Aggregierte Senken – Übersicht

In diesem Dokument werden aggregierte Senken beschrieben, mit denen Sie Logeinträge, die aus Ressourcen in einem Ordner oder einer Organisation stammen, zusammenfassen und an ein unterstütztes Ziel weiterleiten können. Wir empfehlen, aggregierte Senken zu verwenden, um Ihre Logdaten an einen zentralen Speicherort weiterzuleiten.

Aggregierte Senken

Eine zusammengefasste Senke ähnelt einer Senke auf Projektebene, da sie Filter und ein Ziel enthält. Der Log-Router sendet jedoch die folgenden Logeinträge an eine aggregierte Senke:

  • Alle Logeinträge, die in einem Ordner oder einer Organisation erstellt werden.
  • Alle Logeinträge, die aus den untergeordneten Ressourcen des Ordners oder der Organisation stammen.

Wenn Sie beispielsweise eine aggregierte Senke auf Ordnerebene erstellen, sendet der Log-Router alle Logeinträge, die im Ordner oder in untergeordneten Ressourcen des Ordners stammen, an diese Senke.

Wenn in der Ressourcenhierarchie eines Logeintrags aggregierte Senken vorhanden sind, sendet der Log Router den Logeintrag zuerst an diese Senken. Da aggregierte Senken abfangend oder nicht abfangend sein können, sendet der Logrouter möglicherweise keinen Logeintrag, der von einer aggregierten Senke weitergeleitet wird, an die Senken auf Projektebene.

Abfangende aggregierte Senke

Eine abfangende aggregierte Senke verhindert, dass Logeinträge an Senken in untergeordneten Ressourcen weitergeleitet werden. Eine Ausnahme bilden die _Required-Senken in den Ressourcen, aus denen die Logeinträge stammen. Eine abfangende aggregierte Senke kann nützlich sein, um zu verhindern, dass doppelte Kopien von Logeinträgen an mehreren Stellen gespeichert werden.

Angenommen, Sie müssen Audit-Logs zum Datenzugriff zu Prüfzwecken aktivieren. Um die Analyse zu vereinfachen, möchten Sie diese Logs an einem zentralen Ort speichern. Aus Sicherheits- und Kostengründen möchten Sie jedoch auch verhindern, dass diese Logs auf Projektebene gespeichert werden. Für dieses Szenario können Sie eine abfangende aggregierte Senke erstellen.

Nicht abfangende aggregierte Senke

Ein nicht abfangender aggregierter Senke hat keine Auswirkungen darauf, wie Logeinträge an andere Senken weitergeleitet werden. Das bedeutet, dass ein Logeintrag, der mit dem Filter einer nicht abfangenden aggregierten Senke übereinstimmt, an andere Senken in der Ressourcenhierarchie des Logeintrags weitergeleitet wird. Mit einem nicht abfangenden aggregierten Senken können Sie die Sichtbarkeit von Logeinträgen in den Ressourcen beibehalten, in denen sie generiert wurden.

Sie können beispielsweise eine nicht abfangende zusammengefasste Senke erstellen, mit der alle Logeinträge, die aus den in einer Organisation enthaltenen Ordnern generiert werden, an einen zentralen Log-Bucket weitergeleitet werden. Die Logeinträge werden im zentralen Log-Bucket gespeichert. Da die Senke jedoch nicht abfangend ist, sendet der Log-Router Logeinträge auch an die Log-Senken in der Ressource, in der sie generiert wurden.

Routing-Beispiele

In diesem Abschnitt wird veranschaulicht, wie ein Logeintrag, der in einem Projekt erstellt wurde, durch die Senken in der zugehörigen Ressourcenhierarchie fließen kann.

Beispiel: Keine aggregierten Senken vorhanden

Wenn in der Ressourcenhierarchie des Logeintrags keine aggregierten Senken vorhanden sind, wird der Logeintrag an die Logsenken in dem Projekt gesendet, aus dem der Logeintrag stammt. Eine Senke auf Projektebene leitet den Logeintrag an das Ziel der Senke weiter, wenn der Logeintrag mit dem Einschlussfilter der Senke übereinstimmt, aber nicht mit einem der Ausschlussfilter der Senke.

Beispiel: Es ist ein nicht abfangender aggregierter Sink vorhanden.

Angenommen, in der Ressourcenhierarchie ist für einen Logeintrag eine nicht abfangende aggregierte Senke vorhanden. Nachdem der Log-Router den Logeintrag an die nicht abfangende aggregierte Senke gesendet hat, geschieht Folgendes:

  1. Die nicht abfangende zusammengefasste Senke leitet den Logeintrag an das Ziel der Senke weiter, wenn der Logeintrag mit dem Einschlussfilter übereinstimmt, aber nicht mit einem Ausschlussfilter.

  2. Der Log-Router sendet den Logeintrag an die Logsenken in dem Projekt, in dem der Logeintrag erstellt wurde.

    Eine Senke auf Projektebene leitet den Logeintrag an das Ziel der Senke weiter, wenn der Logeintrag mit dem Einschlussfilter der Senke übereinstimmt, aber nicht mit einem der Ausschlussfilter der Senke.

Beispiel: Eine abfangende aggregierte Senke ist vorhanden

Angenommen, in der Ressourcenhierarchie ist eine abfangende aggregierte Senke für einen Logeintrag vorhanden. Nachdem der Log-Router den Logeintrag an die abfangende aggregierte Senke gesendet hat, geschieht eines der folgenden Dinge:

  • Der Logeintrag stimmt mit dem Einschlussfilter überein, aber nicht mit einem Ausschlussfilter:

    1. Der Logeintrag wird an das Ziel der abfangenden aggregierten Senke weitergeleitet.
    2. Der Logeintrag wird an die _Required-Senke in dem Projekt gesendet, in dem der Logeintrag erstellt wurde.

  • Der Logeintrag stimmt nicht mit dem Einschlussfilter überein oder er stimmt mit mindestens einem Ausschlussfilter überein:

    1. Der Logeintrag wird nicht von der abfangenden aggregierten Senke weitergeleitet.

    2. Der Log-Router sendet den Logeintrag an die Logsenken in dem Projekt, in dem der Logeintrag erstellt wurde.

      Eine Senke auf Projektebene leitet den Logeintrag an das Ziel der Senke weiter, wenn der Logeintrag mit dem Einschlussfilter der Senke übereinstimmt, aber nicht mit einem der Ausschlussfilter der Senke.

Unterstützte Ziele für aggregierte Senken

In diesem Abschnitt wird aufgeführt, welche Ziele für aggregierte Senken unterstützt werden.

Abfangende Senken

Das Ziel einer abfangenden aggregierten Senke muss einGoogle Cloud -Projekt sein.

Die Logsenken im Zielprojekt leiten die Logeinträge an ihre Ziele weiter. Alle Ziele außer Projekten werden unterstützt. Beispielsweise können die Log-Senken im Zielprojekt Logeinträge an einen Log-Bucket weiterleiten.

Nicht abfangende Senken

Das Ziel einer nicht abfangenden aggregierten Senke kann eines der folgenden sein:

Das Ziel einer Senke kann sich in einer anderen Ressource als die Senke befinden. Sie können beispielsweise eine Logsenke verwenden, um Logeinträge aus einem Projekt an einen Log-Bucket weiterzuleiten, der in einem anderen Projekt gespeichert ist.

Die folgenden Ziele werden unterstützt:

Google Cloud -Projekt

Wählen Sie dieses Ziel aus, wenn die Logsenken im Zielprojekt Ihre Logeinträge umleiten sollen oder wenn Sie eine abfangende aggregierte Senke erstellt haben. Die Logsenken im Projekt, das das Senkenziel ist, können die Logeinträge an jedes unterstützte Ziel außer einem Projekt weiterleiten.

Log-Bucket

Wählen Sie dieses Ziel aus, wenn Sie Ihre Logdaten in von Cloud Logging verwalteten Ressourcen speichern möchten. Logdaten, die in Log-Buckets gespeichert sind, können mit Diensten wie dem Log-Explorer und Log Analytics aufgerufen und analysiert werden.

Wenn Sie Ihre Logdaten mit anderen Geschäftsdaten verknüpfen möchten, können Sie sie in einem Log-Bucket speichern und ein verknüpftes BigQuery-Dataset erstellen. Ein verknüpftes Dataset ist ein schreibgeschütztes Dataset, das wie jedes andere BigQuery-Dataset abgefragt werden kann.

BigQuery-Dataset
Wählen Sie dieses Ziel aus, wenn Sie Ihre Logdaten mit anderen Geschäftsdaten zusammenführen möchten. Das von Ihnen angegebene Dataset muss für Schreibvorgänge aktiviert sein. Das Ziel einer Senke darf kein verknüpftes BigQuery-Dataset sein. Verknüpfte Datasets sind schreibgeschützt.
Cloud Storage-Bucket
Wählen Sie dieses Ziel aus, wenn Sie Ihre Logdaten langfristig speichern möchten. Der Cloud Storage-Bucket kann sich im selben Projekt befinden, in dem die Logeinträge erstellt werden, oder in einem anderen Projekt. Logeinträge werden als JSON-Dateien gespeichert.
Pub/Sub-Thema
Wählen Sie dieses Ziel aus, wenn Sie Ihre Protokolldaten ausGoogle Cloud exportieren und dann Drittanbieterintegrationen wie Splunk oder Datadog verwenden möchten. Logeinträge werden in JSON formatiert und dann an ein Pub/Sub-Thema weitergeleitet.

Best Practices

Wir empfehlen, dass das Ziel einer aggregierten Senke ein Google Cloud -Projekt ist. Bei diesem Ziel werden die Logeinträge von den Logsenken im Zielprojekt Google Cloud umgeleitet. Über die Senke _Required werden nur Logeinträge weitergeleitet, die dem Filter entsprechen und aus der Ressource stammen, in der die Senke definiert ist. Wenn Sie also zusätzliche Kopien von Logeinträgen speichern möchten, die dem Filter der _Required-Senke entsprechen, müssen Sie eine benutzerdefinierte Logsenke erstellen oder den Filter der _Default-Logsenke ändern.

Wenn Sie einen abfangenden Senken erstellen, empfehlen wir Folgendes:

  • Überlegen Sie, ob für untergeordnete Ressourcen eine unabhängige Steuerung des Routings ihrer Logeinträge erforderlich ist. Wenn für eine untergeordnete Ressource eine unabhängige Steuerung bestimmter Logeinträge erforderlich ist, prüfen Sie, ob die entsprechenden Logeinträge von Ihrem abfangenden Senken nicht weitergeleitet werden.

  • Fügen Sie der Beschreibung eines abfangenden Sinks Kontaktdaten hinzu. Das kann hilfreich sein, wenn die Personen, die die abfangende Senke verwalten, sich von den Personen unterscheiden, die die Projekte verwalten, deren Logeinträge abgefangen werden.

  • Testen Sie die Senkenkonfiguration, indem Sie zuerst eine nicht abfangende aggregierte Senke erstellen, um zu prüfen, ob die richtigen Logeinträge weitergeleitet werden.

Aggregierte Senken und logbasierte Messwerte abfangen

Logbasierte Messwerte sind Cloud Monitoring-Messwerte, die aus dem Inhalt von Logeinträgen abgeleitet werden. Die Art und Weise, wie ein Logeintrag weitergeleitet wird, bestimmt, für welche logbasierten Messwerte er gezählt werden kann. Da sich ein abfangender aggregierter Senke auf das Routing von Logeinträgen auswirkt, kann das Erstellen dieser Art von Senke zu Änderungen an den Werten vorhandener logbasierter Messwerte führen.

Weitere Informationen finden Sie unter Auswirkungen des Routings von Logeinträgen auf logbasierte Messwerte.

Aggregierte Senken und VPC Service Controls

Die folgenden Einschränkungen gelten, wenn Sie aggregierte Senken und VPC Service Controls verwenden:

  • Aggregierte Senken können auf Daten von Projekten innerhalb eines Dienstperimeters zugreifen. Wenn Sie verhindern möchten, dass aggregierte Senken auf Daten innerhalb eines Perimeters zugreifen, verwenden Sie IAM, um Logging-Berechtigungen zu verwalten.

  • VPC Service Controls unterstützt das Hinzufügen von Ordner- oder Organisationsressourcen zu Dienstperimetern nicht. Daher können Sie VPC Service Controls nicht zum Schutz von Logs auf Ordner- und Organisationsebene verwenden, einschließlich aggregierter Logs. Zum Verwalten von Logging-Berechtigungen auf Ordner- oder Organisationsebene empfehlen wir die Verwendung von IAM.

  • Wenn Sie Logs mithilfe einer Senke auf Ordner- oder Organisationsebene an eine Ressource weiterleiten, die durch einen Dienstperimeter geschützt wird, müssen Sie dem Dienstperimeter eine Regel für eingehenden Traffic hinzufügen. Die Regel für eingehenden Traffic muss den Zugriff auf die Ressource über das Dienstkonto zulassen, das von der aggregierten Senke verwendet wird. Weitere Informationen finden Sie auf den folgenden Seiten:

  • Wenn Sie eine Richtlinie für eingehenden oder ausgehenden Traffic für einen Dienstperimeter angeben, können Sie ANY_SERVICE_ACCOUNT und ANY_USER_ACCOUNT nicht als Identitätstyp verwenden, wenn Sie eine Logs-Senke verwenden, um Logs an Cloud Storage-Ressourcen weiterzuleiten. Sie können jedoch ANY_IDENTITY als Identitätstyp verwenden.

Nächste Schritte