In diesem Dokument wird erläutert, wie Sie Senken erstellen und verwalten, die Logeinträge weiterleiten die aus einem Google Cloud-Projekt stammen, an unterstützte Ziele senden.
Wenn das Ziel einer Senke kein Log-Bucket im Google Cloud-Projekt ist aus dem ein Logeintrag stammt, ist ein Dienstkonto erforderlich. Cloud Logging erstellt und verwaltet dieses Dienstkonto automatisch. Möglicherweise müssen Sie jedoch die Berechtigungen Dienstkonto. Sie können ein Dienstkonto erstellen und verwalten der von Senken in mehreren Projekten verwendet wird. Weitere Informationen finden Sie unter Logsenken mit nutzerverwalteten Dienstkonten konfigurieren
Übersicht
Senken bestimmen, wie Cloud Logging leitet Logeinträge weiter. Mit Senken können Sie einen Teil oder alle Logeinträge zu den folgenden Zielen:
Cloud Logging-Bucket: Stellt Speicher in Cloud Logging bereit. In einem Log-Bucket können Logeinträge gespeichert werden die von mehreren Google Cloud-Projekten empfangen werden. Der Log-Bucket kann sich in demselben Projekt befinden, aus dem die Logeinträge stammen, oder die sich in einem anderen Projekt befinden. Informationen zum Aufrufen von Logeinträgen, die in Log-Buckets gespeichert sind, finden Sie unter Logs abfragen und ansehen und An Cloud Logging-Buckets weitergeleitete Logs ansehen.
Sie können Ihre Cloud Logging-Daten zusammen mit anderen Daten durch Upgrade eines Log-Buckets zur Verwendung Loganalysen und anschließendes Erstellen eines verknüpften Datasets, das schreibgeschützt ist Dataset, das in BigQuery Studio und Looker Studio abgefragt werden kann Seiten.
BigQuery-Dataset zum Speichern von Logeinträgen in einem beschreibbares BigQuery-Dataset. Das BigQuery-Dataset kann sich im selben Projekt befinden, aus dem die Logeinträge stammen, oder aus einem anderen Projekt arbeiten. Sie können Big-Data-Analysefunktionen auf die gespeicherten Logeinträge anwenden. Informationen zum Aufrufen von an BigQuery weitergeleiteten Logeinträgen finden Sie unter An BigQuery weitergeleitete Logs ansehen
- Cloud Storage-Bucket: Bietet die Speicherung von Logeinträgen in Cloud Storage. Der Cloud Storage-Bucket kann sich in demselben Projekt befinden, in dem Logeinträge enthalten sind aus einem anderen Projekt stammen. Logeinträge werden als JSON-Dateien gespeichert. Informationen zum Aufrufen von Logeinträgen, die an Cloud Storage weitergeleitet wurden, Siehe An Cloud Storage weitergeleitete Logs ansehen.
Pub/Sub-Thema: Bietet Unterstützung für Integrationen von Drittanbietern. Logeinträge werden als JSON formatiert und dann an ein Pub/Sub weitergeleitet . Das Thema kann sich im selben Projekt befinden, in dem Logeinträge enthalten sind aus einem anderen Projekt stammen. Informationen zum Aufrufen von Logeinträgen, die weitergeleitet an Pub/Sub, siehe An Pub/Sub weitergeleitete Logs ansehen
Google Cloud-Projekt: Leiten Sie Logeinträge an ein anderes Google Cloud-Projekt weiter. In verarbeiten die Senken im Zielprojekt Logeinträge.
Senken gehören zu einer bestimmten Google Cloud-Ressource: ein Rechnungskonto, einen Ordner oder eine Organisation. Wenn die Ressource ein Logeintrag verarbeitet wird, verarbeitet jede Senke in der Ressource den Logeintrag. Wenn ein mit den Filtern der Senke übereinstimmt, lautet der Logeintrag an das Ziel der Senke weitergeleitet.
In der Regel leiten Senken nur die Logeinträge weiter, die aus einer Ressource stammen. Für Ordner und Organisationen können Sie jedoch aggregierte Senken erstellen, die Logeinträge aus dem Ordner oder der Organisation weiterleiten Ressourcen enthält. In diesem Dokument werden keine aggregierte Senken. Weitere Informationen finden Sie unter Logs auf Organisationsebene sortieren und an unterstützte Ziele weiterleiten
Zum Erstellen und Verwalten von Senken können Sie die Google Cloud Console verwenden, die Cloud Logging API und die Google Cloud CLI Wir empfehlen, Sie die Google Cloud Console verwenden:
- Auf der Seite Logs Router sind alle Senken aufgeführt und Optionen zum um Ihre Spüle zu verwalten.
- Beim Erstellen einer Senke können Sie in einer Vorschau sehen, welche Logeinträge durch die Filter der Senke.
- Sie können Senkenziele beim Erstellen einer Senke konfigurieren.
- Einige Autorisierungsschritte werden für Sie ausgeführt.
Hinweise
In der Anleitung in diesem Dokument wird das Erstellen und Verwalten von Senken auf der Google Cloud-Projektebene. Mit demselben Verfahren können Sie eine Senke erstellen. die Logeinträge aus einer Organisation, einem Ordner oder Rechnungskonto.
Gehen Sie dazu so vor:
-
Enable the Cloud Logging API.
Achten Sie darauf, dass Ihr Google Cloud-Projekt Logeinträge enthält, die Sie in Log-Explorer
-
Um die Berechtigungen zu erhalten, die Sie zum Erstellen, Ändern oder Löschen einer Senke benötigen, bitten Sie Ihren Administrator, Ihnen IAM-Rolle Autor von Logkonfigurationen (
roles/logging.configWriter
) für Ihr Projekt. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Informationen zum Gewähren von IAM-Rollen finden Sie unter in der Anleitung zur Zugriffssteuerung von Logging
Sie haben eine Ressource in einem unterstützten Ziel oder die Erlaubnis, eine Ressource zu erstellen.
Damit Logeinträge an ein Ziel weitergeleitet werden können, muss das Ziel vor dem erstellen Sie die Senke. Sie können das Ziel in einer beliebigen Google Cloud-Projekt in jeder Organisation.
Lesen Sie vor dem Erstellen einer Senke die für die Senkenziel. Weitere Informationen finden Sie in der Abschnitt Zielbeschränkungen in diesem Dokument.
Senke erstellen
Nachfolgend finden Sie eine Anleitung zum Erstellen einer Senke in einem Google Cloud-Projekt. Mit demselben Verfahren können Sie Logeinträge weiterleiten, die aus Eine Organisation, einen Ordner oder ein Rechnungskonto:
- Sie können bis zu 200 Senken pro Google Cloud-Projekt
- Geben Sie keine vertraulichen Informationen in Senkenfilter ein. Senkenfilter werden wie Dienstdaten behandelt.
- Es kann mehrere Stunden dauern, bis neue Senken für Cloud Storage-Buckets mit dem Routing von Logeinträgen beginnen. Senken in Cloud Storage werden stündlich verarbeitet, während andere Zieltypen werden in Echtzeit verarbeitet.
Senken können keine Logeinträge an verknüpfte BigQuery-Datasets weiterleiten. die schreibgeschützt sind. Wenn Sie Logeinträge weiterleiten möchten, in BigQuery hochladen, muss das Ziel-Dataset schreibgeschützt sein.
Das Schema für BigQuery-Datasets wird nicht von Senken definiert. Stattdessen bestimmt der erste von BigQuery empfangene Logeintrag die Schema für die Zieltabelle. Weitere Informationen finden Sie unter BigQuery-Schema für weitergeleitete Logs.
Informationen zum Aufrufen von Logeinträgen im Senkenziel Siehe An Cloud Logging-Buckets weitergeleitete Logs ansehen
Die Anzahl und das Volumen der weitergeleiteten Logeinträge finden Sie in der
logging.googleapis.com/exports/
-Messwerte.Der Log-Explorer fügt implizit den Konjunktionseinschränkung,
AND
, zwischen den im Abfragebereich angezeigten Anweisungen. Beispiel: Zeile 1 istresource.type = "gce_instance"
und Zeile 2 istseverity >= "ERROR"
lautet die Abfrageresource.type = "gce_instance" AND severity >= "ERROR"
Wenn Sie eine Abfrage verwenden möchten, die vom Log-Explorer in einem anderen Kontext angezeigt wird, z. B. für den Einschluss- oder Ausschlussfilter einer Senke verwenden, müssen Sie die Abfrage und fügen Sie die Einschränkungen der Konjunktion hinzu. Weitere Informationen finden Sie in der Logging-Abfragesprache:
So erstellen Sie eine Senke:
Console
-
Rufen Sie in der Google Cloud Console die Seite Logrouter auf:
Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.
Wählen Sie das Google Cloud-Projekt aus, in dem die Logeinträge, die Sie die Route beginnen soll.
Wenn Sie z. B. Ihre Datenzugriffs-Logeinträge das Projekt namens
Project-A
in einen Log-Bucket im Projekt namensProject-B
und dannProject-A
aus.Wählen Sie Senke erstellen aus.
Geben Sie im Bereich Senkendetails die folgenden Details ein:
Senkenname: Geben Sie eine Kennzeichnung für die Senke an. Beachten Sie, dass Sie die Senke nach deren Erstellung nicht mehr umbenennen, aber löschen und eine neue erstellen können.
Senkenbeschreibung (optional): Beschreiben Sie den Zweck oder den Anwendungsfall für die Senke.
Wählen Sie im Bereich Senkenziel den Senkendienst aus und Ziel mithilfe des Menüs Senkendienst auswählen an. Führen Sie einen der Folgendes:
So leiten Sie Logeinträge an einen Dienst weiter, der sich im selben Google Cloud-Projekt eine der folgenden Optionen aus:
- Cloud Logging-Bucket: Wählen Sie einen Logging-Bucket aus oder erstellen Sie einen.
- BigQuery-Dataset: Wählen Sie das beschreibbare Dataset aus oder erstellen Sie es. Dataset zum Empfangen der weitergeleiteten Logeinträge. Sie haben auch die Möglichkeit, zu verwenden Partitionierte Tabellen.
- Cloud Storage-Bucket: Wählen Sie den gewünschten Bucket aus oder erstellen Sie ihn. Cloud Storage-Bucket zum Empfangen der weitergeleiteten Logeinträge.
- Pub/Sub-Thema: Wählen oder erstellen Sie das spezifische Thema, um die weitergeleiteten Logeinträge zu empfangen.
- Splunk: Wählen Sie das Pub/Sub-Thema für den Splunk-Dienst aus.
So leiten Sie Logeinträge an ein anderes Google Cloud-Projekt weiter: Wählen Sie Google Cloud-Projekt aus und geben Sie den voll qualifizierten Namen ein für das Ziel. Informationen zur Syntax finden Sie in der Zielpfadformate:
So leiten Sie Logeinträge an einen Dienst weiter, der sich in einem anderen Google Cloud-Projekt:
- Wählen Sie Andere Ressource aus.
- Geben Sie den voll qualifizierten Namen für das Ziel ein. Weitere Informationen zur Syntax finden Sie in der Zielpfadformate:
Geben Sie die einzuschließenden Logeinträge an:
Wechseln Sie zum Bereich Logs auswählen, die in die Senke aufgenommen werden sollen.
Geben Sie im Feld Einschlussfilter erstellen einen Filterausdruck ein. das mit den Logeinträgen übereinstimmt, die Sie aufnehmen möchten. Weitere Informationen über der Syntax zum Schreiben von Filtern, siehe Logging-Abfragesprache:
Wenn Sie keinen Filter festlegen, werden alle Logeinträge aus der ausgewählten Ressource an das Ziel weitergeleitet werden.
Um beispielsweise alle Datenzugriffslogeinträge an einen Logging-Bucket können Sie den folgenden Filter verwenden:
log_id("cloudaudit.googleapis.com/data_access") OR log_id("externalaudit.googleapis.com/data_access")
Die Länge eines Filters darf 20.000 Zeichen nicht überschreiten.
Wählen Sie Vorschau von Logs aus, um zu prüfen, ob Sie den richtigen Filter eingegeben haben. Der Log-Explorer wird in einem neuen Tab mit dem Filter geöffnet vorausgefüllt.
(Optional) Konfigurieren Sie einen Ausschlussfilter, um einige der eingeschlossene Logeinträge:
Wechseln Sie zum Bereich Logs auswählen, die aus der Senke herausgefiltert werden sollen.
Geben Sie in das Feld Name des Ausschlussfilters einen Namen ein.
Geben Sie im Abschnitt Ausschlussfilter erstellen einen Filterausdruck ein, der den Logeinträgen entspricht, die Sie ausschließen möchten. Mit der Funktion
sample
können Sie auch einen Teil der Logeinträge auswählen, die ausgeschlossen werden sollen.
Sie können bis zu 50 Ausschlussfilter pro Senke erstellen. Beachten Sie, dass ein Filter nicht länger als 20.000 Zeichen sein darf.
Wählen Sie Senke erstellen aus.
Gewähren Sie dem Dienstkonto für die Senke die Berechtigung zum Schreiben von Logeinträgen bis zum Ziel der Senke. Weitere Informationen finden Sie unter Legen Sie Zielberechtigungen fest.
API
Verwenden Sie zum Erstellen einer Logging-Senke in Ihrem Google Cloud-Projekt
projects.sinks.create
in der Logging API ImLogSink
-Objekt enthält, geben Sie in der Methodenanfrage die entsprechenden erforderlichen Werte an. Text:name
: Geben Sie eine Kennzeichnung für die Senke an. Beachten Sie, dass Sie die Senke nach deren Erstellung nicht mehr umbenennen, jedoch löschen können. Sie können auch eine neue Senke erstellen.destination
: Der Dienst und das Ziel, zu der Ihre Logeinträge weitergeleitet. So leiten Sie Logeinträge an ein anderes Projekt weiter: oder zu einem Ziel führen, sich in einem anderen Projekt befindet, legen Sie das Felddestination
mit der entsprechenden Pfad, wie in den Zielpfadformate:Wenn das Senkenziel beispielsweise ein Pub/Sub- Thema hat, sieht der
destination
so aus:pubsub.googleapis.com/projects/PROJECT_ID/topics/TOPIC_ID
Geben Sie im
LogSink
-Objekt den entsprechenden optionalen Informationen:filter
: Legen Siefilter
fest. entsprechend den Logeinträgen, die Sie in die Senke aufnehmen möchten. Wenn Wenn Sie keinen Filter festlegen, werden alle Logeinträge aus Ihrer Google Cloud-Projekte sind an das Ziel weitergeleitet. Beachten Sie, dass ein Filter nicht länger als 20.000 Zeichen sein darf.exclusions
: Legen Sie für dieses Feld die gewünschten Logeinträge fest. um sie aus der Senke auszuschließen. Mit der Funktionsample
können Sie auch einen Teil der Logeinträge auswählen, die ausgeschlossen werden sollen. Sie können bis zu 50 Ausschlussfilter pro Senke erstellen.description
: Legen Sie dieses Feld fest, um den Zweck oder Anwendungsfall für in die Spüle.
Rufen Sie
projects.sinks.create
auf, um die Senke zu erstellen.Wenn die API-Antwort einen JSON-Schlüssel mit dem Label
"writerIdentity"
enthält, Erteilen Sie dann dem Dienstkonto der Senke die Berechtigung, das Senkenziel. Weitere Informationen Weitere Informationen finden Sie unter Zielberechtigungen festlegen.Sie müssen keine Zielberechtigungen festlegen, wenn die API-Antwort enthält keinen JSON-Schlüssel mit dem Label
"writerIdentity"
.
Weitere Informationen zum Erstellen von Senken mithilfe der
Logging API finden Sie in der Referenz zu LogSink
.
gcloud
So erstellen Sie eine Senke:
Führen Sie dazu den Befehl
gcloud logging sinks create
aus.gcloud logging sinks create SINK_NAME SINK_DESTINATION
Bevor Sie den Befehl ausführen, ersetzen Sie die folgenden Werte:
- SINK_NAME: Der Name der Logsenke. Der Name einer Senke kann nach dem Erstellen nicht mehr geändert werden.
SINK_DESTINATION: Der Dienst oder das Projekt, an das die Logeinträge weitergeleitet werden sollen. SINK_DESTINATION festlegen durch den entsprechenden Pfad, wie in Zielpfadformate:
Wenn das Senkenziel beispielsweise ein Pub/Sub- Thema, dann sieht SINK_DESTINATION so aus:
pubsub.googleapis.com/projects/PROJECT_ID/topics/TOPIC_ID
Sie können auch die folgenden Optionen angeben:
--log-filter
: Mit dieser Option legen Sie einen Wert fest, Filter, der mit den Logeinträgen übereinstimmt, die Sie in Ihre Senke aufnehmen möchten. Wenn Sie keinen Wert für den Einschlussfilter an, dann stimmt mit allen Logeinträgen überein.--exclusion
: Verwenden Sie diese Option, um einen Ausschlussfilter für Logeinträge, die die Senke vom Routing ausschließen soll. Mit der Funktionsample
können Sie auch einen Teil der Logeinträge auswählen, die ausgeschlossen werden sollen. Diese Option kann wiederholt werden; können Sie bis zu 50 Ausschlussfilter pro Senke.--description
: Verwenden Sie diese Option, um den Zweck oder Anwendungsfall zu beschreiben. für die Spüle.
Wenn Sie beispielsweise eine Senke in einem Logging-Bucket erstellen möchten, könnte der Befehl so aussehen:
gcloud logging sinks create my-sink logging.googleapis.com/projects/myproject123/locations/global/buckets/my-bucket \ --log-filter='logName="projects/myproject123/logs/matched"' --description="My first sink"
Weitere Informationen zum Erstellen von Senken mithilfe der Google Cloud CLI, siehe die Referenz zu
gcloud logging sinks
.Wenn die Befehlsantwort einen JSON-Schlüssel mit dem Label
"writerIdentity"
enthält, Erteilen Sie dann dem Dienstkonto der Senke die Berechtigung, das Senkenziel. Weitere Informationen Weitere Informationen finden Sie unter Zielberechtigungen festlegen.Sie müssen keine Zielberechtigungen festlegen, enthält keinen JSON-Schlüssel mit dem Label
"writerIdentity"
.
Wenn Sie Fehlerbenachrichtigungen erhalten, lesen Sie Fehlerbehebung bei Routing und Senken
Zielpfadformate
Wenn Sie Logeinträge an einen Dienst weiterleiten, der sich in einem anderen Projekt befindet, müssen Sie Stellen Sie der Senke den vollständig qualifizierten Namen für den Dienst bereit. In ähnlicher Weise Wenn Sie Logeinträge an ein anderes Google Cloud-Projekt weiterleiten, müssen Sie Geben Sie für die Senke den vollständig qualifizierten Namen des Zielprojekts an:
Cloud Logging-Log-Bucket:
logging.googleapis.com/projects/DESTINATION_PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME
Anderes Google Cloud-Projekt:
logging.googleapis.com/projects/DESTINATION_PROJECT_ID
BigQuery-Dataset:
bigquery.googleapis.com/projects/PROJECT_ID/datasets/DATASET_ID
Cloud Storage:
storage.googleapis.com/BUCKET_NAME
Pub/Sub-Thema:
pubsub.googleapis.com/projects/PROJECT_ID/topics/TOPIC_ID
Senken verwalten
Nachdem die Senken erstellt wurden, können Sie dafür die folgenden Aktionen ausführen. Es kann einige Minuten dauern, bis alle an einer Senke vorgenommenen Änderungen wirksam werden:
- Details ansehen
- Aktualisieren
Deaktivieren
- Sie können die Senke
_Required
nicht deaktivieren. - Sie können die Senke
_Default
deaktivieren, um das Routing von Logeinträgen an Logging-Bucket_Default
- Wenn Sie die Senke
_Default
für neue Google Cloud-Projekte oder -Ordner, die in Ihrer Organisation erstellt wurden, sollten Sie erwägen, Standard-Ressourceneinstellungen.
- Sie können die Senke
Löschen
- Die Senken
_Default
und_Required
können nicht gelöscht werden. - Wenn Sie eine Senke löschen, werden keine Logeinträge mehr weitergeleitet.
- Hat die Senke ein dediziertes Dienstkonto, wird diese Senke auch gelöscht Das Dienstkonto wird gelöscht. Senken erstellt vor dem Ab dem 22. Mai 2023 gibt es dedizierte Dienstkonten. Senken erstellt ab dem 22. Mai 2023 ein gemeinsames Dienstkonto haben. Durch das Löschen der Senke wird das freigegebene Dienstkonto nicht gelöscht.
- Die Senken
Fehler beheben
- Logvolumen und Fehlerraten ansehen
Nachfolgend finden Sie eine Anleitung zum Verwalten einer Senke in einem Google Cloud-Projekt. Anstelle eines Google Cloud-Projekts können Sie ein Rechnungskonto angeben, Ordner oder Organisation:
Console
-
Rufen Sie in der Google Cloud Console die Seite Logrouter auf:
Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.
Wählen Sie in der Symbolleiste die Ressource aus, die Ihre Senke enthält. Die Ressource kann ein Projekt, ein Ordner, eine Organisation oder ein Rechnungskonto sein.
Auf der Seite Logrouter werden die Senken in der ausgewählten Ressource angezeigt. Jede Tabellenzeile enthält Informationen zu den Attributen einer Senke:
- Aktiviert: Gibt an, ob der Status der Senke aktiviert oder deaktiviert ist.
- Typ: Der Zieldienst der Senke, beispielsweise
Cloud Logging bucket
. - Name: Die Senken-ID, die beim Erstellen der Senke angegeben wurde.
Beispiel:
_Default
. - Beschreibung: Die Beschreibung der Senke, wie sie beim Erstellen der Senke angegeben wurde.
- Ziel: Vollständiger Name des Ziels, an das das weitergeleitete Log weitergeleitet wird. Einträge gesendet werden.
- Erstellt: Datum und Uhrzeit der Erstellung der Senke.
- Zuletzt aktualisiert: Datum und Uhrzeit der letzten Bearbeitung der Senke.
Für jede Tabellenzeile das Menü more_vert Weitere Aktionen bietet folgende Optionen:
- Senkendetails ansehen: Hier werden Name, Beschreibung und Zieldienst, Ziel sowie Ein- und Ausschlussfilter. Wenn Sie Bearbeiten auswählen, wird der Bereich Senke bearbeiten geöffnet.
- Senke bearbeiten: Öffnet das Fenster Senke bearbeiten, in dem Sie die Parameter der Senke aktualisieren können.
- Senke deaktivieren: Hiermit können Sie die Senke deaktivieren und das Routing von Logeinträgen beenden. zu den das Ziel der Senke. Weitere Informationen zum Deaktivieren von Senken finden Sie unter Speichern von Logs in Log-Buckets beenden
- Senke aktivieren: Ermöglicht das Aktivieren einer deaktivierten Senke und das Neustarten des Routings. Logeinträge zum Ziel der Senke.
- Senke löschen: Ermöglicht das Löschen der Senke und das Beenden der Weiterleitung von Logeinträgen an Ziel der Senke.
- Fehlerbehebung bei Senken: Öffnet den Log-Explorer, in dem Sie Fehler beheben können mit der Senke.
- Volumen und Fehlerraten des Senkenlogs ansehen: Metrics Explorer wird geöffnet Hier können Sie Daten aus der Senke ansehen und analysieren.
Wählen Sie den Spaltennamen aus, um die Tabelle nach einer Spalte zu sortieren.
API
Rufen Sie zum Anzeigen der Senken für Ihr Google Cloud-Projekt den folgenden Befehl auf:
projects.sinks.list
Rufen Sie
projects.sinks.get
auf, um die Details einer Senke aufzurufen.Rufen Sie zum Aktualisieren einer Senke Folgendes auf:
projects.sink.update
Sie können das Ziel, die Filter und die Beschreibung einer Senke aktualisieren. Sie können auch die Senke deaktivieren oder wieder aktivieren.
Um eine Senke zu deaktivieren, Legen Sie das Feld
disabled
im ObjektLogSink
auftrue
fest und Rufen Sieprojects.sink.update
auf.Um die Senke wieder zu aktivieren, Legen Sie das Feld
disabled
im ObjektLogSink
auffalse
fest und Rufen Sieprojects.sink.update
auf.Rufen Sie zum Löschen einer Senke Folgendes auf:
projects.sinks.delete
Weitere Informationen zum Verwalten von Senken mithilfe der Logging API finden Sie in der Referenz zu
LogSink
.
gcloud
Um die Liste der Senken für Ihr Google Cloud-Projekt aufzurufen, verwenden Sie den
gcloud logging sinks list
, der der Logging API-Methode entsprichtprojects.sinks.list
:gcloud logging sinks list
So rufen Sie eine Liste Ihrer aggregierten Senken verwendet werden, Option zur Angabe der Ressource, die die Senke enthält. Für Wenn Sie die Senke beispielsweise auf Organisationsebene erstellt haben, verwenden Sie die Methode
--organization=ORGANIZATION_ID
-Option zum Auflisten der Senken für das Unternehmen.Verwenden Sie zum Beschreiben einer Senke den Befehl
gcloud logging sinks describe
, der der Logging API-Methodeprojects.sinks.get
entspricht:gcloud logging sinks describe SINK_NAME
Verwenden Sie zum Aktualisieren einer Senke die Methode
gcloud logging sinks update
, der der API-Methode entspricht,projects.sink.update
Sie können eine Senke aktualisieren, um Ziel, Filter und oder um die Senke zu deaktivieren bzw. wieder zu aktivieren:
gcloud logging sinks update SINK_NAME NEW_DESTINATION --log-filter=NEW_FILTER
Lassen Sie NEW_DESTINATION oder
--log-filter
weg, wenn diese Teile nicht ändern.Wenn Sie beispielsweise das Ziel der Senke mit dem Namen
my-project-sink
auf ein neues Cloud Storage-Bucket-Ziel mit dem Namenmy-second-gcs-bucket
aktualisieren möchten, sieht der Befehl so aus:gcloud logging sinks update my-project-sink storage.googleapis.com/my-second-gcs-bucket
Verwenden Sie zum Deaktivieren einer Senke die Methode
gcloud logging sinks update
, der der API-Methode entspricht,projects.sink.update
und fügen Sie die Option--disabled
ein:gcloud logging sinks update SINK_NAME --disabled
Verwenden Sie zum Reaktivieren der Senke die
gcloud logging sinks update
entfernen Sie die Option--disabled
und fügen Sie den--no-disabled
Option:gcloud logging sinks update SINK_NAME --no-disabled
Verwenden Sie zum Löschen einer Senke die Methode
gcloud logging sinks delete
, der der API-Methode entspricht,projects.sinks.delete
:gcloud logging sinks delete SINK_NAME
Weitere Informationen zum Verwalten von Senken mithilfe der Google Cloud CLI, siehe die Referenz zu
gcloud logging sinks
.
Speichern von Logeinträgen in Log-Buckets beenden
Sie können die Senke _Default
und alle benutzerdefinierten Senken deaktivieren. Wenn Sie
eine Senke deaktivieren, leitet die Senke Logeinträge nicht mehr an ihr Ziel weiter.
Wenn Sie beispielsweise die Senke _Default
deaktivieren, werden keine Logeinträge
an den _Default
-Bucket weitergeleitet. Die
_Default
Bucket wird leer, wenn alle zuvor gespeicherten Logeinträge vorhanden sind
die für den Bucket
Aufbewahrungsdauer.
Die folgende Anleitung zeigt, wie Sie
deaktivieren Sie die Senken Ihres Google Cloud-Projekts, die Logeinträge an den
_Default
Log-Buckets:
Console
-
Rufen Sie in der Google Cloud Console die Seite Logrouter auf:
Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.
- So finden Sie alle Senken, die Logeinträge an den Log-Bucket
_Default
weiterleiten: filtern Sie die Senken nach Ziel und geben Sie dann_Default
ein. Wählen Sie für jede Senke more_vert Menü und Wählen Sie dann Senke deaktivieren aus.
Die Senken sind jetzt deaktiviert und die Senken Ihres Google Cloud-Projekts längere Logeinträge an den Bucket
_Default
weiterleiten.
Um eine deaktivierte Senke wieder zu aktivieren und das Routing von Logeinträgen an die Ziel, gehen Sie so vor:
-
Rufen Sie in der Google Cloud Console die Seite Logrouter auf:
Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.
- So finden Sie alle Senken, die Logeinträge an den Log-Bucket
_Default
weiterleiten: filtern Sie die Senken nach Ziel und geben Sie dann_Default
ein. - Wählen Sie für jede Senke more_vert Menü und Wählen Sie dann Senke aktivieren aus.
API
Rufen Sie zum Anzeigen der Senken für Ihr Google Cloud-Projekt die Methode Logging API-Methode
projects.sinks.list
Identifizieren Sie alle Senken, die an den
_Default
-Bucket weiterleiten.So deaktivieren Sie beispielsweise die Senke
_Default
: Legen Sie das Felddisabled
im ObjektLogSink
auftrue
fest undprojects.sink.update
aufrufen.Die Senke
_Default
ist jetzt deaktiviert. werden Logeinträge nicht mehr an Bucket_Default
Um die anderen Senken in Ihrem Google Cloud-Projekt zu deaktivieren, die das Routing ausführen
in den Bucket _Default
einfügen, wiederholen Sie die vorherigen Schritte.
Um eine Senke wieder zu aktivieren,
Legen Sie das Feld disabled
im Objekt LogSink
auf false
fest und
Rufen Sie projects.sink.update
auf.
gcloud
Um die Liste der Senken für Ihr Google Cloud-Projekt aufzurufen, verwenden Sie den
gcloud logging sinks list
, der der Logging API-Methode entsprichtprojects.sinks.list
:gcloud logging sinks list
Identifizieren Sie alle Senken, die an den Log-Bucket
_Default
weiterleiten. Um eine Senke zu beschreiben und den Zielnamen anzuzeigen, verwenden Sie die Methodegcloud logging sinks describe
, der der Logging API-Methode entsprichtprojects.sinks.get
:gcloud logging sinks describe SINK_NAME
Führen Sie den
gcloud logging sinks update
und fügen Sie die Option--disabled
ein. Um beispielsweise den_Default
-Senke verwenden, führen Sie den folgenden Befehl aus:gcloud logging sinks update _Default --disabled
Die Senke
_Default
ist jetzt deaktiviert. werden Logeinträge nicht mehr an Log-Bucket_Default
Um die anderen Senken in Ihrem Google Cloud-Projekt zu deaktivieren, die das Routing ausführen
in den Bucket _Default
einfügen, wiederholen Sie die vorherigen Schritte.
Um eine Senke wieder zu aktivieren, verwenden Sie den
gcloud logging sinks update
entfernen Sie die Option --disabled
und fügen Sie den --no-disabled
Option:
gcloud logging sinks update _Default --no-disabled
Zielberechtigungen festlegen
In diesem Abschnitt wird beschrieben, wie Sie Logging Berechtigungen zu Identity and Access Management, um Logeinträge in das Senkenziel zu schreiben. Eine vollständige Liste der Logging-Rollen und -Berechtigungen finden Sie Siehe Zugriffssteuerung.
Cloud Logging erstellt ein freigegebenes Dienstkonto für eine Ressource, wenn ein Senke erstellt, sofern das erforderliche Dienstkonto nicht bereits vorhanden ist. Das Dienstkonto ist möglicherweise vorhanden, da dasselbe Dienstkonto für alle Senken in der zugrunde liegenden Ressource. Ressourcen können Google Cloud-Projekte, eine Organisation, einen Ordner oder ein Rechnungskonto.
Die Identität des Autors einer Senke ist die Kennung des Dienstes
das mit der Senke verknüpft ist. Alle Senken haben eine Autorenidentität, mit Ausnahme von
Senken, die in einen Log-Bucket im selben Google Cloud-Projekt schreiben, in dem
den Ursprung des Logeintrags. Für die letztere Konfiguration ist ein Dienstkonto
ist nicht erforderlich. Daher ist das Feld Identität des Autors der Senke angegeben.
in der Konsole als None
aufgeführt. Die
API- und Google Cloud CLI-Befehle melden keine Autorenidentität.
Die folgende Anleitung gilt für Projekte, Ordner, Organisationen und Rechnungskonten:
Console
<ph type="x-smartling-placeholder">- </ph>
Sie benötigen die Rolle Inhaber für das Google Cloud-Projekt, das das Ziel enthält. Wenn Sie nicht die Rolle Inhaber für das Ziel der Senke haben, bitten Sie einen Projektinhaber, die Identität des Autors als Prinzipal hinzuzufügen.
Um die Identität des Autors der Senke (eine E-Mail-Adresse) vom neue Senke:
-
Rufen Sie in der Google Cloud Console die Seite Logrouter auf:
Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.
- Wählen Sie in der Symbolleiste das Projekt aus, das die Senke enthält.
- Wählen Sie more_vert Menü und dann Senken Sie Details aufrufen. Die Identität des Autors erscheint in der Bereich Senkendetails:
-
Wenn der Wert des Felds
writerIdentity
eine E-Mail-Adresse enthält, und fahren Sie dann mit dem nächsten Schritt fort. Wenn der WertNone
ist, Sie müssen keine Zielberechtigungen für die Senke konfigurieren.Kopieren Sie die Autorenidentität der Senke in die Zwischenablage.
Wenn das Ziel ein Dienst in einem anderen Projekt ist ein anderes Projekt und wählen Sie in der Symbolleiste das Zielprojekt aus.
Fügen Sie das Dienstkonto als IAM-Hauptkonto in der Zielprojekt:
-
Öffnen Sie in der Google Cloud Console die Seite IAM:
Rufen Sie IAM auf.
Wenn Sie diese Seite über die Suchleiste finden, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift IAM und Verwaltung.
Wählen Sie das Zielprojekt aus.
Klicken Sie auf
Zugriff erlauben.Gewähren Sie dem Dienstkonto die erforderliche IAM-Rolle:
- Fügen Sie für Cloud Storage-Ziele die Identität des Autors der Senke hinzu.
mithilfe von IAM als Hauptkonto festlegen und ihm dann die
Rolle „Storage Object Creator“
(
roles/storage.objectCreator
) - Fügen Sie für BigQuery-Ziele die Identität des Autors der Senke hinzu.
mithilfe von IAM als Hauptkonto festlegen und ihm dann die
Rolle „BigQuery-Datenbearbeiter“
(
roles/bigquery.dataEditor
) - Fügen Sie für Pub/Sub-Ziele, einschließlich Splunk, die Identität des Autors der Senke hinzu.
mithilfe von IAM als Hauptkonto festlegen und ihm dann die
Rolle „Pub/Sub-Publisher“
(
roles/pubsub.publisher
) - Für Logging-Bucket-Ziele in verschiedenen
Google Cloud-Projekte hinzufügen, fügen Sie die Identität des Autors der Senke als Hauptkonto hinzu.
und gewähren Sie dann die
Rolle „Log-Bucket-Autor“
(
roles/logging.bucketWriter
) - Fügen Sie für Google Cloud-Projektziele den Wert der Senke hinzu.
Identität des Autors mithilfe von IAM als Hauptkonto festlegen und ihm dann den
Rolle „Logautor“
(
roles/logging.logWriter
) Insbesondere benötigt ein Auftraggeber Berechtigung „logging.logEntries.route
“.
- Fügen Sie für Cloud Storage-Ziele die Identität des Autors der Senke hinzu.
mithilfe von IAM als Hauptkonto festlegen und ihm dann die
Rolle „Storage Object Creator“
(
-
API
Wir empfehlen die Verwendung der Google Cloud Console oder der Google Cloud CLI um dem Dienstkonto eine Rolle zuzuweisen.
gcloud
Sie benötigen die Rolle Inhaber für das Google Cloud-Projekt, das das Ziel enthält. Wenn Sie nicht die Rolle Inhaber für das Ziel der Senke haben, bitten Sie einen Projektinhaber, die Identität des Autors als Prinzipal hinzuzufügen.
Rufen Sie das Dienstkonto aus dem Feld
writerIdentity
der Senke ab:gcloud logging sinks describe SINK_NAME
Suchen Sie die Senke, deren Berechtigungen Sie ändern möchten, und ob die Senke Details eine Zeile mit
writerIdentity
enthalten, dann fahre fort mit dem nächsten Schritt fortfahren. Wenn die Details keinwriterIdentity
enthalten müssen Sie keine Zielberechtigungen für in die Spüle.Die Identität des Autors für das Dienstkonto sieht in etwa so aus: Folgendes:
serviceAccount:service-123456789012@gcp-sa-logging.iam.gserviceaccount.com
Fügen Sie das Dienstkonto als IAM-Hauptkonto in der Zielprojekt:
Bevor Sie den folgenden Befehl verwenden, ersetzen Sie die folgenden Werte:
- PROJECT_ID: Die Kennung des Projekts.
- PRINCIPAL: Eine Kennung für das Hauptkonto, das Sie ausführen möchten
dem die Rolle zugewiesen wird. Haupt-IDs haben in der Regel das folgende Format:
PRINCIPAL-TYPE:ID
Beispiel:user:my-user@example.com
Eine vollständige Liste der Formate, diePRINCIPAL
haben kann, Siehe Haupt-IDs. ROLE: Eine IAM-Rolle.
- Fügen Sie für Cloud Storage-Ziele die Identität des Autors der Senke hinzu.
mithilfe von IAM als Hauptkonto festlegen und ihm dann die
Rolle „Storage Object Creator“
(
roles/storage.objectCreator
) - Fügen Sie für BigQuery-Ziele die Identität des Autors der Senke hinzu.
mithilfe von IAM als Hauptkonto festlegen und ihm dann die
Rolle „BigQuery-Datenbearbeiter“
(
roles/bigquery.dataEditor
) - Fügen Sie für Pub/Sub-Ziele, einschließlich Splunk, die Identität des Autors der Senke hinzu.
mithilfe von IAM als Hauptkonto festlegen und ihm dann die
Rolle „Pub/Sub-Publisher“
(
roles/pubsub.publisher
) - Für Logging-Bucket-Ziele in verschiedenen
Google Cloud-Projekte hinzufügen, fügen Sie die Identität des Autors der Senke als Hauptkonto hinzu.
und gewähren Sie dann die
Rolle „Log-Bucket-Autor“
(
roles/logging.bucketWriter
) - Fügen Sie für Google Cloud-Projektziele den Wert der Senke hinzu.
Identität des Autors mithilfe von IAM als Hauptkonto festlegen und ihr dann den
Rolle „Logautor“
(
roles/logging.logWriter
) Insbesondere benötigt ein Auftraggeber Berechtigung „logging.logEntries.route
“.
- Fügen Sie für Cloud Storage-Ziele die Identität des Autors der Senke hinzu.
mithilfe von IAM als Hauptkonto festlegen und ihm dann die
Rolle „Storage Object Creator“
(
Führen Sie den
gcloud projects add-iam-policy-binding
Befehl:gcloud projects add-iam-policy-binding PROJECT_ID --member=PRINCIPAL --role=ROLE
Zieleinschränkungen
In diesem Abschnitt werden zielspezifische Einschränkungen beschrieben:
- Wenn Sie Logeinträge an einen Log-Bucket in einem anderen Google Cloud-Projekt weiterleiten, werden diese Logeinträge von Error Reporting nicht analysiert. Weitere Informationen finden Sie in der Übersicht zu Error Reporting.
- Wenn Sie Logeinträge an BigQuery weiterleiten, Für das BigQuery-Dataset muss Schreibzugriff aktiviert sein. Du kannst keine Route berechnen Logeinträge zu verknüpften Datasets, die schreibgeschützt sind.
Wenn Sie Logeinträge an andere Google Cloud-Projekte:
Es gibt ein Limit für einen Hop.
Wenn Sie z. B. Logeinträge von einem Projekt
A
an ProjektB
, dann können Sie die Logeinträge nicht von ProjektB
in ein anderes Projekt verschieben.Audit-Logs werden nicht an den Log-Bucket
_Required
im Ziel weitergeleitet Projekt arbeiten.Wenn Sie beispielsweise Logeinträge vom Projekt
A
an ProjektB
enthält, enthält der Log-Bucket_Required
im ProjektA
die Audit-Logs für das ProjektA
Die Audit-Logs für das ProjektA
sind nicht an ProjektB
weitergeleitet. Um diese Logeinträge weiterzuleiten, erstellen Sie eine Senke, deren Ziel ist ein Log-Bucket.Wenn sich das Zielprojekt in einem anderen Ordner oder einer anderen Organisation befindet, werden die aggregierten Senken in diesem Ordner oder dieser Organisation um den Logeintrag weiterzuleiten.
Angenommen, das Projekt
A
befindet sich im OrdnerX
. Wenn ein Logeintrag aus ProjektA
stammt, wird der Logeintrag vom Aggregierte Senken im OrdnerX
und die Senken im ProjektA
. Jetzt Angenommen, das ProjektA
enthält eine Senke, die ihre Logeinträge an ProjektB
, das sich im OrdnerY
befindet. Die Logeinträge aus dem ProjektA
die Senken im ProjektB
durchlaufen; aber sie passieren nicht die aggregierten Senken im OrdnerY
.
So können Sie mit dem Log-Explorer die Logeinträge ansehen, die über Verwenden Sie eine aggregierte Senke, legen Sie für das Feld Bereich verfeinern den Speicherbereich fest. und wählen Sie dann eine Logansicht aus, die Zugriff auf diese Logeinträge bietet.
Codebeispiele
Informationen zum Verwenden von Clientbibliothekscode zum Konfigurieren von Senken in den von Ihnen ausgewählten Sprachen finden Sie unter Logging-Clientbibliotheken: Logsenken.
Beispiele für Filter
Im Folgenden finden Sie einige Filterbeispiele, die beim Erstellen Waschbecken. Weitere Beispiele, die für die Umsetzung nützlich sein können, und Ausschlussfiltern, finden Sie Beispielabfragen:
_Default
-Senkenfilter wiederherstellen
Wenn Sie den Filter für die Senke _Default
bearbeitet haben, sollten Sie ihn wiederherstellen
Senke auf ihre ursprüngliche Konfiguration. Beim Erstellen der Senke _Default
wird
konfiguriert mit dem folgenden Einschlussfilter und einem leeren Ausschlussfilter:
NOT log_id("cloudaudit.googleapis.com/activity") AND NOT \
log_id("externalaudit.googleapis.com/activity") AND NOT \
log_id("cloudaudit.googleapis.com/system_event") AND NOT \
log_id("externalaudit.googleapis.com/system_event") AND NOT \
log_id("cloudaudit.googleapis.com/access_transparency") AND NOT \
log_id("externalaudit.googleapis.com/access_transparency")
Google Kubernetes Engine-Container- und -Pod-Logs ausschließen
Um Google Kubernetes Engine-Container- und Pod-Logeinträge für
GKE-System namespaces
, verwenden Sie folgenden Filter:
resource.type = ("k8s_container" OR "k8s_pod")
resource.labels.namespace_name = (
"cnrm-system" OR
"config-management-system" OR
"gatekeeper-system" OR
"gke-connect" OR
"gke-system" OR
"istio-system" OR
"knative-serving" OR
"monitoring-system" OR
"kube-system")
So schließen Sie Google Kubernetes Engine-Knotenlogeinträge für GKE aus
System logNames
, verwenden Sie folgenden Filter:
resource.type = "k8s_node"
logName:( "logs/container-runtime" OR
"logs/docker" OR
"logs/kube-container-runtime-monitor" OR
"logs/kube-logrotate" OR
"logs/kube-node-configuration" OR
"logs/kube-node-installation" OR
"logs/kubelet" OR
"logs/kubelet-monitor" OR
"logs/node-journal" OR
"logs/node-problem-detector")
Volume der Google Kubernetes Engine-Knoten-, Pod- und Containerlogeinträge aufrufen die in Log-Buckets gespeichert sind, verwenden Sie den Metrics Explorer:
- Volumen der Knotenlogeinträge ansehen
- Volumen der Pod-Logeinträge ansehen
- Volumen der Container-Logeinträge ansehen
Dataflow-Logs, die nicht für Unterstützung erforderlich sind, ausschließen
Um Dataflow-Logeinträge auszuschließen, die für supportability haben, verwenden Sie folgenden Filter:
resource.type="dataflow_step"
labels."dataflow.googleapis.com/log_type"!="system" AND labels."dataflow.googleapis.com/log_type"!="supportability"
Um das Volumen der in Log-Buckets gespeicherten Dataflow-Logs anzuzeigen, verwenden Sie Metrics Explorer.
Support
Mit Cloud Logging können Sie Logeinträge ausschließen und verhindern, in einem Log-Bucket gespeichert werden, sollten Sie erwägen, Logeinträge zu behalten, die die Unterstützung vereinfachen. Mithilfe dieser Logeinträge können Sie Probleme leichter beheben mit Ihren Anwendungen.
Beispielsweise sind GKE-Systemlogeinträge nützlich, Fehlerbehebung Ihre GKE-Anwendungen und -Cluster, die für Ereignisse in Ihrem Cluster generiert werden. Diese Logeinträge können Ihnen helfen, Ihren Anwendungscode oder die zugrunde liegende GKE Cluster verursacht den Anwendungsfehler. GKE-Systemlogs umfasst auch Kubernetes-Audit-Logging, das von der Kubernetes API Server-Komponente generiert wird. Dazu gehören Änderungen, die mit dem kubectl-Befehl und Kubernetes-Ereignissen vorgenommen wurden.
Für Dataflow sollten Sie mindestens Ihr System
Logs (labels."dataflow.googleapis.com/log_type"="system"
) und Supportfähigkeit
Protokolle (labels."dataflow.googleapis.com/log_type"="supportability"
) in
Log-Buckets. Diese Logs
sind unerlässlich, damit Entwickelnde ihre Dataflow beobachten und Fehler beheben können.
und Nutzer können die Dataflow-Bibliothek
Seite Jobdetails, um Joblogs aufzurufen.
Nächste Schritte
Wenn beim Weiterleiten von Logeinträgen mithilfe von Senken Probleme auftreten, lesen Sie Fehlerbehebung bei Routinglogs
Hier erfahren Sie, wie Sie Logeinträge in ihren Zielen aufrufen und sind die Logs formatiert und organisiert, siehe Logs in Senkenzielen ansehen
Weitere Informationen zum Abfragen und Filtern mit der Logging-Abfragesprache: siehe Logging-Abfragesprache: