Logs an unterstützte Ziele weiterleiten

In diesem Dokument wird erläutert, wie Sie Senken erstellen und verwalten, um Logeinträge an unterstützte Ziele weiterzuleiten.

Cloud Logging erstellt und verwaltet automatisch ein Dienstkonto für Logs Senken, die Logs an ein Ziel weiterleiten, das kein Log-Bucket im aktuellen Google Cloud-Projekt Sie können ein Dienstkonto erstellen und verwalten das von Senken in mehreren Projekten verwendet wird. Weitere Informationen finden Sie unter Logsenken mit nutzerverwalteten Dienstkonten konfigurieren

Übersicht

Senken steuern, wie Cloud Logging Logs weiterleitet. Mithilfe von Senken können Sie einige oder alle Logs an folgenden Zielen:

  • Cloud Logging-Bucket: Stellt Speicher in Cloud Logging bereit. In einem Log-Bucket können Logeinträge gespeichert werden die von mehreren Google Cloud-Projekten empfangen werden. Sie können Ihre Cloud Logging-Daten zusammen mit anderen Daten durch Upgrade eines Log-Buckets zur Verwendung Loganalysen und anschließendes Erstellen eines verknüpften BigQuery-Datasets. Für Informationen zum Aufrufen von Logeinträgen, die in Log-Buckets gespeichert sind, finden Sie unter Übersicht: Logs abfragen und ansehen und An Cloud Logging-Buckets weitergeleitete Logs ansehen.
  • BigQuery-Dataset: ermöglicht die Speicherung von Logeinträgen in BigQuery-Datasets Sie können Big-Data-Analysefunktionen für die gespeicherten Logeinträge. Um Ihre Cloud Logging-Daten mit anderen Datenquellen verwendet werden, empfehlen wir, dass Sie Ihre Log-Buckets aktualisieren, Log Analytics und erstellen Sie dann ein verknüpftes BigQuery-Dataset. Informationen zum Aufrufen von an BigQuery weitergeleiteten Logeinträgen finden Sie unter An BigQuery weitergeleitete Logs ansehen
  • Cloud Storage-Bucket: Bietet die Speicherung von Logeinträgen in Cloud Storage. Aufzeichnen werden als JSON-Dateien gespeichert. Informationen zum Aufrufen des Protokolls an Cloud Storage weitergeleitete Einträge, siehe An Cloud Storage weitergeleitete Logs ansehen.
  • Pub/Sub-Thema: Bietet Unterstützung für Integrationen von Drittanbietern. Aufzeichnen werden in JSON formatiert und dann an ein Pub/Sub- . Informationen zum Aufrufen von Logeinträgen, die weitergeleitet an Pub/Sub, siehe An Pub/Sub weitergeleitete Logs ansehen
  • Splunk: Bietet Unterstützung für Splunk. Sie müssen Ihre Logeinträge an ein Pub/Sub-Thema weiterleiten dieses Thema mit Splunk abonnieren.
  • Google Cloud-Projekt: Logeinträge an ein anderes Google Cloud-Projekt weiterleiten. Wann? Logeinträge an ein anderes Google Cloud-Projekt, das Ziel empfängt der Logrouter des Projekts die Logeinträge und verarbeitet sie. Die Senken im Zielprojekt bestimmen, wie die empfangenen Logeinträge weitergeleitet. Error Reporting kann Logeinträge analysieren, wenn das Ziel -Projekt leitet diese Logeinträge an einen Log-Bucket weiter, der dem Ziel gehört Projekt arbeiten.
  • Weitere Ressourcen: Leiten Sie Ihre Logeinträge an ein unterstütztes Ziel weiter, das in einem anderen Projekt ist. Informationen zu den zu verwendenden Pfaden finden Sie unter Zielpfadformate:

Senken gehören zu einer bestimmten Google Cloud-Ressource: Google Cloud-Projekte, Rechnungskonten, Ordner und Organisationen. Wenn die Ressource ein Logeintrag wird der Logeintrag entsprechend den darin enthaltenen Senken weitergeleitet. . Der Logeintrag wird an das Ziel gesendet, das dem jeweiligen Abgleich zugeordnet ist. Sinken.

Eine aggregierte Senke ist eine Art Senke, und leitet Logeinträge aus der Google Cloud-Ressourcen die in einer Organisation oder einem Ordner enthalten sind. Anweisungen finden Sie unter Logs auf Organisationsebene sortieren und an unterstützte Ziele weiterleiten

Zum Erstellen und Verwalten von Senken können Sie die Google Cloud Console verwenden, die Cloud Logging API und die Google Cloud CLI Mit der Die Google Cloud Console bietet gegenüber den anderen Methoden folgende Vorteile:

  • Sie können alle Ihre Spülen an einem Ort ansehen und verwalten.
  • Vorschau der Logeinträge ansehen, die dem Filter der Senke entsprechen, bevor Sie die Senke erstellen
  • Senkenziele für Senken erstellen und autorisieren

Hinweise

In der Anleitung in diesem Dokument wird das Erstellen und Verwalten von Senken auf der Google Cloud-Projektebene. Sie können auch nicht aggregierte Senken für Rechnungskonten, Ordner und Organisationen.

Gehen Sie dazu so vor:

  1. Achten Sie darauf, dass Sie ein Google Cloud-Projekt mit Logs haben, die Sie in der Log-Explorer:

  2. Cloud Logging API aktivieren.

    Aktivieren Sie die API

  3. Um die Berechtigungen zu erhalten, die Sie zum Erstellen, Ändern oder Löschen einer Senke benötigen, bitten Sie Ihren Administrator, Ihnen IAM-Rolle Autor von Logkonfigurationen (roles/logging.configWriter) für Ihr Projekt Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

    Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

    Informationen zum Gewähren von IAM-Rollen finden Sie unter in der Anleitung zur Zugriffssteuerung von Logging

  4. Sie haben eine Ressource in einem unterstützten Ziel oder die Erlaubnis, eine Ressource zu erstellen.

    Zum Weiterleiten von Logs an ein Ziel muss das Ziel vor der erstellen Sie die Senke. Sie können das Ziel in einem beliebigen Google Cloud-Projekt in jeder Organisation.

    Beim Weiterleiten von Logs an andere Ziele. Weitere Informationen finden Sie unter Zieleinschränkungen.

Senke erstellen

Nachfolgend finden Sie eine Anleitung zum Erstellen einer Senke in einem Google Cloud-Projekt. Anstelle eines Google Cloud-Projekts können Sie ein Rechnungskonto angeben, Ordner oder Organisation.

Sie können bis zu 200 Senken pro Google Cloud-Projekt erstellen.

Prüfen Sie nach dem Erstellen der Senke, ob Logging verfügt über die entsprechenden Berechtigungen, um Logs in das Senkenziel zu schreiben. Siehe Legen Sie Zielberechtigungen fest.

So erstellen Sie eine Senke:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Logrouter auf:

    Zum Logrouter

    Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.

  2. Wählen Sie ein vorhandenes Google Cloud-Projekt aus.

  3. Wählen Sie Senke erstellen aus.

  4. Geben Sie im Bereich Senkendetails die folgenden Details ein:

    • Senkenname: Geben Sie eine Kennzeichnung für die Senke an. Beachten Sie, dass Sie die Senke nach deren Erstellung nicht mehr umbenennen, aber löschen und eine neue erstellen können.

    • Senkenbeschreibung (optional): Beschreiben Sie den Zweck oder den Anwendungsfall für die Senke.

  5. Wählen Sie im Bereich Senkenziel den Senkendienst aus und Ziel mithilfe des Menüs Senkendienst auswählen an.

    1. So leiten Sie Logs an einen Dienst weiter, der sich im selben Google Cloud-Projekt befindet: Wählen Sie eine der folgenden Optionen aus:

      • Cloud Logging-Bucket: Wählen Sie einen Logging-Bucket aus oder erstellen Sie einen.
      • BigQuery-Dataset: Wählen oder erstellen Sie das spezifische Dataset zum Empfangen der weitergeleiteten Logs. Sie können auch partitionierte Tabellen verwenden.
      • Cloud Storage-Bucket: Wählen Sie den spezifischen Cloud Storage-Bucket aus, der die weitergeleiteten Logs erhalten soll, oder erstellen Sie ihn.
      • Pub/Sub-Thema: Wählen oder erstellen Sie das spezifische um die weitergeleiteten Logs zu empfangen.
      • Splunk: Wählen Sie das Pub/Sub-Thema für den Splunk-Dienst aus.
      • Google Cloud-Projekt: Wählen Sie das Google Cloud-Projekt aus oder erstellen Sie eines. um die weitergeleiteten Logs zu empfangen.
      • Andere Ressource: Wählen Sie diese Option aus, um Ihre Logeinträge an ein unterstütztes Ziel, das sich in einem anderen Projekt befindet. Für Informationen über den Pfad zum finden Sie unter Zielpfadformate.

  6. Führen Sie im Bereich Logs auswählen, die in der Senke enthalten sein sollen die folgenden Schritte aus:

    1. Geben Sie im Feld Einschlussfilter erstellen einen Filterausdruck ein. das mit den Logeinträgen übereinstimmt, die Sie aufnehmen möchten. Weitere Informationen über der Syntax zum Schreiben von Filtern, siehe Logging-Abfragesprache:

      Wenn Sie keinen Filter festlegen, werden alle Logs der ausgewählten Ressource an das Ziel weitergeleitet.

      Sie können beispielsweise einen Filter erstellen, um alle Datenzugriffslogs an einen einzelnen Logging-Bucket weiterzuleiten. Dieser Filter sieht in etwa so aus:

      log_id("cloudaudit.googleapis.com/data_access") OR log_id("externalaudit.googleapis.com/data_access")

      Beachten Sie, dass ein Filter nicht länger als 20.000 Zeichen sein darf.

    2. Wählen Sie Vorschau von Logs aus, um zu prüfen, ob Sie den richtigen Filter eingegeben haben. Dadurch wird der Log-Explorer in einem neuen Tab geöffnet, auf dem der Filter bereits ausgefüllt ist.

  7. (Optional) Führen Sie im Bereich Logs zum Filtern aus der Senke auswählen die folgenden Schritte aus: Folgendes:

    1. Geben Sie in das Feld Name des Ausschlussfilters einen Namen ein.

    2. Geben Sie im Abschnitt Ausschlussfilter erstellen einen Filterausdruck ein, der den Logeinträgen entspricht, die Sie ausschließen möchten. Mit der Funktion sample können Sie auch einen Teil der Logeinträge auswählen, die ausgeschlossen werden sollen.

    Sie können bis zu 50 Ausschlussfilter pro Senke erstellen. Beachten Sie, dass ein Filter nicht länger als 20.000 Zeichen sein darf.

  8. Wählen Sie Senke erstellen aus.

API

  1. Verwenden Sie zum Erstellen einer Logging-Senke in Ihrem Google Cloud-Projekt projects.sinks.create in der Logging API. Geben Sie im LogSink -Objekt enthält, geben Sie in der Methodenanfrage die entsprechenden erforderlichen Werte an. Text:

    • name: Geben Sie eine Kennzeichnung für die Senke an. Beachten Sie, dass Sie die Senke nach deren Erstellung nicht mehr umbenennen, jedoch löschen können. Sie können auch eine neue Senke erstellen.

    • destination: Der Dienst und das Ziel, an die die Logs gesendet werden sollen. weitergeleitet. Um Logs an ein anderes Projekt oder ein Ziel weiterzuleiten, sich in einem anderen Projekt befindet, legen Sie das Feld destination mit der entsprechenden Pfad, wie unter Zielpfadformate beschrieben.

      Wenn das Senkenziel z. B. ein BigQuery- Dataset enthält, sieht destination so aus:

      bigquery.googleapis.com/projects/PROJECT_ID/datasets/DATASET_ID

  2. Geben Sie im LogSink die entsprechenden optionalen Informationen an:

    • filter: Legen Sie das Attribut filter so fest, dass es den Logeinträgen entspricht, die Sie in die Senke aufnehmen möchten. Wenn Wenn Sie keinen Filter festlegen, werden alle Logs aus Ihrem Google Cloud-Projekt an das Ziel weitergeleitet. Beachten Sie, dass ein Filter nicht länger als 20.000 Zeichen sein darf.
    • exclusions: Legen Sie dieses Attribut so fest, dass es den Logeinträgen entspricht, die Sie von der Senke ausschließen möchten. Mit der Funktion sample können Sie auch einen Teil der Logeinträge auswählen, die ausgeschlossen werden sollen. Sie können bis zu 50 Ausschlussfilter pro Senke erstellen.
    • description: Legen Sie dieses Attribut fest, um den Zweck oder den Anwendungsfall für die Senke zu beschreiben.

  3. Rufen Sie projects.sinks.create auf, um die Senke zu erstellen.

  4. Wenn die API-Antwort einen JSON-Schlüssel mit dem Label "writerIdentity" enthält, Erteilen Sie dann dem Dienstkonto der Senke die Berechtigung, das Senkenziel. Weitere Informationen Weitere Informationen finden Sie unter Zielberechtigungen festlegen.

    Sie müssen keine Zielberechtigungen festlegen, wenn die API-Antwort enthält keinen JSON-Schlüssel mit dem Label "writerIdentity".

Weitere Informationen zum Erstellen von Senken mithilfe der Logging API finden Sie in der LogSink.

gcloud

Führen Sie den folgenden gcloud logging sinks create Befehl aus, um eine Senke zu erstellen:

Geben Sie die entsprechenden Werte für die Variablen im Befehl wie folgt an:

  • SINK_NAME: Geben Sie eine Kennzeichnung für die Senke an. Beachten Sie, dass Sie die Senke nach deren Erstellung nicht mehr umbenennen, jedoch löschen können. Sie können auch eine neue Senke erstellen.

  • SINK_DESTINATION: Der Dienst und das Ziel, an den Sie den gewünschten Ort abrufen möchten. Ihre Logs weitergeleitet. So leiten Sie Logs an ein anderes Projekt oder an ein Ziel, das sich in einem anderen Projekt befindet, legen Sie SINK_DESTINATION fest durch den entsprechenden Pfad, wie unter Zielpfadformate beschrieben.

    Wenn das Senkenziel beispielsweise ein BigQuery-Dataset ist, dann sieht SINK_DESTINATION so aus:

    bigquery.googleapis.com/projects/PROJECT_ID/datasets/DATASET_ID

  • OPTIONAL_FLAGS enthält die folgenden Flags:

    • --log-filter: Verwenden Sie dieses Flag, um einen Filter festzulegen, der den Logeinträgen entspricht, die Sie in die Senke aufnehmen möchten. Wenn Sie keine Wenn Sie einen Filter festlegen, werden alle Logs aus Ihrem Google Cloud-Projekt an das Ziel.
    • --exclusion: Verwenden Sie dieses Flag, um einen Ausschlussfilter für Logeinträge festzulegen. die Sie aus der Senke ausschließen möchten. Mit der Funktion sample können Sie auch einen Teil der Logeinträge auswählen, die ausgeschlossen werden sollen. Diese Markierung kann wiederholt; können Sie bis zu 50 Ausschlüsse Filter pro Senke.
    • --description: Verwenden Sie dieses Flag, um den Zweck oder Anwendungsfall für in die Spüle.
gcloud logging sinks create SINK_NAME SINK_DESTINATION OPTIONAL_FLAGS

Wenn Sie beispielsweise eine Senke in einem Logging-Bucket erstellen möchten, könnte der Befehl so aussehen:

gcloud logging sinks create my-sink logging.googleapis.com/projects/myproject123/locations/global/buckets/my-bucket \
  --log-filter='logName="projects/myproject123/logs/matched"' --description="My first sink"

Weitere Informationen zum Erstellen von Senken mithilfe der Die Google Cloud CLI (einschließlich weiterer Flags und Beispiele) finden Sie auf der Referenz zu gcloud logging sinks.

Neue Logsenken für Cloud Storage-Buckets können mehrere Stunden dauern. mit den Routing-Protokollen beginnen. Senken in Cloud Storage werden stündlich verarbeitet, während andere Zieltypen werden in Echtzeit verarbeitet.

Das Schema für BigQuery-Datasets wird nicht von Senken definiert. Stattdessen bestimmt der erste von BigQuery empfangene Logeintrag die Schema für die Zieltabelle. Weitere Informationen finden Sie unter BigQuery-Schema für weitergeleitete Logs.

Informationen zum Anzeigen von Logs in den Senkenzielen finden Sie unter An Cloud Logging-Buckets weitergeleitete Logs ansehen

Nachdem Sie die Senke erstellt haben, können Sie die Anzahl und das Umfang der empfangenen Logeinträge mit den logging.googleapis.com/exports/-Messwerten einsehen.

Wenn Sie Fehlerbenachrichtigungen erhalten, lesen Sie die Informationen unter Fehlerbehebung bei Routing und Senken.

Geben Sie keine vertraulichen Informationen in Senkenfilter ein. Senkenfilter werden wie Dienstdaten behandelt.

Zielpfadformate

Beim Routing an ein Ziel, das sich in einem anderen Projekt befindet, müssen Sie Logging, BigQuery, Cloud Storage oder Pub/Sub-Dienst und -Ziel Informationen:

  • So leiten Sie Logeinträge an einen Cloud Logging-Log-Bucket weiter das sich in einem anderen Google Cloud-Projekt befindet, ist das Senkenziel Folgendes:

    logging.googleapis.com/projects/DESTINATION_PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME

  • Zum Weiterleiten von Logeinträgen an ein anderes Google Cloud-Projekt lautet:

    logging.googleapis.com/projects/DESTINATION_PROJECT_ID

  • Zum Weiterleiten von Logeinträgen an ein BigQuery-Dataset Ziel ist Folgendes:

    bigquery.googleapis.com/projects/PROJECT_ID/datasets/DATASET_ID

  • Zum Weiterleiten von Logeinträgen an einen Cloud Storage-Bucket Ziel ist Folgendes:

    storage.googleapis.com/BUCKET_NAME

  • Zum Weiterleiten von Logeinträgen an ein Pub/Sub-Thema Ziel ist Folgendes:

    pubsub.googleapis.com/projects/PROJECT_ID/topics/TOPIC_ID

Senken verwalten

Nachdem die Senken erstellt wurden, können Sie folgende Aktionen ausführen:

  • Senkendetails ansehen
  • Senke aktualisieren
  • Senke deaktivieren
  • Senke löschen
  • Fehler in Senke beheben
  • Volumen und Fehlerraten des Senkenlogs ansehen

Beachten Sie Folgendes, bevor Sie eine Senke löschen:

  • Sie können die Senken _Default und _Required nicht löschen, aber Sie können _Default-Senken deaktivieren, um das Routing von Logs an _Default zu beenden Logging von Buckets
  • Nachdem eine Senke gelöscht wurde, werden keine Logeinträge mehr weitergeleitet.
  • Hat die Senke ein dediziertes Dienstkonto, wird diese Senke ebenfalls gelöscht löscht das Dienstkonto. Senken erstellt vor dem Ab dem 22. Mai 2023 gibt es dedizierte Dienstkonten. Senken erstellt ab dem 22. Mai 2023 ein gemeinsames Dienstkonto haben. Durch das Löschen der Senke wird das freigegebene Dienstkonto nicht gelöscht.

Es kann einige Minuten dauern, bis alle an einer Senke vorgenommenen Änderungen wirksam werden.

Nachfolgend finden Sie eine Anleitung zum Verwalten einer Senke in einem Google Cloud-Projekt. Anstelle eines Google Cloud-Projekts können Sie ein Rechnungskonto angeben, Ordner oder Organisation:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Logrouter auf:

    Zum Logrouter

    Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.

  2. Wählen Sie das Google Cloud-Projekt aus, das Ihr indem Sie an einer beliebigen Stelle im Google Cloud Console:

    Auswahl eines Projekts aus dem Dropdown-Menü

  3. So rufen Sie Ihre aggregierten Senken die Option Organisation, Ordner oder Rechnungskonto, das die Senke enthält.

Die Seite Logrouter enthält eine Tabellenzusammenfassung der Senken. Jede Tabelle enthält Informationen zu den Eigenschaften einer Senke:

  • Aktiviert: Gibt an, ob der Status der Senke aktiviert oder deaktiviert ist.
  • Typ: Der Zieldienst der Senke, beispielsweise Cloud Logging bucket.
  • Name: Die Senken-ID, die beim Erstellen der Senke angegeben wurde. Beispiel: _Default.
  • Beschreibung: Die Beschreibung der Senke, wie sie beim Erstellen der Senke angegeben wurde.
  • Ziel: Der vollständige Name des Ziels, an das die weitergeleiteten Logeinträge gesendet werden.
  • Erstellt: Datum und Uhrzeit der Erstellung der Senke.
  • Zuletzt aktualisiert: Datum und Uhrzeit der letzten Bearbeitung der Senke.

Für jede Tabellenzeile das Menü Weitere Aktionen bietet folgende Optionen:

  • Senkendetails ansehen: Hier werden Name, Beschreibung und Zieldienst, Ziel sowie Ein- und Ausschlussfilter. Wenn Sie Bearbeiten auswählen, wird der Bereich Senke bearbeiten geöffnet.
  • Senke bearbeiten: Öffnet das Fenster Senke bearbeiten, in dem Sie die Parameter der Senke aktualisieren können.
  • Senke deaktivieren: Ermöglicht das Deaktivieren der Senke und das Beenden der Weiterleitung von Logs an das Ziel der Senke. Weitere Informationen zum Deaktivieren von Senken finden Sie unter Speichern von Logs in Log-Buckets beenden
  • Senke aktivieren: Ermöglicht das Aktivieren einer deaktivierten Senke und den Neustart der Weiterleitung von Logs zum Ziel der Senke.
  • Senke löschen: Ermöglicht das Löschen der Senke und das Beenden von Routing-Logs an das Ziel der Senke.
  • Fehlerbehebung bei Senken: Öffnet den Log-Explorer, in dem Sie Fehler beheben können mit der Senke.
  • Volumen und Fehlerraten des Senkenlogs ansehen: Metrics Explorer wird geöffnet Hier können Sie Daten aus der Senke ansehen und analysieren.

Durch einen Klick auf einen der Spaltennamen können Sie Daten in aufsteigender oder absteigender Reihenfolge sortieren.

API

  • Rufen Sie zum Anzeigen der Senken für Ihr Google Cloud-Projekt den folgenden Befehl auf: projects.sinks.list

  • Rufen Sie projects.sinks.get auf, um die Details einer Senke aufzurufen.

  • Rufen Sie zum Aktualisieren einer Senke Folgendes auf: projects.sink.update

    Sie können das Ziel, die Filter und die Beschreibung einer Senke aktualisieren. Sie können auch die Senke deaktivieren oder wieder aktivieren.

  • Zum Deaktivieren einer Senke rufen Sie projects.sink.update und legen Sie die Eigenschaft disabled auf true fest.

    Rufen Sie projects.sink.update auf und legen Sie das Attribut disabled auf false fest, um die Senke wieder zu aktivieren.

  • Rufen Sie zum Löschen einer Senke Folgendes auf: projects.sinks.delete

    Weitere Informationen zu diesen Methoden zum Verwalten von Senken mit der Logging API finden Sie in der Referenz zu LogSink.

gcloud

  • Um die Liste der Senken für Ihr Google Cloud-Projekt aufzurufen, verwenden Sie den gcloud logging sinks list , der der Logging API-Methode entspricht projects.sinks.list:

    gcloud logging sinks list

    Um die Liste der aggregierten Senken aufzurufen, verwenden Sie das entsprechende Flag, um die Ressource anzugeben, die die Senke enthält. Wenn Sie beispielsweise die Senke auf Organisationsebene erstellt haben, verwenden Sie das Flag --organization=ORGANIZATION_ID, um die Senken für die Organisation aufzulisten.

  • Verwenden Sie zum Beschreiben einer Senke den Befehl gcloud logging sinks describe, der der Logging API-Methode projects.sinks.get entspricht:

    gcloud logging sinks describe SINK_NAME

  • Verwenden Sie zum Aktualisieren einer Senke die Methode gcloud logging sinks update , der der API-Methode entspricht, projects.sink.update

    Sie können eine Senke aktualisieren, um das Ziel, die Filter und die Beschreibung zu ändern oder die Senke zu deaktivieren oder wieder zu aktivieren:

    gcloud logging sinks update SINK_NAME NEW_DESTINATION --log-filter=NEW_FILTER

    Lassen Sie NEW_DESTINATION oder --log-filter weg, wenn diese Teile nicht ändern.

    Wenn Sie beispielsweise das Ziel der Senke mit dem Namen my-project-sink auf ein neues Cloud Storage-Bucket-Ziel mit dem Namen my-second-gcs-bucket aktualisieren möchten, sieht der Befehl so aus:

    gcloud logging sinks update  my-project-sink  storage.googleapis.com/my-second-gcs-bucket

  • Verwenden Sie zum Deaktivieren einer Senke die Methode gcloud logging sinks update , der der API-Methode entspricht, projects.sink.update und fügen Sie das Flag --disabled hinzu:

    gcloud logging sinks update _Default  --disabled

    Verwenden Sie zum erneuten Aktivieren der Senke den Befehl gcloud logging sinks update, entfernen Sie das Flag --disabled und fügen Sie das Flag --no-disabled ein:

    gcloud logging sinks update _Default  --no-disabled

  • Verwenden Sie zum Löschen einer Senke die Methode gcloud logging sinks delete , der der API-Methode entspricht, projects.sinks.delete:

    gcloud logging sinks delete SINK_NAME

    Weitere Informationen zum Verwalten von Senken mithilfe der Google Cloud CLI, siehe die Referenz zu gcloud logging sinks.

Speichern von Logs in Log-Buckets beenden

Für jedes Google Cloud-Projekt erstellt Logging automatisch Zwei Log-Buckets: _Required und _Default. Logging erstellt automatisch zwei Logsenken: _Required und _Default, die Logs an die entsprechend benannten Buckets weiterleiten.

Sie können die Senke _Required nicht deaktivieren. Sie können Deaktivieren Sie die Senke _Default, um das Speichern von Logs im _Default Bucket. Sie können auch alle benutzerdefinierten Senken deaktivieren.

Wenn Sie alle Senken im Google Cloud-Projekt deaktivieren, die Logs senden in den _Default-Bucket, werden keine neuen Logs in diesem Log-Bucket gespeichert. Der Bucket _Default ist leer, wenn alle zuvor gespeicherten Logs im _Default Bucket erfüllt die folgenden Anforderungen für den Bucket Aufbewahrungsdauer.

Zum Deaktivieren Ihrer Google Cloud-Projektsenken, die Logs an die _Default weiterleiten Bucket führen Sie die folgenden Schritte aus:

Console

  1. Rufen Sie in der Google Cloud Console die Seite Logrouter auf:

    Zum Logrouter

    Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.

  2. Filtern Sie die Senken nach Ziel und geben Sie _Default ein, um alle Senken zu ermitteln, die Logs an den _Default-Bucket weiterleiten.

    Alle Senken suchen, die Logs an den Standard-Bucket weiterleiten

  3. Wählen Sie für jede Senke Menü und Wählen Sie dann Senke deaktivieren aus.

Die Senken sind jetzt deaktiviert und die Senken Ihres Google Cloud-Projekts längere Logs an den Bucket _Default weiterleiten.

Gehen Sie so vor, um eine deaktivierte Senke wieder zu aktivieren und die Weiterleitung der Logs an das Ziel der Senke neu zu starten:

  1. Rufen Sie in der Google Cloud Console die Seite Logrouter auf:

    Zum Logrouter

    Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.

  2. Filtern Sie die Senken nach Ziel und geben Sie _Default ein, um alle deaktivierten Senken zu ermitteln, die zuvor für das Weiterleiten von Logs an den _Default-Bucket konfiguriert wurden.

  3. Wählen Sie für jede Senke Menü und Wählen Sie dann Senke aktivieren aus.

API

  1. Rufen Sie zum Anzeigen der Senken für Ihr Google Cloud-Projekt die Methode Logging API-Methode projects.sinks.list

    Identifizieren Sie alle Senken, die an den _Default-Bucket weiterleiten.

  2. Wenn Sie beispielsweise die Senke _Default deaktivieren möchten, rufen Sie projects.sink.update auf und legen Sie das Attribut disabled auf true fest.

Die Senke _Default ist jetzt deaktiviert. Sie leitet keine Logs mehr an den _Default-Bucket weiter.

Um die anderen Senken in Ihrem Google Cloud-Projekt zu deaktivieren, die das Routing ausführen in den Bucket _Default, wiederholen Sie die oben beschriebenen Schritte.

Rufen Sie zum Reaktivieren einer Senke Folgendes auf: projects.sink.update und legen Sie die Eigenschaft disabled auf false fest.

gcloud

  1. Um die Liste der Senken für Ihr Google Cloud-Projekt aufzurufen, verwenden Sie den gcloud logging sinks list , der der Logging API-Methode entspricht projects.sinks.list:

    gcloud logging sinks list

  2. Identifizieren Sie alle Senken, die an den _Default-Bucket weiterleiten. Verwenden Sie zum Beschreiben einer Senke, einschließlich des Zielnamens, den Befehl gcloud logging sinks describe. Dies entspricht der Logging API-Methode projects.sinks.get:

    gcloud logging sinks describe SINK_NAME

  3. Um die Senke _Default zu deaktivieren, verwenden Sie beispielsweise den Befehl gcloud logging sinks update und fügen das Flag --disabled ein:

    gcloud logging sinks update _Default  --disabled

Die Senke _Default ist jetzt deaktiviert. Sie leitet keine Logs mehr an den _Default-Bucket weiter.

Um die anderen Senken in Ihrem Google Cloud-Projekt zu deaktivieren, die das Routing ausführen in den Bucket _Default, wiederholen Sie die oben beschriebenen Schritte.

Verwenden Sie zum erneuten Aktivieren einer Senke den Befehl gcloud logging sinks update, entfernen Sie das Flag --disabled und fügen Sie das Flag --no-disabled ein:

gcloud logging sinks update _Default  --no-disabled

Zielberechtigungen festlegen

In diesem Abschnitt wird beschrieben, wie Sie Logging die IAM-Berechtigungen (Identitäts- und Zugriffsverwaltung) zum Schreiben von Logs an das Ziel der Senke gewähren. Eine vollständige Liste der Logging-Rollen und -Berechtigungen finden Sie unter Zugriffssteuerung.

Cloud Logging erstellt ein freigegebenes Dienstkonto für eine Ressource, wenn ein Logsenke erstellt wird, sofern das erforderliche Dienstkonto nicht bereits vorhanden ist. Das Dienstkonto ist möglicherweise vorhanden, da dasselbe Dienstkonto für alle Senken in der zugrunde liegenden Ressource. Ressourcen können Google Cloud-Projekte, eine Organisation, einen Ordner oder ein Rechnungskonto.

Die Identität des Autors einer Senke ist die Kennung des Dienstes das mit der Senke verknüpft ist. Alle Senken haben eine Autorenidentität, außer für Senken, die in einen Log-Bucket im aktuellen Google Cloud-Projekt schreiben. Wenn das Ziel einer Senke ein Log-Bucket im aktuellen Google Cloud-Projekt zu verknüpfen, benötigt die Senke keine zusätzlichen Zielberechtigungen. Daher ist der Wert des Felds writer Identity in der Konsole als None aufgeführt, und nicht von der API und den Google Cloud CLI-Befehlen gemeldet.

Nachfolgend finden Sie die Anleitung zum Festlegen der Google Cloud-Projektebene Berechtigungen für die Senke zum Weiterleiten an ihr Ziel. Anstelle eines Google Cloud-Projekt können Sie ein Rechnungskonto, einen Ordner oder Organisation:

Console

<ph type="x-smartling-placeholder">
    </ph>

  1. Um die Identität des Autors der Senke (eine E-Mail-Adresse) vom neue Senke:

    1. Rufen Sie in der Google Cloud Console die Seite Logrouter auf:

      Zum Logrouter

      Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.

    2. Wählen Sie Menü und dann Senken Sie Details aufrufen. Die Identität des Autors erscheint in der Bereich Senkendetails:

  2. Wenn der Wert des Felds writerIdentity eine E-Mail-Adresse enthält, und fahren Sie dann mit dem nächsten Schritt fort. Wenn der Wert None ist, Sie müssen keine Zielberechtigungen für die Senke konfigurieren.

  3. Um die Identität des Autors der Senke in die Zwischenablage zu kopieren, Klicken Sie auf Kopieren.

  4. Wenn Sie die Rolle Inhaber für das Ziel haben, fügen Sie den Dienst hinzu Konto als IAM-Hauptkonto im Zielprojekt:

    • Fügen Sie für Cloud Storage-Ziele die Identität des Autors der Senke hinzu. mithilfe von IAM als Hauptkonto festlegen und ihm dann die Rolle „Storage Object Creator“ (roles/storage.objectCreator).
    • Fügen Sie für BigQuery-Ziele die Identität des Autors der Senke hinzu. mithilfe von IAM als Hauptkonto festlegen und ihm dann die Rolle „BigQuery-Datenbearbeiter“ (roles/bigquery.dataEditor).
    • Fügen Sie für Pub/Sub-Ziele, einschließlich Splunk, die Identität des Autors der Senke hinzu. mithilfe von IAM als Hauptkonto festlegen und ihm dann die Rolle „Pub/Sub-Publisher“ (roles/pubsub.publisher).
    • Für Logging-Bucket-Ziele in verschiedenen Google Cloud-Projekte hinzufügen, fügen Sie die Identität des Autors der Senke als Hauptkonto hinzu. und gewähren Sie dann die Rolle „Log-Bucket-Autor“ (roles/logging.bucketWriter).
    • Fügen Sie für Google Cloud-Projektziele den Wert der Senke hinzu. Identität des Autors mithilfe von IAM als Hauptkonto festlegen und ihr dann den Rolle „Logautor“ (roles/logging.logWriter). Insbesondere benötigt ein Auftraggeber Berechtigung „logging.logEntries.route“.
    Wenn Sie nicht die Rolle Inhaber für das Ziel der Senke haben, bitten Sie einen Projektinhaber, die Identität des Autors als Prinzipal hinzufügen.

API

  1. Rufen Sie die API-Methode projects.sinks.list auf, um die Senken in Ihrem Projekt aufzulisten. Google Cloud-Projekt

  2. Suchen Sie die Senke, deren Berechtigungen Sie ändern möchten, und ob die Senke Details einen JSON-Schlüssel mit dem Label "writerIdentity" enthalten, dann fahren Sie fort mit dem nächsten Schritt fortfahren. Wenn die Details kein "writerIdentity" enthalten müssen Sie keine Zielberechtigungen für die Senke konfigurieren.

  3. Wenn Sie die IAM-Rolle Inhaber für das Ziel haben, fügen Sie mit dem Dienstkonto zum Ziel. Gehen Sie dazu so vor:

    • Fügen Sie für Cloud Storage-Ziele die Identität des Autors der Senke hinzu. mithilfe von IAM als Hauptkonto festlegen und ihm dann die Rolle „Storage Object Creator“ (roles/storage.objectCreator).
    • Fügen Sie für BigQuery-Ziele die Identität des Autors der Senke hinzu. mithilfe von IAM als Hauptkonto festlegen und ihm dann die Rolle „BigQuery-Datenbearbeiter“ (roles/bigquery.dataEditor).
    • Fügen Sie für Pub/Sub-Ziele, einschließlich Splunk, die Identität des Autors der Senke hinzu. mithilfe von IAM als Hauptkonto festlegen und ihm dann die Rolle „Pub/Sub-Publisher“ (roles/pubsub.publisher).
    • Für Logging-Bucket-Ziele in verschiedenen Google Cloud-Projekte hinzufügen, fügen Sie die Identität des Autors der Senke als Hauptkonto hinzu. und gewähren Sie dann die Rolle „Log-Bucket-Autor“ (roles/logging.bucketWriter).
    • Fügen Sie für Google Cloud-Projektziele den Wert der Senke hinzu. Identität des Autors mithilfe von IAM als Hauptkonto festlegen und ihr dann den Rolle „Logautor“ (roles/logging.logWriter). Insbesondere benötigt ein Auftraggeber Berechtigung „logging.logEntries.route“.
    Wenn Sie nicht die Rolle Inhaber für das Ziel der Senke haben, bitten Sie einen Projektinhaber, die Identität des Autors als Prinzipal hinzufügen.

gcloud

  1. Rufen Sie das Dienstkonto aus dem Feld writerIdentity der Senke ab:

    gcloud logging sinks describe SINK_NAME

  2. Suchen Sie die Senke, deren Berechtigungen Sie ändern möchten, und ob die Senke Details eine Zeile mit writerIdentity enthalten, dann fahre fort mit dem nächsten Schritt fortfahren. Wenn die Details kein writerIdentity enthalten müssen Sie keine Zielberechtigungen für in die Spüle.

    Der Wert des Felds SERVICE_ACCT_NAME im folgenden Format ist die Identität des Autors. Folgendes:

    serviceAccount:service-123456789012@gcp-sa-logging.iam.gserviceaccount.com

  3. Wenn Sie die IAM-Rolle Inhaber für das Ziel haben, fügen Sie mit dem Dienstkonto zum Ziel. Gehen Sie dazu so vor:

    • Fügen Sie für Cloud Storage-Ziele die Identität des Autors der Senke hinzu. mithilfe von IAM als Hauptkonto festlegen und ihm dann die Rolle „Storage Object Creator“ (roles/storage.objectCreator).
    • Fügen Sie für BigQuery-Ziele die Identität des Autors der Senke hinzu. mithilfe von IAM als Hauptkonto festlegen und ihm dann die Rolle „BigQuery-Datenbearbeiter“ (roles/bigquery.dataEditor).
    • Fügen Sie für Pub/Sub-Ziele, einschließlich Splunk, die Identität des Autors der Senke hinzu. mithilfe von IAM als Hauptkonto festlegen und ihm dann die Rolle „Pub/Sub-Publisher“ (roles/pubsub.publisher).
    • Für Logging-Bucket-Ziele in verschiedenen Google Cloud-Projekte hinzufügen, fügen Sie die Identität des Autors der Senke als Hauptkonto hinzu. und gewähren Sie dann die Rolle „Log-Bucket-Autor“ (roles/logging.bucketWriter).
    • Fügen Sie für Google Cloud-Projektziele den Wert der Senke hinzu. Identität des Autors mithilfe von IAM als Hauptkonto festlegen und ihr dann den Rolle „Logautor“ (roles/logging.logWriter). Insbesondere benötigt ein Auftraggeber Berechtigung „logging.logEntries.route“.
    Wenn Sie nicht die Rolle Inhaber für das Ziel der Senke haben, bitten Sie einen Projektinhaber, die Identität des Autors als Prinzipal hinzufügen.

    So gewähren Sie beispielsweise die Rolle „Logautor“ (roles/logging.logWriter) Rolle für das Dienstkonto service-123456789012@gcp-sa-logging.iam.gserviceaccount.com im Projekt my-test-project führen Sie den folgenden Befehl aus:

    gcloud projects add-iam-policy-binding my-test-project --member='serviceAccount:service-123456789012@gcp-sa-logging.iam.gserviceaccount.com' --role='roles/logging.logWriter'

Zieleinschränkungen

Je nach Ziel, an das Sie Ihre Logs weiterleiten, Einschränkungen.

Zu Log-Buckets in verschiedenen Google Cloud-Projekten weiterleiten

Wenn Sie Ihre Logs an Log-Buckets weiterleiten, gelten folgende Einschränkungen: verschiedenen Google Cloud-Projekten:

  • Error Reporting ist für Logs deaktiviert, die in Log-Buckets gespeichert sind, für die kundenverwaltete Verschlüsselungsschlüssel.

An verschiedene Google Cloud-Projekte weiterleiten

Beim Weiterleiten von Logs an andere Google Cloud-Projekte:

  • Es gibt ein Limit für einen Hop. Wenn Sie z. B. Logeinträge aus einem Projekt A an Projekt B, dann können Sie die Logeinträge nicht von Projekt B an Projekt unterschiedlichen Projekts arbeiten.

  • Audit-Logs werden nicht an den Bucket _Required im Ziel weitergeleitet Projekt arbeiten. Sie müssen eine weitere Senke oder einen weiteren Bucket erstellen, um sie zu speichern.

  • Wenn die Organisation oder der Ordner, der das Google Cloud-Projekt enthält, an das Sie weiterleiten und bereits aggregierte Senken haben, werden die Logs nicht weitergeleitet durch diese aggregierten Senken verzerrt werden.

Codebeispiele

Informationen zum Verwenden von Clientbibliothekscode zum Konfigurieren von Senken in den von Ihnen ausgewählten Sprachen finden Sie unter Logging-Clientbibliotheken: Logsenken.

Beispiele für Filter

Im Folgenden finden Sie einige Filterbeispiele, die beim Erstellen Waschbecken.

Weitere Beispiele, die für die Umsetzung nützlich sein können, und Ausschlussfiltern, finden Sie Beispielabfragen:

_Default-Senkenfilter wiederherstellen

Wenn Sie den Filter für die Senke _Default bearbeitet haben, sollten Sie ihn wiederherstellen zum Standardfilter hinzu. Geben Sie dazu den folgenden Einschlussfilter ein:

  NOT log_id("cloudaudit.googleapis.com/activity") AND NOT \
  log_id("externalaudit.googleapis.com/activity") AND NOT \
  log_id("cloudaudit.googleapis.com/system_event") AND NOT \
  log_id("externalaudit.googleapis.com/system_event") AND NOT \
  log_id("cloudaudit.googleapis.com/access_transparency") AND NOT \
  log_id("externalaudit.googleapis.com/access_transparency")

Google Kubernetes Engine-Container- und -Pod-Logs ausschließen

Um Google Kubernetes Engine-Container- und -Pod-Logs für GKE-System namespaces, verwenden Sie folgenden Filter:

resource.type = ("k8s_container" OR "k8s_pod")
resource.labels.namespace_name = (
"cnrm-system" OR
"config-management-system" OR
"gatekeeper-system" OR
"gke-connect" OR
"gke-system" OR
"istio-system" OR
"knative-serving" OR
"monitoring-system" OR
"kube-system")

Google Kubernetes Engine-Knotenlogs für das GKE-System ausschließen logNames, verwenden Sie folgenden Filter:

resource.type = "k8s_node"
logName:( "logs/container-runtime" OR
"logs/docker" OR
"logs/kube-container-runtime-monitor" OR
"logs/kube-logrotate" OR
"logs/kube-node-configuration" OR
"logs/kube-node-installation" OR
"logs/kubelet" OR
"logs/kubelet-monitor" OR
"logs/node-journal" OR
"logs/node-problem-detector")

Zum Aufrufen des Volumes des Google Kubernetes Engine-Knotens, pod und Containerlogs, die in Log-Buckets gespeichert sind, verwenden Sie Metrics Explorer in Cloud Monitoring

Dataflow-Logs, die nicht für Unterstützung erforderlich sind, ausschließen

Verwenden Sie den folgenden Filter, um Dataflow-Logs auszuschließen, die nicht für den Support erforderlich sind:

resource.type="dataflow_step"
labels."dataflow.googleapis.com/log_type"!="system" AND labels."dataflow.googleapis.com/log_type"!="supportability"

Um das Volumen der in Log-Buckets gespeicherten Dataflow-Logs anzuzeigen, verwenden Sie Metrics Explorer in Cloud Monitoring

Support

Mit Cloud Logging können Sie Logs ausschließen, die in einem Log-Bucket gespeichert sind, sollten Sie Protokolle aufbewahren, die für die Unterstützung sorgen. Anhand dieser Logs können Probleme mit Ihren Anwendungen schneller behoben und identifiziert werden.

GKE-Systemlogs sind beispielsweise nützlich, um Probleme bei GKE-Anwendungen und -Clustern zu beheben, da sie für Ereignisse in Ihrem Cluster generiert werden. Anhand dieser Logs können Sie feststellen, ob Ihr Anwendungscode oder der zugrunde liegende GKE-Cluster den Anwendungsfehler verursacht. GKE-Systemlogs umfasst auch Kubernetes-Audit-Logging, das von der Kubernetes API Server-Komponente generiert wird. Dazu gehören Änderungen, die mit dem kubectl-Befehl und Kubernetes-Ereignissen vorgenommen wurden.

Für Dataflow sollten Sie mindestens Ihr System Logs (labels."dataflow.googleapis.com/log_type"="system") und Support Protokolle (labels."dataflow.googleapis.com/log_type"="supportability") in Log-Buckets. Diese Logs sind unerlässlich, damit Entwickelnde ihre Dataflow beobachten und Fehler beheben können. und Nutzer können die Dataflow-Bibliothek Seite Jobdetails, um Joblogs aufzurufen.

Nächste Schritte