersepsi:
```
gcloud logging sinks create SINK_NAME \
  SINK_DESTINATION  --include-children \
  --folder=FOLDER_ID --log-filter="LOG_FILTER"
```
Misalnya, jika Anda membuat sink gabungan pada level folder dan yang tujuannya adalah set data BigQuery, perintah Anda mungkin terlihat seperti berikut:
```
gcloud logging sinks create SINK_NAME \
  bigquery.googleapis.com/projects/PROJECT_ID/datasets/DATASET_ID --include-children \
  --folder=FOLDER_ID --log-filter="logName:activity"
```
Catatan:
- Untuk membuat sink di tingkat organisasi, ganti --folder=FOLDER_ID dengan --organization=ORGANIZATION_ID.
- Agar sink menyertakan semua resource dalam organisasi, tanda --include-children harus ditetapkan, meskipun tanda --organization diteruskan ke create. Jika ditetapkan ke false (default), sink hanya akan merutekan log dari resource host.
- Untuk mengetahui beberapa contoh filter yang berguna, lihat Membuat filter untuk sink agregat.
Ambil nama akun layanan yang digunakan untuk membuat sink dari output perintah.
Beri akun layanan tersebut izin untuk menulis ke tujuan sink Anda.

Jika Anda tidak memiliki izin untuk membuat perubahan ke tujuan sink, kirim nama akun layanan kepada seseorang yang bisa melakukan perubahan itu untuk Anda.

Untuk mengetahui informasi selengkapnya tentang memberikan izin kepada akun layanan untuk resource, lihat bagian menetapkan izin tujuan.

Perubahan apa pun yang dibuat pada sink mungkin memerlukan waktu beberapa menit untuk diterapkan.

Membuat filter untuk sink gabungan

Seperti sink lainnya, sink agregat Anda berisi filter yang memilih masing-masing entri log. Untuk contoh filter yang mungkin Anda gunakan untuk membuat sink gabungan, lihat Contoh kueri menggunakan Logs Explorer.

Berikut adalah beberapa contoh perbandingan filter yang berguna saat menggunakan fitur sink gabungan. Beberapa contoh menggunakan notasi berikut:

: adalah operator substring. Jangan ganti operator =.
... merepresentasikan perbandingan filter tambahan apa pun.
Variabel ditunjukkan dengan teks berwarna. Ganti dengan nilai yang valid.

Perhatikan bahwa panjang filter tidak boleh melebihi 20.000 karakter.

Untuk mengetahui detail selengkapnya tentang sintaksis pemfilteran, lihat Bahasa kueri logging.

Pilih sumber log

Untuk sink gabungan, bagi setiap resource turunan organisasi atau folder, filter penyertaan dan pengecualian sink diterapkan ke setiap entri log yang dikirim ke resource turunan. Entri log yang cocok dengan filter penyertaan dan yang tidak dikecualikan, akan dirutekan.

Jika Anda ingin sink merutekan log dari semua resource turunan, jangan menentukan project, folder, atau organisasi di filter penyertaan dan pengecualian sink. Misalnya, Anda mengonfigurasi sink agregat untuk organisasi dengan filter berikut:

resource.type="gce_instance"

Dengan filter sebelumnya, log dengan jenis resource instance Compute Engine yang ditulis ke turunan mana pun dari organisasi tersebut akan dirutekan oleh sink gabungan ke tujuan.

Namun, mungkin ada situasi saat Anda ingin menggunakan sink gabungan untuk merutekan log hanya dari resource turunan tertentu. Misalnya, untuk alasan kepatuhan, Anda mungkin ingin menyimpan log audit dari folder atau project tertentu di bucket Cloud Storage-nya sendiri. Dalam situasi tersebut, konfigurasikan filter penyertaan untuk menentukan setiap resource turunan yang lognya ingin Anda perutean. Jika Anda ingin merutekan log dari folder dan semua project dalam folder tersebut, filter harus mencantumkan folder dan setiap project yang terdapat dalam folder tersebut, serta menggabungkan pernyataan dengan klausa OR.

Filter berikut membatasi log ke project, folder, atau organisasi Google Cloud tertentu:

logName:"projects/PROJECT_ID/logs/" AND ...

logName:("projects/PROJECT_A_ID/logs/" OR "projects/PROJECT_B_ID/logs/") AND ...

logName:"folders/FOLDER_ID/logs/" AND ...

logName:"organizations/ORGANIZATION_ID/logs/" AND ...

Misalnya, untuk merutekan hanya log yang ditulis ke instance Compute Engine yang ditulis ke folder my-folder, gunakan filter berikut:

logName:"folders/my-folder/logs/" AND resource.type="gce_instance"

Dengan filter sebelumnya, log yang ditulis ke resource apa pun selain my-folder, termasuk log yang ditulis ke project Google Cloud yang merupakan turunan dari my-folder, tidak akan dirutekan ke tujuan.

Pilih resource yang dipantau

Untuk merutekan log hanya dari resource tertentu yang dipantau dalam project Google Cloud, gunakan beberapa perbandingan untuk menentukan resource dengan tepat:

logName:"projects/PROJECT_ID/logs" AND
resource.type=RESOURCE_TYPE AND
resource.labels.instance_id=INSTANCE_ID

Untuk daftar jenis resource, lihat Jenis resource yang dimonitor.

Memilih sampel entri log

Untuk merutekan sampel entri log acak, tambahkan fungsi bawaan sample. Misalnya, untuk merutekan hanya sepuluh persen entri log yang cocok dengan filter Anda saat ini, gunakan penambahan ini:

sample(insertId, 0.10) AND ...

Untuk mengetahui informasi selengkapnya, lihat fungsi sample.

Untuk mengetahui informasi selengkapnya tentang filter Cloud Logging, lihat Bahasa kueri logging.

Tetapkan izin tujuan

Bagian ini menjelaskan cara memberikan izin Pengelolaan Identitas dan Akses kepada Logging untuk menulis log ke tujuan sink Anda. Untuk mengetahui daftar lengkap peran dan izin Logging, lihat Kontrol akses.

Saat Anda membuat atau memperbarui sink yang merutekan log ke tujuan apa pun selain bucket log dalam project saat ini, akun layanan untuk sink tersebut diperlukan. Logging akan otomatis membuat dan mengelola akun layanan untuk Anda:

Mulai 22 Mei 2023, saat Anda membuat sink dan tidak ada akun layanan untuk resource yang mendasarinya, Logging akan membuat akun layanan. Logging menggunakan akun layanan yang sama untuk semua sink di resource yang mendasarinya. Resource dapat berupa project Google Cloud, organisasi, folder, atau akun penagihan.
Sebelum 22 Mei 2023, Logging membuat akun layanan untuk setiap sink. Mulai 22 Mei 2023, Logging menggunakan akun layanan bersama untuk semua sink di resource yang mendasarinya.

Identitas penulis sink adalah ID akun layanan yang terkait dengan sink tersebut. Semua sink memiliki identitas penulis kecuali jika mereka menulis ke bucket log di project Google Cloud saat ini.

Untuk merutekan log ke resource yang dilindungi oleh perimeter layanan, Anda harus menambahkan akun layanan untuk sink tersebut ke tingkat akses, lalu menetapkannya ke perimeter layanan tujuan. Hal ini tidak diperlukan untuk sink yang tidak digabungkan. Untuk mengetahui detailnya, lihat Kontrol Layanan VPC: Cloud Logging.

Untuk menetapkan izin bagi sink Anda agar dirutekan ke tujuannya, lakukan hal berikut:

Konsol

Untuk mendapatkan informasi tentang akun layanan untuk sink Anda, lakukan hal berikut:
1. Di panel navigasi konsol Google Cloud, pilih Logging, lalu pilih Log Router:
  Buka Router Log
2. Pilih Menu, lalu pilih View sink details.
  
  Di panel Sink details, kolom writerIdentity berisi identitas akun layanan. String serviceAccount: adalah bagian dari identitas akun layanan. Contoh:
```
serviceAccount:service-123456789012@gcp-sa-logging.iam.gserviceaccount.com
```
Pada project tujuan, berikan identitas penulis peran yang diperlukan untuk akun layanan untuk menulis ke tujuan. Untuk memberikan peran kepada akun utama, Anda harus memiliki peran Pemilik (roles/owner):
- Untuk tujuan Cloud Storage, tambahkan identitas penulis sink sebagai akun utama dengan menggunakan IAM, lalu berikan peran Storage Object Creator (roles/storage.objectCreator).
- Untuk tujuan BigQuery, tambahkan identitas penulis sink sebagai akun utama dengan menggunakan IAM, lalu berikan peran BigQuery Data Editor (roles/bigquery.dataEditor).
- Untuk tujuan Pub/Sub, termasuk Splunk, tambahkan identitas penulis sink sebagai akun utama menggunakan IAM, lalu berikan peran Pub/Sub Publisher (roles/pubsub.publisher).
- Untuk tujuan bucket Logging di berbagai project Google Cloud, tambahkan identitas penulis sink sebagai akun utama menggunakan IAM, lalu berikan peran Logs Bucket Writer (roles/logging.bucketWriter).
- Untuk tujuan project Google Cloud, tambahkan identitas penulis sink sebagai akun utama dengan menggunakan IAM, lalu berikan peran Penulis Log (roles/logging.logWriter). Secara khusus, akun utama memerlukan izin logging.logEntries.route.
Jika Anda tidak memiliki akses Owner ke tujuan sink, minta pemilik project untuk menambahkan identitas penulis sebagai akun utama.

API

Untuk mendapatkan informasi tentang akun layanan untuk sink Anda, panggil metode API organizations.sinks.get atau folders.sinks.get.

Kolom writerIdentity berisi identitas akun layanan. String serviceAccount: adalah bagian dari identitas akun layanan. Contoh:
```
serviceAccount:service-123456789012@gcp-sa-logging.iam.gserviceaccount.com
```
Pada project tujuan, berikan identitas penulis peran yang diperlukan untuk akun layanan untuk menulis ke tujuan. Untuk memberikan peran kepada akun utama, Anda harus memiliki peran Pemilik (roles/owner):
- Untuk tujuan Cloud Storage, tambahkan identitas penulis sink sebagai akun utama dengan menggunakan IAM, lalu berikan peran Storage Object Creator (roles/storage.objectCreator).
- Untuk tujuan BigQuery, tambahkan identitas penulis sink sebagai akun utama dengan menggunakan IAM, lalu berikan peran BigQuery Data Editor (roles/bigquery.dataEditor).
- Untuk tujuan Pub/Sub, termasuk Splunk, tambahkan identitas penulis sink sebagai akun utama menggunakan IAM, lalu berikan peran Pub/Sub Publisher (roles/pubsub.publisher).
- Untuk tujuan bucket Logging di berbagai project Google Cloud, tambahkan identitas penulis sink sebagai akun utama menggunakan IAM, lalu berikan peran Logs Bucket Writer (roles/logging.bucketWriter).
- Untuk tujuan project Google Cloud, tambahkan identitas penulis sink sebagai akun utama dengan menggunakan IAM, lalu berikan peran Penulis Log (roles/logging.logWriter). Secara khusus, akun utama memerlukan izin logging.logEntries.route.
Jika Anda tidak memiliki akses Owner ke tujuan sink, minta pemilik project untuk menambahkan identitas penulis sebagai akun utama.

gcloud

Untuk mendapatkan informasi tentang akun layanan untuk sink Anda, jalankan perintah berikut:
```
gcloud logging sinks describe SINK_NAME
```
Kolom writerIdentity berisi identitas akun layanan. String serviceAccount: adalah bagian dari identitas akun layanan. Contoh:
```
serviceAccount:service-123456789012@gcp-sa-logging.iam.gserviceaccount.com
```
Pada project tujuan, berikan identitas penulis peran yang diperlukan untuk akun layanan untuk menulis ke tujuan. Untuk memberikan peran kepada akun utama, Anda harus memiliki peran Pemilik (roles/owner):
- Untuk tujuan Cloud Storage, tambahkan identitas penulis sink sebagai akun utama dengan menggunakan IAM, lalu berikan peran Storage Object Creator (roles/storage.objectCreator).
- Untuk tujuan BigQuery, tambahkan identitas penulis sink sebagai akun utama dengan menggunakan IAM, lalu berikan peran BigQuery Data Editor (roles/bigquery.dataEditor).
- Untuk tujuan Pub/Sub, termasuk Splunk, tambahkan identitas penulis sink sebagai akun utama menggunakan IAM, lalu berikan peran Pub/Sub Publisher (roles/pubsub.publisher).
- Untuk tujuan bucket Logging di berbagai project Google Cloud, tambahkan identitas penulis sink sebagai akun utama menggunakan IAM, lalu berikan peran Logs Bucket Writer (roles/logging.bucketWriter).
- Untuk tujuan project Google Cloud, tambahkan identitas penulis sink sebagai akun utama dengan menggunakan IAM, lalu berikan peran Penulis Log (roles/logging.logWriter). Secara khusus, akun utama memerlukan izin logging.logEntries.route.
Jika Anda tidak memiliki akses Owner ke tujuan sink, minta pemilik project untuk menambahkan identitas penulis sebagai akun utama.

Langkah selanjutnya

Pelajari cara membuat tampilan log di bucket log. Tampilan log memungkinkan Anda memberikan akses baca akun utama ke subset entri log yang disimpan dalam bucket log.
Untuk mengetahui informasi tentang cara mengelola sink yang ada, lihat Merutekan log ke tujuan yang didukung: Mengelola sink.
Jika Anda mengalami masalah saat menggunakan sink untuk merutekan log, lihat Memecahkan masalah perutean dan sink.
Untuk mempelajari cara melihat log di tujuannya, serta bagaimana log diformat dan diatur, lihat Melihat log di tujuan sink