ログスコープを作成、管理する

このドキュメントでは、ログスコープの作成と管理の方法について説明します。このスコープを使用すると、表示または分析するログエントリを効率的に見つけることができます。プロジェクト、フォルダ、または組織で発生したログエントリのみを表示して分析する場合は、このドキュメントは対象外です。ただし、ログシンクを使用してログを他のプロジェクトまたはユーザー定義のログバケットに転送する場合や、ログビューを使用する場合は、このドキュメントの情報が特定のログエントリを効率的に見つけるのに役立つ場合があります。

このドキュメントでは、ログを表示する方法については説明しません。このトピックの詳細については、ログ エクスプローラを使用してログを表示するをご覧ください。

ログスコープについて

ログスコープは、ログエントリ検索のためのリソースセットを一覧表示する永続的なプロジェクト レベルのリソースです。ログスコープには、プロジェクト、フォルダ、組織、ログビューを含めることができます。 たとえば、本番環境で使用されるリソースを含むプロジェクトを一覧表示するログスコープを定義できます。また、特定のリソースタイプのログエントリを含むログビューを一覧表示するログスコープを定義することもできます。

Google Cloud プロジェクト、フォルダ、または組織リソースを作成すると、Logging は _Default という名前のログスコープを作成します。このスコープには、作成されたプロジェクト、フォルダ、または組織が含まれます。 これらのリソースの検索結果には、リソースで発生し、その後ログバケットに保存されるログエントリが含まれます。 プロジェクトの場合、検索結果には、別のプロジェクトのシンクによってプロジェクトに転送され、その後ログバケットに保存されるログエントリも含まれます。

ログスコープを作成できます。作成したログスコープを編集、削除することもできます。ただし、_Default という名前のログスコープの編集や削除はできません。

プロジェクトの場合、デフォルトのログスコープにより、[ログ エクスプローラ] ページが開かれたときに検索されるリソースのセットが決まります。ただし、ストレージからフェッチされるログエントリは、検索対象リソースの Identity and Access Management(IAM)ロールと期間設定によって決まります。 プロジェクトが作成されると、_Default という名前のログスコープがデフォルトのログスコープとして指定されます。どのログスコープをデフォルトにするか設定できます。

おすすめの方法

ログスコープを使用すると、構成を定義して保存し、後で使用できるため、複雑な検索構成にはログスコープを作成することをおすすめします。

たとえば、問題のトラブルシューティングをしており、チームが所有するすべての仮想マシン(VM)インスタンスのログエントリを表示したいとします。このタスクを実行するには、次の操作を行います。

  1. 表示するログエントリが複数のログバケットと複数のプロジェクトに保存されていることがわかりました。ほとんどのログバケットでは、分析するログエントリを含むログビューが存在します。ログビューが存在しない場合は、作成できます。

  2. 今後同様のトラブルシューティング タスクが発生すると予想されるため、ログスコープを作成することにします。

  3. Google Cloud コンソールで [ログ エクスプローラ] ページを開き、[範囲を絞り込む] メニューを使用して新しいログスコープを選択します。

  4. ログエントリを確認し、調査していた問題の解決に必要な情報を探します。

  5. 問題を解決したら、障害の原因を同僚と共有します。また、今後同様の障害が発生することが予想されるため、障害を調査するユーザーが関連するログエントリをすばやく見つけられるようにログスコープを作成しました。

制限事項

  • _Default という名前のログスコープを削除または変更することはできません。
  • デフォルトのログスコープをサポートするのは Google Cloud プロジェクトのみです。
  • ユーザー定義のログスコープにフォルダや組織を追加することはできません。
  • ログスコープの作成や管理には、Cloud Logging API または Google Cloud CLI はサポートされていません。

始める前に

ログスコープの作成と表示、デフォルトのログスコープの設定に必要な権限を取得するには、次の IAM ロールを付与するよう管理者に依頼してください。

  • ログスコープを作成して表示するには: プロジェクト、フォルダ、組織に対するログ構成書き込みroles/logging.configWriter
  • デフォルトのログスコープを設定するには: プロジェクト、フォルダ、または組織に対するオブザーバビリティ エディタroles/observability.editor

ロールの付与の詳細については、アクセス権の管理をご覧ください。

これらの事前定義ロールには、ログスコープの作成と表示、デフォルトのログスコープの設定に必要な権限が含まれています。必要とされる正確な権限については、「必要な権限」セクションを開いてご確認ください。

必要な権限

ログスコープを作成、表示し、デフォルトのログスコープを設定するには、次の権限が必要です。

  • デフォルトのログスコープを設定するには: observability.scopes.[get, update]
  • ログスコープを作成、管理するには: logging.logScopes.[create, delete, get, list, update]

カスタムロールや他の事前定義ロールを使用して、これらの権限を取得することもできます。

ログスコープを一覧表示する

ログスコープを一覧表示するには、次の操作を行います。

  1. Google Cloud コンソールで、[設定] ページに移動します。

    [設定] に移動

    検索バーを使用してこのページを検索する場合は、小見出しが [Monitoring] である結果を選択します。

  2. [ログスコープ] タブを選択します。

    表にログスコープが一覧表示されます。 Google Cloud プロジェクトを選択すると、表内の 1 つのエントリに Default ラベル付きのアイコンが表示されます。これは、そのページが開いたときにログ エクスプローラによって検索されるリソースが、このログスコープに一覧表示されることを示します。

デフォルトのログスコープを設定する

デフォルトのログスコープには、[ログ エクスプローラ] ページでページを開いたときに検索されるリソースが一覧表示されます。デフォルトのログスコープが存在しないか、アクセスできない場合は、選択したプロジェクト、フォルダ、または組織から発生したログエントリが自動的に検索されます。[ログ エクスプローラ] ページに表示されるログエントリは、検索されたリソース、期間の設定、検索されたリソースに対する IAM ロールによって異なります。

プロジェクトが作成されると、_Default という名前のログスコープが作成され、デフォルトのログスコープとして指定されます。ただし、独自のログスコープを作成し、デフォルトのログスコープとして指定できます。

デフォルトのログスコープを設定する手順は次のとおりです。

  1. Google Cloud コンソールで、[設定] ページに移動します。

    [設定] に移動

    検索バーを使用してこのページを検索する場合は、小見出しが [Monitoring] である結果を選択します。

  2. [ログスコープ] タブを選択します。
  3. デフォルトのログスコープとして指定するログスコープを見つけて、 [その他] をクリックし、[デフォルトとして設定] を選択します。

    選択したログスコープには、Default ラベル付きのアイコンが表示されます。

ログスコープを作成する

プロジェクトごとに作成できるログスコープは 100 個です。 ログスコープには、合計 100 個のログビューとプロジェクトを含めることができます。ただし、含めることができるプロジェクトは 50 個までです。ログスコープにフォルダや組織を追加することはできません。

ログスコープを作成するには、次の操作を行います。

  1. Google Cloud コンソールで、[設定] ページに移動します。

    [設定] に移動

    検索バーを使用してこのページを検索する場合は、小見出しが [Monitoring] である結果を選択します。

  2. [ログスコープ] タブを選択してから、[ログスコープを作成] をクリックします。
  3. 1 つ以上のプロジェクトを追加するには、[プロジェクトを追加] をクリックして、ダイアログを完了します。

    プロジェクトを追加すると、そのプロジェクトに対する IAM ロールによって、表示できるログエントリが決まります。たとえば、IAM ロールによって、ログバケットの特定のログビューからアクセス可能なログエントリのみを表示できる場合があります。ロールの詳細については、Logging のロールをご覧ください。

  4. 1 つ以上のログビューを追加するには、[ログビューを追加] をクリックしてダイアログを完了します。

    ダイアログには、現在のプロジェクトに由来するログエントリ、または別のプロジェクトのシンクによって現在のプロジェクトに転送されたログエントリを含むすべてのログビューが一覧表示されます。たとえば、シンクを構成していない場合、このダイアログには、現在のプロジェクトのログビューが一覧表示されます。

    別の Google Cloud プロジェクトに保存されているログビューを一覧表示するには、 [プロジェクトをインポート] をクリックしてから、Google Cloud プロジェクトを選択します。

    ログビューを追加すると、ログビューまたはログビューを保存するプロジェクトの IAM ロールによって、アクセスできるログエントリが決まります。詳細については、ログビューへのアクセスを制御するをご覧ください。

  5. [ログスコープに名前を付ける] セクションで、[ログスコープ] タブに表示する名前と説明を入力します。

    ログスコープの名前は変更できず、プロジェクト内で一意である必要があります。

  6. [適用] をクリックします。

ログスコープを変更または削除する

自分または同僚が作成したログスコープを変更または削除するには、次の操作を行います。

  1. Google Cloud コンソールで、[設定] ページに移動します。

    [設定] に移動

    検索バーを使用してこのページを検索する場合は、小見出しが [Monitoring] である結果を選択します。

  2. [ログスコープ] タブを選択します。
  3. 変更または削除するログスコープを見つけて、 [その他] をクリックしてから、次のいずれかを行います。

    • 変更するには、[スコープを編集] を選択して、ダイアログを完了します。
    • 削除するには、[スコープを削除] を選択して、ダイアログを完了します。

次のステップ