로그 버킷에 로그 뷰 구성

이 문서에서는 gcloud CLI를 사용하여 Cloud Logging 버킷에서 로그 뷰를 만들고 관리하는 방법을 설명합니다. 로그 보기를 사용하면 로그 버킷 내 로그에 액세스할 수 있는 사용자를 더욱 세분화하여 제어할 수 있습니다.

Logging 스토리지 모델에 대한 일반적인 정보는 라우팅 및 스토리지 개요를 참조하세요.

로그 뷰 정보

로그 뷰를 사용하면 로그 버킷에 저장된 로그의 하위 집합에 대해서만 사용자에게 액세스 권한을 부여할 수 있습니다. 예를 들어 중앙 프로젝트의 조직 로그를 저장하는 시나리오를 가정해 보겠습니다. 로그 버킷에 로그를 제공하는 각 프로젝트에 대해 하나의 로그 뷰를 생성할 수 있습니다. 그런 다음 각 사용자에게 로그 뷰 하나 이상에 대한 액세스 권한을 부여하여 사용자가 볼 수 있는 로그를 제한할 수 있습니다.

로그 버킷당 최대 30개의 로그 뷰를 만들 수 있습니다.

로그 뷰에 대한 액세스 제어

Cloud Logging은 IAM 정책을 사용하여 로그 뷰에 액세스할 수 있는 사용자를 제어합니다. IAM 정책은 리소스, 프로젝트, 폴더, 조직 수준에서 존재할 수 있습니다. Cloud Logging의 경우 로그 뷰마다 IAM 정책을 만들 수 있습니다. 주 구성원에게 작업이 승인되었는지 여부를 확인하기 위해 IAM은 리소스 수준에서 첫 번째 평가를 수행하여 적용 가능한 모든 정책을 평가합니다.

Google Cloud 프로젝트에 대한 roles/logging.viewAccessor 역할이 있는 주 구성원은 프로젝트의 모든 로그 버킷에 있는 뷰와 로그에 액세스할 수 있습니다.

특정 로그 뷰에 대해서만 주 구성원 액세스 권한을 부여하려면 다음 중 하나를 수행합니다.

  • 로그 뷰에 대한 IAM 정책을 만든 후 주 구성원에 로그 뷰에 대한 액세스 권한을 부여하는 IAM 바인딩을 해당 정책에 추가합니다.

    로그 뷰를 대량으로 만드는 경우에 이 방법을 사용하는 것이 좋습니다.

  • 로그 뷰가 포함된 프로젝트에 대한 roles/logging.viewAccessor IAM 역할을 주 구성원에게 부여하되 IAM 조건을 연결하여 해당 로그 뷰에 대한 권한 부여를 제한합니다. 조건을 생략하면 주 구성원에게 모든 로그 뷰에 대한 액세스 권한이 부여됩니다. Google Cloud 프로젝트의 정책 파일에는 같은 역할과 같은 주 구성원이 있지만 조건 표현식이 다른 역할 바인딩이 20개로 제한됩니다.

자세한 내용은 이 문서의 로그 뷰에 대한 액세스 권한 부여 섹션을 참조하세요.

자동으로 생성된 로그 뷰

Cloud Logging은 모든 로그 버킷에 대한 _AllLogs 뷰와 _Default 로그 버킷에 대한 _Default 뷰를 자동으로 만듭니다.

  • _AllLogs 뷰: 로그 버킷의 모든 로그를 볼 수 있습니다.
  • _Default 뷰: 로그 버킷의 모든 비 데이터 액세스 감사 로그를 볼 수 있습니다.

Cloud Logging에서 자동으로 만든 뷰를 수정할 수 없지만 _AllLogs 뷰를 삭제할 수는 있습니다.

로그 뷰 필터

각 로그 뷰에는 뷰에 표시되는 로그 항목을 결정하는 필터가 포함되어 있습니다. 필터에 논리적 ANDNOT 연산자를 포함할 수 있지만 논리적 OR 연산자는 포함할 수 없습니다. 필터로 다음 값을 비교할 수 있습니다.

  • source 함수를 사용하는 데이터 소스. source 함수는 조직, 폴더, Google Cloud 프로젝트 계층 구조의 특정 리소스에서 로그 항목을 반환합니다.

  • log_id 함수를 사용하는 로그 ID. log_id 함수는 logName 필드에서 지정된 LOG_ID 인수와 일치하는 로그 항목을 반환합니다.

  • resource.type=FIELD_NAME 비교를 사용하는 유효한 리소스 유형.

예를 들어 다음 필터는 myproject라는 Google Cloud 프로젝트에서 Compute Engine stdout 로그 항목을 캡처합니다.

source("projects/myproject") AND resource.type = "gce_instance" AND log_id("stdout")

필터링 구문에 대한 자세한 내용은 비교를 참조하세요.

시작하기 전에

로그 뷰를 만들거나 업데이트하기 전에 다음 단계를 완료합니다.

  1. 아직 수행하지 않았으면 적절한 Google Cloud 프로젝트에서 커스텀 로그 뷰를 구성할 Logging 버킷을 만듭니다.

  2. 로그 뷰를 만들고 관리하는 데 필요한 권한을 얻고 로그 뷰에 대한 액세스 권한을 부여하려면 관리자에게 프로젝트에 대한 다음 IAM 역할을 부여해 달라고 요청하세요.

    역할 부여에 대한 자세한 내용은 액세스 관리를 참조하세요.

    커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.

  3. Google Cloud CLI 설치

  4. 보기에 포함할 로그를 결정합니다. 이 정보를 사용하여 로그 뷰의 필터를 지정합니다.

  5. 로그 뷰에 액세스할 수 있는 사용자와 로그 뷰나 Google Cloud 프로젝트의 IAM 정책에 바인딩을 추가할지 여부를 결정합니다. 자세한 내용은 로그 뷰에 대한 액세스 제어를 참조하세요.

로그 뷰 만들기

로그 뷰를 만들려면 gcloud logging views update 명령어를 사용합니다. 로그 버킷당 최대 30개의 로그 뷰를 만들 수 있습니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

  • VIEW_ID: 로그 뷰 식별자입니다.
  • BUCKET_NAME: 로그 버킷의 이름입니다.
  • LOCATION: 로그 버킷의 위치
  • FILTER: 로그 뷰를 정의하는 필터입니다. 비어 있으면 로그 뷰에 모든 로그가 포함됩니다. 예를 들어 Compute Engine VM 인스턴스 로그로 필터링하려면 "resource.type=gce_instance"를 입력합니다.
  • DESCRIPTION: 로그 뷰에 대한 설명입니다. 예를 들어 "Compute logs" 설명에 대해 다음을 입력할 수 있습니다.

gcloud logging views create 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud logging views create VIEW_ID --bucket=BUCKET_NAME --location=LOCATION --log-filter=FILTER --description=DESCRIPTION

Windows(PowerShell)

gcloud logging views create VIEW_ID --bucket=BUCKET_NAME --location=LOCATION --log-filter=FILTER --description=DESCRIPTION

Windows(cmd.exe)

gcloud logging views create VIEW_ID --bucket=BUCKET_NAME --location=LOCATION --log-filter=FILTER --description=DESCRIPTION

이 명령어에서는 응답을 제공하지 않습니다. 변경사항을 확인하려면 gcloud logging views list 명령어를 실행하면 됩니다.

다음으로 주 구성원에게 로그 뷰에 대한 액세스 권한을 부여합니다.

로그 뷰에 대한 액세스 권한 부여

주 구성원을 사용자 정의 로그 버킷의 특정 로그 뷰로 제한하기 위해 사용할 수 있는 두 가지 접근 방법이 있습니다.

  • 로그 뷰의 IAM 정책 파일을 사용할 수 있습니다.

  • 로그 버킷을 저장하는 Google Cloud 프로젝트의 IAM 정책 파일을 IAM 조건과 함께 사용할 수 있습니다.

로그 뷰를 대량으로 만들 때는 로그 뷰의 IAM 정책 파일을 사용하여 액세스를 제어하는 것이 좋습니다.

로그 뷰: 역할 바인딩 추가

이 섹션에서는 로그 뷰에 대한 IAM 정책 파일을 사용하여 해당 로그 뷰의 로그 항목에 액세스할 수 있는 사용자를 제어하는 방법을 설명합니다. 이 방법을 사용하는 경우 바인딩을 로그 뷰의 정책 파일에 추가하며 해당 바인딩에서 지정된 주 구성원에게 로그 뷰에 대한 액세스 권한을 부여합니다.

이 섹션에서는 로그 뷰의 IAM 정책 파일에 포함된 역할 결합을 나열하는 방법도 설명합니다.

로그 뷰에 역할 바인딩 추가

로그 뷰의 IAM 정책 파일을 업데이트하려면 다음 단계를 완료합니다.

gcloud

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

  • VIEW_ID: 로그 뷰 식별자입니다.
  • PRINCIPAL: 역할을 부여할 주 구성원의 식별자입니다. 주 구성원 식별자는 일반적으로 PRINCIPAL-TYPE:ID 형식입니다. 예를 들면 user:my-user@example.com입니다. PRINCIPAL_ID 형식 전체 목록은 주 구성원 식별자를 참조하세요.
  • BUCKET_NAME: 로그 버킷의 이름
  • LOCATION: 로그 버킷의 위치

gcloud logging views add-iam-policy-binding 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud logging views add-iam-policy-binding VIEW_ID --member=PRINCIPAL --role='roles/logging.viewAccessor' --bucket=BUCKET_NAME --location=LOCATION 

Windows(PowerShell)

gcloud logging views add-iam-policy-binding VIEW_ID --member=PRINCIPAL --role='roles/logging.viewAccessor' --bucket=BUCKET_NAME --location=LOCATION 

Windows(cmd.exe)

gcloud logging views add-iam-policy-binding VIEW_ID --member=PRINCIPAL --role='roles/logging.viewAccessor' --bucket=BUCKET_NAME --location=LOCATION 

다음에서는 단일 바인딩이 추가될 때의 응답을 보여줍니다.

Updated IAM policy for logging view [projects/PROJECT_ID/locations/global/buckets/BUCKET_NAME/views/VIEW_ID].
bindings:
- members:
  - PRINCIPAL
  role: roles/logging.viewAccessor
etag: BwYXfSd9-Gw=
version: 1

Terraform

Terraform 구성을 적용하거나 삭제하는 방법은 기본 Terraform 명령어를 참조하세요. 자세한 내용은 Terraform 제공업체 참고 문서를 확인하세요.

Terraform을 사용하여 로그 뷰의 IAM 연결을 프로비저닝하려면 다양한 리소스를 사용하면 됩니다.

  • google_logging_log_view_iam_policy
  • google_logging_log_view_iam_binding
  • google_logging_log_view_iam_member

자세한 내용은 Cloud Logging LogView의 IAM 정책을 참조하세요.

Console

지원되지 않음. 로그 뷰에 바인딩을 추가하려면 Google Cloud CLI를 사용합니다.

로그 뷰에 대한 역할 바인딩 나열

로그 뷰의 IAM 바인딩을 나열하려면 다음 단계를 완료합니다.

gcloud

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

  • VIEW_ID: 로그 뷰 식별자입니다.
  • BUCKET_NAME: 로그 버킷의 이름입니다.
  • LOCATION: 로그 버킷의 위치

gcloud logging views get-iam-policy 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud logging views get-iam-policy VIEW_ID --bucket=BUCKET_NAME --location=LOCATION 

Windows(PowerShell)

gcloud logging views get-iam-policy VIEW_ID --bucket=BUCKET_NAME --location=LOCATION 

Windows(cmd.exe)

gcloud logging views get-iam-policy VIEW_ID --bucket=BUCKET_NAME --location=LOCATION 

로그 뷰에 바인딩이 포함되어 있지 않으면 응답에 etag 필드만 포함됩니다. 다음에서 로그 뷰에 단일 바인딩이 포함된 경우의 응답을 보여줍니다.

bindings:
- members:
  - PRINCIPAL
  role: roles/logging.viewAccessor
etag: BwYXfSd9-Gw=
version: 1

Terraform

Terraform을 사용하여 로그 뷰의 IAM 연결을 나열하려면 google_logging_log_view_iam_policy 데이터 소스를 사용합니다.

Console

지원되지 않음. 로그 뷰에 대한 바인딩을 나열하려면 Google Cloud CLI를 사용합니다.

Google Cloud 프로젝트: 역할 바인딩 추가

이 섹션에서는 역할 바인딩을 Google Cloud 프로젝트에 추가하는 방법과 프로젝트에 연결된 바인딩을 나열하는 방법을 설명합니다. 이 방법을 사용하여 주 구성원이 특정 로그 뷰에 저장된 로그 항목에 액세스할 수 있도록 제한하려면 권한 부여에 IAM 조건을 추가해야 합니다.

프로젝트에 역할 바인딩 추가

역할 바인딩을 Google Cloud 프로젝트의 IAM 정책 파일에 추가하려면 다음 단계를 완료합니다.

gcloud

  1. 조건에 따라 JSON 또는 yaml 파일을 만듭니다.

    예를 들어 다음 콘텐츠가 포함된 condition.yaml 파일을 만들 수 있습니다.

    expression: "resource.name == \"projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/VIEW_ID\""
    title: "My title"
    description: "My description"
    
  2. 선택사항: JSON 또는 yaml 파일의 형식이 올바른지 확인하려면 다음 명령어를 실행합니다.

    gcloud alpha iam policies lint-condition --condition-from-file=condition.yaml
    
  3. gcloud projects add-iam-policy-binding 메서드를 호출하여 Google Cloud 프로젝트의 IAM 정책을 업데이트합니다.

    다음 명령어를 사용하기 전에 다음을 바꿉니다.

    • PROJECT_ID: 프로젝트 식별자입니다.
    • PRINCIPAL: 역할을 부여할 주 구성원의 식별자입니다. 주 구성원 식별자는 일반적으로 PRINCIPAL-TYPE:ID 형식입니다. 예를 들면 user:my-user@example.com입니다. PRINCIPAL_ID 형식 전체 목록은 주 구성원 식별자를 참조하세요.

    gcloud projects add-iam-policy-binding 명령어를 실행합니다.

    gcloud projects add-iam-policy-binding PROJECT_ID --member=PRINCIPAL --role='roles/logging.viewAccessor' --condition-from-file=condition.yaml
    

    이전 명령어에 대한 응답에는 모든 역할 바인딩이 포함됩니다.

    - condition:
        description: My description
        expression: resource.name == "projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/VIEW_ID"
        title: My title
      members:
      - PRINCIPAL
      role: roles/logging.viewAccessor
    

Terraform

Terraform 구성을 적용하거나 삭제하는 방법은 기본 Terraform 명령어를 참조하세요. 자세한 내용은 Terraform 제공업체 참고 문서를 확인하세요.

Terraform을 사용하여 프로젝트의 IAM 연결을 프로비저닝하려면 다양한 리소스를 사용하면 됩니다.

  • google_project_iam_policy
  • google_project_iam_binding
  • google_project_iam_member

자세한 내용은 프로젝트의 IAM 정책을 참조하세요.

Console

로그 버킷을 만든 프로젝트에서 다음을 수행합니다.

  1. Google Cloud 콘솔에서 IAM 페이지로 이동합니다.

    IAM으로 이동합니다.

    검색창을 사용하여 이 페이지를 찾은 경우 부제목이 IAM 및 관리자인 결과를 선택합니다.

  2. 액세스 권한 부여를 클릭합니다.

  3. 새 주 구성원 필드에 사용자의 이메일 계정을 추가합니다.

  4. 역할 선택 드롭다운 메뉴에서 로그 뷰 접근자를 선택합니다.

    이 역할은 사용자에게 모든 보기에 대한 읽기 액세스 권한을 제공합니다. 특정 보기에 대한 사용자 액세스를 제한하려면 리소스 이름을 기준으로 조건을 추가합니다.

    1. IAM 조건 추가를 클릭합니다.

    2. 조건의 제목설명을 입력합니다.

    3. 조건 유형 드롭다운 메뉴에서 리소스 > 이름을 선택합니다.

    4. 연산자 드롭다운 메뉴에서 일치를 선택합니다.

    5. 필드에 뷰의 전체 경로를 포함한 로그 뷰의 ID를 입력합니다.

      예를 들면 다음과 같습니다.

      projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/VIEW_ID
    6. 저장을 클릭하여 조건을 추가합니다.

  5. 저장을 클릭하여 권한을 설정합니다.

프로젝트에 대한 역할 바인딩 나열

Google Cloud 프로젝트에 대한 역할 바인딩을 나열하려면 다음 단계를 완료합니다.

gcloud

다음 명령어를 사용하기 전에 다음을 바꿉니다.

  • PROJECT_ID: 프로젝트 식별자입니다.

gcloud projects get-iam-policy 명령어를 실행합니다.

gcloud projects get-iam-policy PROJECT_ID

이전 명령어에 대한 응답에는 모든 역할 바인딩이 포함됩니다.

- condition:
    description: My description
    expression: resource.name == "projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/VIEW_ID"
    title: My title
  members:
  - PRINCIPAL
  role: roles/logging.viewAccessor

Terraform

Terraform을 사용하여 프로젝트의 IAM 연결을 나열하려면 google_project_iam_policy 데이터 소스를 사용합니다.

Console

Google Cloud 콘솔에서 IAM 페이지로 이동합니다.

IAM으로 이동합니다.

검색창을 사용하여 이 페이지를 찾은 경우 부제목이 IAM 및 관리자인 결과를 선택합니다.

IAM 페이지에는 모든 주 구성원, IAM 역할, 이러한 역할에 연결된 조건이 나열됩니다.

로그 버킷의 로그 뷰 나열

로그 버킷에 생성된 로그 뷰를 나열하려면 gcloud logging views list 명령어를 사용합니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

  • BUCKET_NAME: 로그 버킷의 이름입니다.
  • LOCATION: 로그 버킷의 위치

gcloud logging views list 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud logging views list --bucket=BUCKET_NAME --location=LOCATION

Windows(PowerShell)

gcloud logging views list --bucket=BUCKET_NAME --location=LOCATION

Windows(cmd.exe)

gcloud logging views list --bucket=BUCKET_NAME --location=LOCATION

응답 데이터는 로그 뷰 목록입니다. 로그 뷰마다 필터 생성 날짜 및 최종 업데이트 날짜와 함께 필터가 표시됩니다. 생성 날짜와 업데이트 날짜가 비어 있으면 Google Cloud 프로젝트가 생성될 때 로그 뷰가 생성된 것입니다. 다음 예시 출력은 쿼리된 로그 버킷에 두 개의 뷰 ID(_AllLogscompute)가 있음을 보여줍니다.

VIEW_ID: _AllLogs
FILTER:
CREATE_TIME:
UPDATE_TIME:

VIEW_ID: compute
FILTER: resource.type="gce_instance"
CREATE_TIME: 2024-02-20T17:41:17.405162921Z
UPDATE_TIME: 2024-02-20T17:41:17.405162921Z

로그 뷰 업데이트

로그 뷰를 업데이트하거나 수정하려면 gcloud logging views update 명령어를 사용합니다. 뷰 ID를 모르면 로그 뷰 나열을 참조하세요.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

  • VIEW_ID: 로그 뷰 식별자입니다.
  • BUCKET_NAME: 로그 버킷의 이름입니다.
  • LOCATION: 로그 버킷의 위치
  • FILTER: 로그 뷰를 정의하는 필터입니다. 비어 있으면 로그 뷰에 모든 로그가 포함됩니다. 예를 들어 Compute Engine VM 인스턴스 로그로 필터링하려면 "resource.type=gce_instance"를 입력합니다.
  • DESCRIPTION: 로그 뷰에 대한 설명입니다. 예를 들어 "New description for the log view" 설명에 대해 다음을 입력할 수 있습니다.

gcloud logging views update 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud logging views update VIEW_ID --bucket=BUCKET_NAME --location=LOCATION --log-filter=FILTER --description=DESCRIPTION

Windows(PowerShell)

gcloud logging views update VIEW_ID --bucket=BUCKET_NAME --location=LOCATION --log-filter=FILTER --description=DESCRIPTION

Windows(cmd.exe)

gcloud logging views update VIEW_ID --bucket=BUCKET_NAME --location=LOCATION --log-filter=FILTER --description=DESCRIPTION

이 명령어에서는 응답을 제공하지 않습니다. 변경사항을 확인하려면 gcloud logging views describe 명령어를 실행하면 됩니다.

로그 뷰 삭제

로그 뷰를 삭제하려면 gcloud logging views delete 명령어를 사용합니다. 뷰 ID를 모르면 로그 뷰 나열을 참조하세요.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

  • VIEW_ID: 로그 뷰 식별자입니다.
  • BUCKET_NAME: 로그 버킷의 이름입니다.
  • LOCATION: 로그 버킷의 위치

gcloud logging views delete 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud logging views delete VIEW_ID --bucket=BUCKET_NAME --location=LOCATION

Windows(PowerShell)

gcloud logging views delete VIEW_ID --bucket=BUCKET_NAME --location=LOCATION

Windows(cmd.exe)

gcloud logging views delete VIEW_ID --bucket=BUCKET_NAME --location=LOCATION

응답으로 삭제를 확인합니다. 예를 들어 다음에서는 tester 로그 뷰 삭제에 대한 응답을 보여줍니다.

Deleted [tester].

로그 뷰 설명

로그 뷰에 대한 자세한 정보를 검색하려면 gcloud logging views describe 명령어를 사용합니다. 뷰 ID를 모르면 로그 뷰 나열을 참조하세요.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

  • VIEW_ID: 로그 뷰 식별자입니다.
  • BUCKET_NAME: 로그 버킷의 이름입니다.
  • LOCATION: 로그 버킷의 위치

gcloud logging views describe 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud logging views describe VIEW_ID --bucket=BUCKET_NAME --location=LOCATION

Windows(PowerShell)

gcloud logging views describe VIEW_ID --bucket=BUCKET_NAME --location=LOCATION

Windows(cmd.exe)

gcloud logging views describe VIEW_ID --bucket=BUCKET_NAME --location=LOCATION

응답에는 항상 로그 뷰에 대한 설명과 정규화된 이름이 포함됩니다. 필터 필드가 비어 있지 않으면 필터도 포함됩니다. 다음은 샘플 응답입니다.

createTime: '2024-02-20T17:41:17.405162921Z'
filter: resource.type="gce_instance"
name: projects/my-project/locations/global/buckets/my-bucket/views/compute
updateTime: '2024-02-20T17:41:17.405162921Z'

로그 뷰와 연결된 로그 보기

로그 뷰에서 로그를 보려면 로그 뷰에 대한 로그 뷰 접근자(roles/logging.viewAccessor) 역할이 있어야 합니다.

  1. Google Cloud 콘솔에서 로그 탐색기 페이지로 이동합니다.

    로그 탐색기로 이동

    검색창을 사용하여 이 페이지를 찾은 경우 부제목이 Logging인 결과를 선택합니다.

  2. 범위 상세검색을 클릭하여 범위 상세검색 패널을 표시합니다. 여기에서 로그 확인에 사용할 로그 버킷과 로그 뷰를 선택할 수 있습니다.

범위 상세검색 패널

자세한 내용은 로그 탐색기 문서를 참조하세요.

다음 단계

필드 수준 액세스 구성