Diese Seite wurde von der Cloud Translation API übersetzt.

Logs an unterstützte Ziele weiterleiten

In diesem Dokument wird erläutert, wie Sie Senken erstellen und verwalten, die Logeinträge weiterleiten die aus einem Google Cloud-Projekt stammen, an unterstützte Ziele senden.

Wenn das Ziel einer Senke kein Log-Bucket im Google Cloud-Projekt ist aus dem ein Logeintrag stammt, ist ein Dienstkonto erforderlich. Cloud Logging erstellt und verwaltet dieses Dienstkonto automatisch. Möglicherweise müssen Sie jedoch die Berechtigungen Dienstkonto. Sie können ein Dienstkonto erstellen und verwalten der von Senken in mehreren Projekten verwendet wird. Weitere Informationen finden Sie unter Logsenken mit nutzerverwalteten Dienstkonten konfigurieren

Übersicht

Senken bestimmen, wie Cloud Logging leitet Logeinträge weiter. Mit Senken können Sie einen Teil oder alle Logeinträge zu den folgenden Zielen:

Cloud Logging-Bucket: Stellt Speicher in Cloud Logging bereit. In einem Log-Bucket können Logeinträge gespeichert werden die von mehreren Google Cloud-Projekten empfangen werden. Der Log-Bucket kann sich in dem Projekt befinden, aus dem die Logeinträge stammen, oder die sich in einem anderen Projekt befinden. Sie können Ihre Cloud Logging-Daten zusammen mit anderen Daten durch Upgrade eines Log-Buckets zur Verwendung Loganalysen und anschließendes Erstellen eines verknüpften BigQuery-Datasets. Informationen zum Aufrufen von Logeinträgen, die in Log-Buckets gespeichert sind, finden Sie unter Übersicht über Abfrage- und Ansichtslogs und An Cloud Logging-Buckets weitergeleitete Logs ansehen.

BigQuery-Dataset: ermöglicht die Speicherung von Logeinträgen in BigQuery-Datasets Das BigQuery-Dataset kann sich im selben Projekt befinden, in dem Logeinträge enthalten sind aus einem anderen Projekt stammen. Sie können Big-Data-Analysefunktionen für die gespeicherten Logeinträge. Um Ihre Cloud Logging-Daten mit anderen Datenquellen verwendet werden, empfehlen wir, dass Sie Ihre Log-Buckets aktualisieren, Log Analytics und erstellen Sie dann ein verknüpftes BigQuery-Dataset. Informationen zum Aufrufen von an BigQuery weitergeleiteten Logeinträgen finden Sie unter An BigQuery weitergeleitete Logs ansehen

Cloud Storage-Bucket: Bietet die Speicherung von Logeinträgen in Cloud Storage. Der Cloud Storage-Bucket kann sich in demselben Projekt befinden, in dem Logeinträge enthalten sind aus einem anderen Projekt stammen. Logeinträge werden als JSON-Dateien gespeichert. Informationen zum Aufrufen von Logeinträgen, die an Cloud Storage weitergeleitet wurden, Siehe An Cloud Storage weitergeleitete Logs ansehen.

Pub/Sub-Thema: bietet Unterstützung für Drittanbieter Integrationen wie Splunk. Logeinträge werden als JSON formatiert und dann an ein Pub/Sub weitergeleitet . Das Thema kann sich im selben Projekt befinden, in dem Logeinträge enthalten sind aus einem anderen Projekt stammen. Informationen zum Aufrufen von Logeinträgen, die weitergeleitet an Pub/Sub, siehe An Pub/Sub weitergeleitete Logs ansehen
Google Cloud-Projekt: Leiten Sie Logeinträge an ein anderes Google Cloud-Projekt weiter. In verarbeiten die Senken im Zielprojekt Logeinträge.

Senken gehören zu einer bestimmten Google Cloud-Ressource: ein Rechnungskonto, einen Ordner oder eine Organisation. Wenn die Ressource ein Logeintrag, verarbeitet jede Senke in der Ressource den Logeintrag. Wenn ein mit den Filtern der Senke übereinstimmt, lautet der Logeintrag an das Ziel der Senke weitergeleitet.

In der Regel leiten Senken nur die Logeinträge weiter, die aus einer Ressource stammen. Für Ordner und Organisationen können Sie jedoch aggregierte Senken erstellen, die Logeinträge aus dem Ordner oder der Organisation weiterleiten Ressourcen enthält. In diesem Dokument werden keine aggregierte Senken. Weitere Informationen finden Sie unter Logs auf Organisationsebene sortieren und an unterstützte Ziele weiterleiten

Zum Erstellen und Verwalten von Senken können Sie die Google Cloud Console verwenden, die Cloud Logging API und die Google Cloud CLI Wir empfehlen, Sie die Google Cloud Console verwenden:

Auf der Seite Logs Router sind alle Senken aufgeführt und Optionen zum um Ihre Spüle zu verwalten.
Beim Erstellen einer Senke können Sie in einer Vorschau sehen, welche Logeinträge durch die Filter der Senke.
Sie können Senkenziele beim Erstellen einer Senke konfigurieren.
Einige Autorisierungsschritte werden für Sie ausgeführt.

Hinweise

In der Anleitung in diesem Dokument wird das Erstellen und Verwalten von Senken auf der Google Cloud-Projektebene. Mit demselben Verfahren können Sie eine Senke erstellen. die Logeinträge aus einer Organisation, einem Ordner oder Rechnungskonto.

Gehen Sie dazu so vor:

Cloud Logging API aktivieren.
Aktivieren Sie die API
Achten Sie darauf, dass Ihr Google Cloud-Projekt Logeinträge enthält, die Sie in Log-Explorer
Um die Berechtigungen zu erhalten, die Sie zum Erstellen, Ändern oder Löschen einer Senke benötigen, bitten Sie Ihren Administrator, Ihnen IAM-Rolle Autor von Logkonfigurationen (roles/logging.configWriter) für Ihr Projekt Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Informationen zum Gewähren von IAM-Rollen finden Sie unter in der Anleitung zur Zugriffssteuerung von Logging
Sie haben eine Ressource in einem unterstützten Ziel oder die Erlaubnis, eine Ressource zu erstellen.

Damit Logeinträge an ein Ziel weitergeleitet werden können, muss das Ziel vor dem erstellen Sie die Senke. Sie können das Ziel in einem beliebigen Google Cloud-Projekt in jeder Organisation.
Lesen Sie vor dem Erstellen einer Senke die für die Senkenziel. Weitere Informationen finden Sie in der Abschnitt Zielbeschränkungen in diesem Dokument.

Senke erstellen

Nachfolgend finden Sie eine Anleitung zum Erstellen einer Senke in einem Google Cloud-Projekt. Mit demselben Verfahren können Sie Logeinträge weiterleiten, die aus Eine Organisation, einen Ordner oder ein Rechnungskonto:

Sie können bis zu 200 Senken pro Google Cloud-Projekt
Geben Sie keine vertraulichen Informationen in Senkenfilter ein. Senkenfilter werden wie Dienstdaten behandelt.

Es kann mehrere Stunden dauern, bis neue Senken für Cloud Storage-Buckets mit dem Routing von Logeinträgen beginnen. Senken in Cloud Storage werden stündlich verarbeitet, während andere Zieltypen werden in Echtzeit verarbeitet.

Das Schema für BigQuery-Datasets wird nicht von Senken definiert. Stattdessen bestimmt der erste von BigQuery empfangene Logeintrag die Schema für die Zieltabelle. Weitere Informationen finden Sie unter BigQuery-Schema für weitergeleitete Logs.

Informationen zum Aufrufen von Logeinträgen im Senkenziel Siehe An Cloud Logging-Buckets weitergeleitete Logs ansehen
Die Anzahl und das Volumen der weitergeleiteten Logeinträge finden Sie in der logging.googleapis.com/exports/-Messwerte.

So erstellen Sie eine Senke:

Console

Rufen Sie in der Google Cloud Console die Seite Logrouter auf:
Zum Logrouter

Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.
Wählen Sie das Google Cloud-Projekt aus, in dem die Logeinträge, die Sie die Route beginnen soll.

Wenn Sie z. B. Datenzugriffs-Log-Einträge von das Projekt namens Project-A in einen Log-Bucket im Projekt namens Project-B und dann Project-A aus.
Wählen Sie Senke erstellen aus.
Geben Sie im Bereich Senkendetails die folgenden Details ein:
- Senkenname: Geben Sie eine Kennzeichnung für die Senke an. Beachten Sie, dass Sie die Senke nach deren Erstellung nicht mehr umbenennen, aber löschen und eine neue erstellen können.
- Senkenbeschreibung (optional): Beschreiben Sie den Zweck oder den Anwendungsfall für die Senke.
Wählen Sie im Bereich Senkenziel den Senkendienst aus und Ziel mithilfe des Menüs Senkendienst auswählen an. Führen Sie einen der Folgendes:
- So leiten Sie Logeinträge an einen Dienst weiter, der sich im selben Google Cloud-Projekt eine der folgenden Optionen aus:
  - Cloud Logging-Bucket: Wählen Sie einen Logging-Bucket aus oder erstellen Sie einen.
  - BigQuery-Dataset: Wählen oder erstellen Sie das spezifische Dataset zum Empfangen der weitergeleiteten Logeinträge. Sie haben auch die Möglichkeit, zu verwenden Partitionierte Tabellen.
  - Cloud Storage-Bucket: Wählen Sie den gewünschten Bucket aus oder erstellen Sie ihn. Cloud Storage-Bucket zum Empfangen der weitergeleiteten Logeinträge.
  - Pub/Sub-Thema: Wählen oder erstellen Sie das spezifische Thema, um die weitergeleiteten Logeinträge zu empfangen.
  - Splunk: Wählen Sie das Pub/Sub-Thema für den Splunk-Dienst aus.
- So leiten Sie Logeinträge an ein anderes Google Cloud-Projekt weiter: Wählen Sie Google Cloud-Projekt aus und geben Sie den voll qualifizierten Namen ein für das Ziel. Informationen zur Syntax finden Sie in der Zielpfadformate:
- So leiten Sie Logeinträge an einen Dienst weiter, der sich in einem anderen Google Cloud-Projekt:
  1. Wählen Sie Andere Ressource aus.
  2. Geben Sie den voll qualifizierten Namen für das Ziel ein. Weitere Informationen zur Syntax finden Sie in der Zielpfadformate:
Geben Sie die einzuschließenden Logeinträge an:
1. Wechseln Sie zum Bereich Logs auswählen, die in die Senke aufgenommen werden sollen.
2. Geben Sie im Feld Einschlussfilter erstellen einen Filterausdruck ein. das mit den Logeinträgen übereinstimmt, die Sie aufnehmen möchten. Weitere Informationen über der Syntax zum Schreiben von Filtern, siehe Logging-Abfragesprache:
  
  Wenn Sie keinen Filter festlegen, werden alle Logeinträge aus der ausgewählten Ressource an das Ziel weitergeleitet werden.
  
  Um beispielsweise alle Datenzugriffslogeinträge an einen Logging-Bucket können Sie den folgenden Filter verwenden:
```
log_id("cloudaudit.googleapis.com/data_access") OR log_id("externalaudit.googleapis.com/data_access")
```
  Die Länge eines Filters darf 20.000 Zeichen nicht überschreiten.
3. Wählen Sie Vorschau von Logs aus, um zu prüfen, ob Sie den richtigen Filter eingegeben haben. Der Log-Explorer wird in einem neuen Tab mit dem Filter geöffnet vorausgefüllt.
(Optional) Konfigurieren Sie einen Ausschlussfilter, um einige der eingeschlossene Logeinträge:
1. Wechseln Sie zum Bereich Logs auswählen, die aus der Senke herausgefiltert werden sollen.
2. Geben Sie in das Feld Name des Ausschlussfilters einen Namen ein.
3. Geben Sie im Abschnitt Ausschlussfilter erstellen einen Filterausdruck ein, der den Logeinträgen entspricht, die Sie ausschließen möchten. Mit der Funktion sample können Sie auch einen Teil der Logeinträge auswählen, die ausgeschlossen werden sollen.
  
  Wichtiger Hinweis: Wenn Sie den Ausschlussfilter beim Erstellen der Senke deaktivieren möchten, wählen Sie nach der Eingabe Ihres Filterausdrucks Deaktivieren aus. Sie können die Senke später aktualisieren, um den Ausschlussfilter zu aktivieren.
Sie können bis zu 50 Ausschlussfilter pro Senke erstellen. Beachten Sie, dass ein Filter nicht länger als 20.000 Zeichen sein darf.
Wählen Sie Senke erstellen aus.
Gewähren Sie dem Dienstkonto für die Senke die Berechtigung zum Schreiben von Logeinträgen zum Ziel der Senke. Weitere Informationen finden Sie unter Legen Sie Zielberechtigungen fest.

API

Verwenden Sie zum Erstellen einer Logging-Senke in Ihrem Google Cloud-Projekt projects.sinks.create in der Logging API Im LogSink -Objekt enthält, geben Sie in der Methodenanfrage die entsprechenden erforderlichen Werte an. Text:
- name: Geben Sie eine Kennzeichnung für die Senke an. Beachten Sie, dass Sie die Senke nach deren Erstellung nicht mehr umbenennen, jedoch löschen können. Sie können auch eine neue Senke erstellen.
- destination: Der Dienst und das Ziel, zu der Ihre Logeinträge weitergeleitet. So leiten Sie Logeinträge an ein anderes Projekt weiter: oder zu einem Ziel führen, sich in einem anderen Projekt befindet, legen Sie das Feld destination mit der entsprechenden Pfad, wie in den Zielpfadformate:
  
  Wenn das Senkenziel beispielsweise ein Pub/Sub- Thema hat, sieht der destination so aus:
```
pubsub.googleapis.com/projects/PROJECT_ID/topics/TOPIC_ID
```
Geben Sie im LogSink-Objekt den entsprechenden optionalen Informationen:
- filter : Legen Sie filter fest. entsprechend den Logeinträgen, die Sie in die Senke aufnehmen möchten. Wenn Wenn Sie keinen Filter festlegen, werden alle Logeinträge aus der Google Cloud-Projekte sind an das Ziel weitergeleitet. Beachten Sie, dass ein Filter nicht länger als 20.000 Zeichen sein darf.
- exclusions: Legen Sie für dieses Feld die gewünschten Logeinträge fest. um sie aus der Senke auszuschließen. Mit der Funktion sample können Sie auch einen Teil der Logeinträge auswählen, die ausgeschlossen werden sollen. Sie können bis zu 50 Ausschlussfilter pro Senke erstellen.
- description: Legen Sie dieses Feld fest, um den Zweck oder Anwendungsfall für in die Spüle.
Rufen Sie projects.sinks.create auf, um die Senke zu erstellen.
Wenn die API-Antwort einen JSON-Schlüssel mit dem Label "writerIdentity" enthält, Erteilen Sie dann dem Dienstkonto der Senke die Berechtigung, das Senkenziel. Weitere Informationen Weitere Informationen finden Sie unter Zielberechtigungen festlegen.

Sie müssen keine Zielberechtigungen festlegen, wenn die API-Antwort enthält keinen JSON-Schlüssel mit dem Label "writerIdentity".

Weitere Informationen zum Erstellen von Senken mithilfe der Logging API finden Sie in der Referenz zu LogSink.

gcloud

So erstellen Sie eine Senke:

Führen Sie dazu den Befehl gcloud logging sinks create aus.
```
gcloud logging sinks create SINK_NAME SINK_DESTINATION
```
Bevor Sie den Befehl ausführen, ersetzen Sie die folgenden Werte:
- SINK_NAME: Der Name der Logsenke. Der Name einer Senke kann nach dem Erstellen nicht mehr geändert werden.
- SINK_DESTINATION: Der Dienst oder das Projekt, an das die Logeinträge weitergeleitet werden sollen. SINK_DESTINATION festlegen durch den entsprechenden Pfad, wie in Zielpfadformate:
  
  Wenn das Senkenziel beispielsweise ein Pub/Sub- Thema, dann sieht SINK_DESTINATION so aus:
```
pubsub.googleapis.com/projects/PROJECT_ID/topics/TOPIC_ID
```
Sie können auch die folgenden Optionen angeben:
- --log-filter : Mit dieser Option legen Sie einen Wert fest, Filter, der mit den Logeinträgen übereinstimmt, die Sie in Ihre Senke aufnehmen möchten. Wenn Sie keinen Wert für den Einschlussfilter an, dann stimmt mit allen Logeinträgen überein.
- --exclusion: Verwenden Sie diese Option, um einen Ausschlussfilter für Logeinträge, die die Senke vom Routing ausschließen soll. Mit der Funktion sample können Sie auch einen Teil der Logeinträge auswählen, die ausgeschlossen werden sollen. Diese Option kann wiederholt werden; können Sie bis zu 50 Ausschlussfilter pro Senke.
- --description: Verwenden Sie diese Option, um den Zweck oder Anwendungsfall zu beschreiben. für die Spüle.
Wenn Sie beispielsweise eine Senke in einem Logging-Bucket erstellen möchten, könnte der Befehl so aussehen:
```
gcloud logging sinks create my-sink logging.googleapis.com/projects/myproject123/locations/global/buckets/my-bucket \
 --log-filter='logName="projects/myproject123/logs/matched"' --description="My first sink"
```
Weitere Informationen zum Erstellen von Senken mithilfe der Google Cloud CLI, siehe die Referenz zu gcloud logging sinks.
Wenn die Befehlsantwort einen JSON-Schlüssel mit dem Label "writerIdentity" enthält, Erteilen Sie dann dem Dienstkonto der Senke die Berechtigung, das Senkenziel. Weitere Informationen Weitere Informationen finden Sie unter Zielberechtigungen festlegen.

Sie müssen keine Zielberechtigungen festlegen, enthält keinen JSON-Schlüssel mit dem Label "writerIdentity".

Wenn Sie Fehlerbenachrichtigungen erhalten, lesen Sie Fehlerbehebung bei Routing und Senken

Zielpfadformate

Wenn Sie Logeinträge an einen Dienst weiterleiten, der sich in einem anderen Projekt befindet, müssen Sie Stellen Sie die Senke mit dem vollständig qualifizierten Namen für den Dienst bereit. In ähnlicher Weise Wenn Sie Logeinträge an ein anderes Google Cloud-Projekt weiterleiten, müssen Sie Geben Sie für die Senke den vollständig qualifizierten Namen des Zielprojekts an:

Cloud Logging-Log-Bucket:

logging.googleapis.com/projects/DESTINATION_PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME

Anderes Google Cloud-Projekt:

logging.googleapis.com/projects/DESTINATION_PROJECT_ID

BigQuery-Dataset:

bigquery.googleapis.com/projects/PROJECT_ID/datasets/DATASET_ID

Cloud Storage:
```
storage.googleapis.com/BUCKET_NAME
```

Pub/Sub-Thema:

pubsub.googleapis.com/projects/PROJECT_ID/topics/TOPIC_ID

Senken verwalten

Nachdem die Senken erstellt wurden, können Sie dafür die folgenden Aktionen ausführen. Es kann einige Minuten dauern, bis alle an einer Senke vorgenommenen Änderungen wirksam werden:

Details ansehen
Aktualisieren
Deaktivieren
- Sie können die Senke _Required nicht deaktivieren.
- Sie können die Senke _Default deaktivieren, um das Routing von Logeinträgen an Logging-Bucket _Default
- Wenn Sie die Senke _Default für neue Google Cloud-Projekte oder -Ordner, die in Ihrer Organisation erstellt wurden, sollten Sie erwägen, Standard-Ressourceneinstellungen.
Löschen
- Die Senken _Default und _Required können nicht gelöscht werden.
- Wenn Sie eine Senke löschen, werden keine Logeinträge mehr weitergeleitet.
- Hat die Senke ein dediziertes Dienstkonto, wird diese Senke ebenfalls gelöscht löscht das Dienstkonto. Senken erstellt vor dem Ab dem 22. Mai 2023 gibt es dedizierte Dienstkonten. Senken erstellt ab dem 22. Mai 2023 ein gemeinsames Dienstkonto haben. Durch das Löschen der Senke wird das freigegebene Dienstkonto nicht gelöscht.
Fehler beheben

Logvolumen und Fehlerraten ansehen

Nachfolgend finden Sie eine Anleitung zum Verwalten einer Senke in einem Google Cloud-Projekt. Anstelle eines Google Cloud-Projekts können Sie ein Rechnungskonto angeben, Ordner oder Organisation:

Console

Rufen Sie in der Google Cloud Console die Seite Logrouter auf:
Zum Logrouter

Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.
Wählen Sie in der Symbolleiste die Ressource aus, die Ihre Senke enthält. Die Ressource kann ein Projekt, ein Ordner, eine Organisation oder ein Rechnungskonto sein.

Auf der Seite Logrouter werden die Senken in der ausgewählten Ressource angezeigt. Jede Tabellenzeile enthält Informationen zu den Attributen einer Senke:

Aktiviert: Gibt an, ob der Status der Senke aktiviert oder deaktiviert ist.
Typ: Der Zieldienst der Senke, beispielsweise Cloud Logging bucket.
Name: Die Senken-ID, die beim Erstellen der Senke angegeben wurde. Beispiel: _Default.
Beschreibung: Die Beschreibung der Senke, wie sie beim Erstellen der Senke angegeben wurde.
Ziel: Vollständiger Name des Ziels, an das das weitergeleitete Log weitergeleitet wird. Einträge gesendet werden.
Erstellt: Datum und Uhrzeit der Erstellung der Senke.
Zuletzt aktualisiert: Datum und Uhrzeit der letzten Bearbeitung der Senke.

Für jede Tabellenzeile das Menü Weitere Aktionen bietet folgende Optionen:

Senkendetails ansehen: Hier werden Name, Beschreibung und Zieldienst, Ziel sowie Ein- und Ausschlussfilter. Wenn Sie Bearbeiten auswählen, wird der Bereich Senke bearbeiten geöffnet.
Senke bearbeiten: Öffnet das Fenster Senke bearbeiten, in dem Sie die Parameter der Senke aktualisieren können.
Senke deaktivieren: Hiermit können Sie die Senke deaktivieren und das Routing von Logeinträgen beenden. zu den das Ziel der Senke. Weitere Informationen zum Deaktivieren von Senken finden Sie unter Speichern von Logs in Log-Buckets beenden
Senke aktivieren: Hiermit können Sie eine deaktivierte Senke aktivieren und das Routing neu starten. Logeinträge zum Ziel der Senke.
Senke löschen: Ermöglicht das Löschen der Senke und das Beenden der Weiterleitung von Logeinträgen an Ziel der Senke.
Fehlerbehebung bei Senken: Öffnet den Log-Explorer, in dem Sie Fehler beheben können mit der Senke.
Volumen und Fehlerraten des Senkenlogs ansehen: Metrics Explorer wird geöffnet Hier können Sie Daten aus der Senke ansehen und analysieren.

Wählen Sie den Spaltennamen aus, um die Tabelle nach einer Spalte zu sortieren.

API

Rufen Sie zum Anzeigen der Senken für Ihr Google Cloud-Projekt den folgenden Befehl auf: projects.sinks.list
Rufen Sie projects.sinks.get auf, um die Details einer Senke aufzurufen.
Rufen Sie zum Aktualisieren einer Senke Folgendes auf: projects.sink.update

Sie können das Ziel, die Filter und die Beschreibung einer Senke aktualisieren. Sie können auch die Senke deaktivieren oder wieder aktivieren.
Um eine Senke zu deaktivieren, Legen Sie das Feld disabled im Objekt LogSink auf true fest und Rufen Sie projects.sink.update auf.

Um die Senke wieder zu aktivieren, Legen Sie das Feld disabled im Objekt LogSink auf false fest und Rufen Sie projects.sink.update auf.
Rufen Sie zum Löschen einer Senke Folgendes auf: projects.sinks.delete

Weitere Informationen zum Verwalten von Senken mithilfe der Logging API finden Sie in der Referenz zu LogSink.

gcloud

Um die Liste der Senken für Ihr Google Cloud-Projekt aufzurufen, verwenden Sie den gcloud logging sinks list , der der Logging API-Methode entspricht projects.sinks.list:
```
gcloud logging sinks list
```
So rufen Sie eine Liste Ihrer aggregierten Senken verwendet werden, verwenden Sie Option zur Angabe der Ressource, die die Senke enthält. Für Wenn Sie die Senke beispielsweise auf Organisationsebene erstellt haben, verwenden Sie die Methode --organization=ORGANIZATION_ID-Option zum Auflisten der Senken für das Unternehmen.
Verwenden Sie zum Beschreiben einer Senke den Befehl gcloud logging sinks describe, der der Logging API-Methode projects.sinks.get entspricht:
```
gcloud logging sinks describe SINK_NAME
```
Verwenden Sie zum Aktualisieren einer Senke die Methode gcloud logging sinks update , der der API-Methode entspricht, projects.sink.update

Sie können eine Senke aktualisieren, um Ziel, Filter und oder um die Senke zu deaktivieren bzw. wieder zu aktivieren:
```
gcloud logging sinks update SINK_NAME NEW_DESTINATION --log-filter=NEW_FILTER
```
Lassen Sie NEW_DESTINATION oder --log-filter weg, wenn diese Teile nicht ändern.

Wenn Sie beispielsweise das Ziel der Senke mit dem Namen my-project-sink auf ein neues Cloud Storage-Bucket-Ziel mit dem Namen my-second-gcs-bucket aktualisieren möchten, sieht der Befehl so aus:
```
gcloud logging sinks update  my-project-sink storage.googleapis.com/my-second-gcs-bucket
```
Verwenden Sie zum Deaktivieren einer Senke die Methode gcloud logging sinks update , der der API-Methode entspricht, projects.sink.update und fügen Sie die Option --disabled ein:
```
gcloud logging sinks update SINK_NAME --disabled
```
Verwenden Sie zum Reaktivieren der Senke die gcloud logging sinks update entfernen Sie die Option --disabled und fügen Sie den --no-disabled Option:
```
gcloud logging sinks update SINK_NAME --no-disabled
```
Verwenden Sie zum Löschen einer Senke die Methode gcloud logging sinks delete , der der API-Methode entspricht, projects.sinks.delete:
```
gcloud logging sinks delete SINK_NAME
```
Weitere Informationen zum Verwalten von Senken mithilfe der Google Cloud CLI, siehe die Referenz zu gcloud logging sinks.

Speichern von Logeinträgen in Log-Buckets beenden

Sie können die Senke _Default und alle benutzerdefinierten Senken deaktivieren. Wenn Sie eine Senke deaktivieren, leitet die Senke Logeinträge nicht mehr an ihr Ziel weiter. Wenn Sie beispielsweise die Senke _Default deaktivieren, werden keine Logeinträge an den _Default-Bucket weitergeleitet. Die _Default Bucket wird leer, wenn alle zuvor gespeicherten Logeinträge vorhanden sind die für den Bucket Aufbewahrungsdauer.

Die folgende Anleitung zeigt, wie Sie deaktivieren Sie die Senken Ihres Google Cloud-Projekts, die Logeinträge an den _Default Log-Buckets:

Console

Rufen Sie in der Google Cloud Console die Seite Logrouter auf:
Zum Logrouter

Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.
So finden Sie alle Senken, die Logeinträge an den Log-Bucket _Default weiterleiten: filtern Sie die Senken nach Ziel und geben Sie dann _Default ein.
Wählen Sie für jede Senke Menü und Wählen Sie dann Senke deaktivieren aus.

Die Senken sind jetzt deaktiviert und die Senken Ihres Google Cloud-Projekts längere Logeinträge an den Bucket _Default weiterleiten.

Um eine deaktivierte Senke wieder zu aktivieren und das Routing von Logeinträgen an die Ziel, gehen Sie so vor:

Rufen Sie in der Google Cloud Console die Seite Logrouter auf:
Zum Logrouter

Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.
So finden Sie alle Senken, die Logeinträge an den Log-Bucket _Default weiterleiten: filtern Sie die Senken nach Ziel und geben Sie dann _Default ein.
Wählen Sie für jede Senke Menü und Wählen Sie dann Senke aktivieren aus.

API

Rufen Sie zum Anzeigen der Senken für Ihr Google Cloud-Projekt die Methode Logging API-Methode projects.sinks.list

Identifizieren Sie alle Senken, die an den _Default-Bucket weiterleiten.
Um beispielsweise die Senke _Default zu deaktivieren, Legen Sie das Feld disabled im Objekt LogSink auf true fest und projects.sink.update aufrufen.

Die Senke _Default ist jetzt deaktiviert. werden Logeinträge nicht mehr an Bucket _Default

Um die anderen Senken in Ihrem Google Cloud-Projekt zu deaktivieren, die das Routing ausführen in den Bucket _Default einfügen, wiederholen Sie die vorherigen Schritte.

Um eine Senke wieder zu aktivieren, Legen Sie das Feld disabled im Objekt LogSink auf false fest und Rufen Sie projects.sink.update auf.

gcloud

Um die Liste der Senken für Ihr Google Cloud-Projekt aufzurufen, verwenden Sie den gcloud logging sinks list , der der Logging API-Methode entspricht projects.sinks.list:
```
gcloud logging sinks list
```
Identifizieren Sie alle Senken, die an den Log-Bucket _Default weiterleiten. Um eine Senke zu beschreiben und den Zielnamen anzuzeigen, verwenden Sie die Methode gcloud logging sinks describe , der der Logging API-Methode entspricht projects.sinks.get:
```
gcloud logging sinks describe SINK_NAME
```
Führen Sie den gcloud logging sinks update und fügen Sie die Option --disabled ein. Um beispielsweise den _Default-Senke verwenden, führen Sie den folgenden Befehl aus:
```
gcloud logging sinks update _Default  --disabled
```
Die Senke _Default ist jetzt deaktiviert. werden Logeinträge nicht mehr an Log-Bucket _Default

Um die anderen Senken in Ihrem Google Cloud-Projekt zu deaktivieren, die das Routing ausführen in den Bucket _Default einfügen, wiederholen Sie die vorherigen Schritte.

Verwenden Sie zum Reaktivieren einer Senke die Methode gcloud logging sinks update entfernen Sie die Option --disabled und fügen Sie den --no-disabled Option:

gcloud logging sinks update _Default  --no-disabled

Zielberechtigungen festlegen

In diesem Abschnitt wird beschrieben, wie Sie Logging Berechtigungen zu Identity and Access Management, um Logeinträge in das Senkenziel zu schreiben. Eine vollständige Liste der Logging-Rollen und -Berechtigungen finden Sie Siehe Zugriffssteuerung.

Cloud Logging erstellt ein freigegebenes Dienstkonto für eine Ressource, wenn ein Senke erstellt, sofern das erforderliche Dienstkonto nicht bereits vorhanden ist. Das Dienstkonto ist möglicherweise vorhanden, da dasselbe Dienstkonto für alle Senken in der zugrunde liegenden Ressource. Ressourcen können Google Cloud-Projekte, eine Organisation, einen Ordner oder ein Rechnungskonto.

Die Identität des Autors einer Senke ist die Kennung des Dienstes das mit der Senke verknüpft ist. Alle Senken haben eine Autorenidentität, mit Ausnahme von Senken, die in einen Log-Bucket im selben Google Cloud-Projekt schreiben, in dem den Ursprung des Logeintrags. Für die letztere Konfiguration ist ein Dienstkonto ist nicht erforderlich. Daher ist das Feld Identität des Autors der Senke angegeben. in der Konsole als None aufgeführt. Die API- und Google Cloud CLI-Befehle melden keine Autorenidentität.

Die folgende Anleitung gilt für Projekte, Ordner, Organisationen und Rechnungskonten:

Console

Sie benötigen die Rolle Inhaber für das Google Cloud-Projekt, das das Ziel enthält. Wenn Sie nicht die Rolle Inhaber für das Ziel der Senke haben, bitten Sie einen Projektinhaber, die Identität des Autors als Prinzipal hinzuzufügen.
Um die Identität des Autors der Senke (eine E-Mail-Adresse) vom neue Senke:
1. Rufen Sie in der Google Cloud Console die Seite Logrouter auf:
  Zum Logrouter
  
  Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.
2. Wählen Sie in der Symbolleiste das Projekt aus, das die Senke enthält.
3. Wählen Sie Menü und dann Senken Sie Details aufrufen. Die Identität des Autors erscheint in der Bereich Senkendetails:
Wenn der Wert des Felds writerIdentity eine E-Mail-Adresse enthält, und fahren Sie dann mit dem nächsten Schritt fort. Wenn der Wert None ist, Sie müssen keine Zielberechtigungen für die Senke konfigurieren.
Kopieren Sie die Autorenidentität der Senke in die Zwischenablage.
Wenn das Ziel ein Dienst in einem anderen Projekt ist ein anderes Projekt und wählen Sie in der Symbolleiste das Zielprojekt aus.
Fügen Sie das Dienstkonto als IAM-Hauptkonto in der Zielprojekt:
1. Öffnen Sie in der Google Cloud Console die Seite IAM:
  Rufen Sie IAM auf.
  
  Wenn Sie diese Seite über die Suchleiste finden, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift IAM und Verwaltung.
2. Wählen Sie das Zielprojekt aus.
3. Klicken Sie auf Zugriff erlauben.
4. Gewähren Sie dem Dienstkonto die erforderliche IAM-Rolle:
  - Fügen Sie für Cloud Storage-Ziele die Identität des Autors der Senke hinzu. mithilfe von IAM als Hauptkonto festlegen und ihm dann die Rolle „Storage Object Creator“ (roles/storage.objectCreator).
  - Fügen Sie für BigQuery-Ziele die Identität des Autors der Senke hinzu. mithilfe von IAM als Hauptkonto festlegen und ihm dann die Rolle „BigQuery-Datenbearbeiter“ (roles/bigquery.dataEditor).
  - Fügen Sie für Pub/Sub-Ziele, einschließlich Splunk, die Identität des Autors der Senke hinzu. mithilfe von IAM als Hauptkonto festlegen und ihm dann die Rolle „Pub/Sub-Publisher“ (roles/pubsub.publisher).
  - Für Logging-Bucket-Ziele in verschiedenen Google Cloud-Projekte hinzufügen, fügen Sie die Identität des Autors der Senke als Hauptkonto hinzu. und gewähren Sie dann die Rolle „Log-Bucket-Autor“ (roles/logging.bucketWriter).
  - Fügen Sie für Google Cloud-Projektziele den Wert der Senke hinzu. Identität des Autors mithilfe von IAM als Hauptkonto festlegen und ihm dann den Rolle „Logautor“ (roles/logging.logWriter). Insbesondere benötigt ein Auftraggeber Berechtigung „logging.logEntries.route“.

API

Wir empfehlen die Verwendung der Google Cloud Console oder der Google Cloud CLI um dem Dienstkonto eine Rolle zuzuweisen.

gcloud

Sie benötigen die Rolle Inhaber für das Google Cloud-Projekt, das das Ziel enthält. Wenn Sie nicht die Rolle Inhaber für das Ziel der Senke haben, bitten Sie einen Projektinhaber, die Identität des Autors als Prinzipal hinzuzufügen.
Rufen Sie das Dienstkonto aus dem Feld writerIdentity der Senke ab:
```
gcloud logging sinks describe SINK_NAME
```
Suchen Sie die Senke, deren Berechtigungen Sie ändern möchten, und ob die Senke Details eine Zeile mit writerIdentity enthalten, dann fahre fort mit dem nächsten Schritt fortfahren. Wenn die Details kein writerIdentity enthalten müssen Sie keine Zielberechtigungen für in die Spüle.

Die Identität des Autors für das Dienstkonto sieht in etwa so aus: Folgendes:
```
serviceAccount:service-123456789012@gcp-sa-logging.iam.gserviceaccount.com
```
Fügen Sie das Dienstkonto als IAM-Hauptkonto in der Zielprojekt:

Bevor Sie den folgenden Befehl verwenden, ersetzen Sie die folgenden Werte:
- PROJECT_ID: Die Kennung des Projekts.
- PRINCIPAL: Eine Kennung für das Hauptkonto, das Sie ausführen möchten dem die Rolle zugewiesen wird. Haupt-IDs haben in der Regel das folgende Format: PRINCIPAL-TYPE:ID Beispiel: user:my-user@example.com Eine vollständige Liste der Formate, die PRINCIPAL_ID haben kann, Siehe Haupt-IDs.
- ROLE: Eine IAM-Rolle.
  - Fügen Sie für Cloud Storage-Ziele die Identität des Autors der Senke hinzu. mithilfe von IAM als Hauptkonto festlegen und ihm dann die Rolle „Storage Object Creator“ (roles/storage.objectCreator).
  - Fügen Sie für BigQuery-Ziele die Identität des Autors der Senke hinzu. mithilfe von IAM als Hauptkonto festlegen und ihm dann die Rolle „BigQuery-Datenbearbeiter“ (roles/bigquery.dataEditor).
  - Fügen Sie für Pub/Sub-Ziele, einschließlich Splunk, die Identität des Autors der Senke hinzu. mithilfe von IAM als Hauptkonto festlegen und ihm dann die Rolle „Pub/Sub-Publisher“ (roles/pubsub.publisher).
  - Für Logging-Bucket-Ziele in verschiedenen Google Cloud-Projekte hinzufügen, fügen Sie die Identität des Autors der Senke als Hauptkonto hinzu. und gewähren Sie dann die Rolle „Log-Bucket-Autor“ (roles/logging.bucketWriter).
  - Fügen Sie für Google Cloud-Projektziele den Wert der Senke hinzu. Identität des Autors mithilfe von IAM als Hauptkonto festlegen und ihm dann den Rolle „Logautor“ (roles/logging.logWriter). Insbesondere benötigt ein Auftraggeber Berechtigung „logging.logEntries.route“.
Führen Sie den gcloud projects add-iam-policy-binding Befehl:
```
gcloud projects add-iam-policy-binding PROJECT_ID --member=PRINCIPAL --role=ROLE
```

Zieleinschränkungen

In diesem Abschnitt werden zielspezifische Einschränkungen beschrieben:

Wenn Sie Logeinträge an einen Log-Bucket in einem anderen Google Cloud-Projekt weiterleiten, werden diese Logeinträge von Error Reporting nicht analysiert. Weitere Informationen finden Sie in der Übersicht zu Error Reporting.

Wenn Sie Logeinträge an andere Google Cloud-Projekte:
- Es gibt ein Limit für einen Hop.
  
  Wenn Sie z. B. Logeinträge von einem Projekt A an Projekt B, dann können Sie die Logeinträge nicht von Projekt B in ein anderes Projekt verschieben.
- Audit-Logs werden nicht an den Log-Bucket _Required im Ziel weitergeleitet Projekt arbeiten.
  
  Wenn Sie beispielsweise Logeinträge vom Projekt A an Projekt B enthält, enthält der Log-Bucket _Required im Projekt A die Audit-Logs für das Projekt A Die Audit-Logs für Projekt A sind nicht an Projekt B weitergeleitet. Um diese Logeinträge weiterzuleiten, erstellen Sie eine Senke, deren Ziel ist ein Log-Bucket.
- Wenn sich das Zielprojekt in einem anderen Ordner oder einer anderen Organisation befindet, werden die aggregierten Senken in diesem Ordner oder dieser Organisation um den Logeintrag weiterzuleiten.
  
  Angenommen, das Projekt A befindet sich im Ordner X. Wenn ein Logeintrag aus Projekt A stammt, wird der Logeintrag vom Aggregierte Senken im Ordner X und die Senken im Projekt A. Jetzt Angenommen, das Projekt A enthält eine Senke, die ihre Logeinträge an Projekt B, das sich im Ordner Y befindet. Die Logeinträge aus dem Projekt A die Senken im Projekt B durchlaufen; aber sie passieren nicht die aggregierten Senken im Ordner Y.
So können Sie mit dem Log-Explorer die Logeinträge ansehen, die über Verwenden Sie eine aggregierte Senke, legen Sie für das Feld Bereich verfeinern den Speicherbereich fest. und wählen Sie dann eine Logansicht aus, die Zugriff auf diese Logeinträge bietet.

Codebeispiele

Informationen zum Verwenden von Clientbibliothekscode zum Konfigurieren von Senken in den von Ihnen ausgewählten Sprachen finden Sie unter Logging-Clientbibliotheken: Logsenken.

Beispiele für Filter

Im Folgenden finden Sie einige Filterbeispiele, die beim Erstellen Waschbecken. Weitere Beispiele, die für die Umsetzung nützlich sein können, und Ausschlussfiltern, finden Sie Beispielabfragen:

`_Default`-Senkenfilter wiederherstellen

Wenn Sie den Filter für die Senke _Default bearbeitet haben, sollten Sie ihn wiederherstellen Senke auf ihre ursprüngliche Konfiguration. Beim Erstellen der Senke _Default wird konfiguriert mit dem folgenden Einschlussfilter und einem leeren Ausschlussfilter:

  NOT log_id("cloudaudit.googleapis.com/activity") AND NOT \
  log_id("externalaudit.googleapis.com/activity") AND NOT \
  log_id("cloudaudit.googleapis.com/system_event") AND NOT \
  log_id("externalaudit.googleapis.com/system_event") AND NOT \
  log_id("cloudaudit.googleapis.com/access_transparency") AND NOT \
  log_id("externalaudit.googleapis.com/access_transparency")

Google Kubernetes Engine-Container- und -Pod-Logs ausschließen

Um Google Kubernetes Engine-Container- und Pod-Logeinträge für GKE-System namespaces, verwenden Sie folgenden Filter:

resource.type = ("k8s_container" OR "k8s_pod")
resource.labels.namespace_name = (
"cnrm-system" OR
"config-management-system" OR
"gatekeeper-system" OR
"gke-connect" OR
"gke-system" OR
"istio-system" OR
"knative-serving" OR
"monitoring-system" OR
"kube-system")

So schließen Sie Google Kubernetes Engine-Knotenlogeinträge für GKE aus System logNames, verwenden Sie folgenden Filter:

resource.type = "k8s_node"
logName:( "logs/container-runtime" OR
"logs/docker" OR
"logs/kube-container-runtime-monitor" OR
"logs/kube-logrotate" OR
"logs/kube-node-configuration" OR
"logs/kube-node-installation" OR
"logs/kubelet" OR
"logs/kubelet-monitor" OR
"logs/node-journal" OR
"logs/node-problem-detector")

Volume der Google Kubernetes Engine-Knoten-, Pod- und Containerlogeinträge aufrufen die in Log-Buckets gespeichert sind, verwenden Sie den Metrics Explorer:

Dataflow-Logs, die nicht für Unterstützung erforderlich sind, ausschließen

Um Dataflow-Logeinträge auszuschließen, die für supportability haben, verwenden Sie folgenden Filter:

resource.type="dataflow_step"
labels."dataflow.googleapis.com/log_type"!="system" AND labels."dataflow.googleapis.com/log_type"!="supportability"

Um das Volumen der in Log-Buckets gespeicherten Dataflow-Logs anzuzeigen, verwenden Sie Metrics Explorer.

Volumen der Dataflow-Logeinträge ansehen

Support

Mit Cloud Logging können Sie Logeinträge ausschließen und verhindern, in einem Log-Bucket gespeichert werden, sollten Sie erwägen, Logeinträge zu behalten, die die Unterstützung vereinfachen. Mithilfe dieser Logeinträge können Sie Probleme leichter beheben mit Ihren Anwendungen.

Beispielsweise sind GKE-Systemlogeinträge nützlich, Fehlerbehebung Ihre GKE-Anwendungen und -Cluster, die für Ereignisse in Ihrem Cluster generiert werden. Diese Logeinträge können Ihnen helfen, Ihren Anwendungscode oder die zugrunde liegende GKE Cluster verursacht den Anwendungsfehler. GKE-Systemlogs umfasst auch Kubernetes-Audit-Logging, das von der Kubernetes API Server-Komponente generiert wird. Dazu gehören Änderungen, die mit dem kubectl-Befehl und Kubernetes-Ereignissen vorgenommen wurden.

Für Dataflow sollten Sie mindestens Ihr System Logs (labels."dataflow.googleapis.com/log_type"="system") und Support Protokolle (labels."dataflow.googleapis.com/log_type"="supportability") in Log-Buckets. Diese Logs sind unerlässlich, damit Entwickelnde ihre Dataflow- und Nutzer können die Dataflow-Bibliothek Seite Jobdetails, um Joblogs aufzurufen.

Nächste Schritte

Wenn beim Weiterleiten von Logeinträgen mithilfe von Senken Probleme auftreten, lesen Sie Fehlerbehebung bei Routinglogs
Hier erfahren Sie, wie Sie Logeinträge in ihren Zielen aufrufen und sind die Logs formatiert und organisiert, siehe Logs in Senkenzielen ansehen
Weitere Informationen zum Abfragen und Filtern mit der Logging-Abfragesprache: siehe Logging-Abfragesprache:

Logs an unterstützte Ziele weiterleiten

Übersicht

Hinweise

Senke erstellen

Console

API

gcloud

Zielpfadformate

Senken verwalten

Console

API

gcloud

Speichern von Logeinträgen in Log-Buckets beenden

Console

API

gcloud

Zielberechtigungen festlegen

Console

API

gcloud

Zieleinschränkungen

Codebeispiele

Beispiele für Filter

_Default-Senkenfilter wiederherstellen

Google Kubernetes Engine-Container- und -Pod-Logs ausschließen

Dataflow-Logs, die nicht für Unterstützung erforderlich sind, ausschließen

Support

Nächste Schritte

`_Default`-Senkenfilter wiederherstellen