Logansichten in Log-Buckets verwalten

Mit Logansichten können Sie steuern, wer Zugriff auf die Logs in Ihren Log-Buckets hat. Mit Log Router und Log-Buckets verwalten können Sie Ihren Logspeicher nach Bedarf zentralisieren oder unterteilen. Benutzerdefinierte Logansichten bieten Ihnen eine erweiterte und detaillierte Möglichkeit, den Zugriff auf die Logs in diesen Log-Buckets zu steuern.

Stellen Sie sich beispielsweise ein Szenario vor, in dem Sie alle Logs Ihrer Organisation in einem zentralen Projekt speichern. Da Log-Buckets Logs von mehreren Projekten enthalten können, möchten Sie möglicherweise steuern, aus welchen Projekten unterschiedliche Nutzer Logs aufrufen können. Mit benutzerdefinierten Logansichten können Sie einem Nutzer nur Zugriff auf Logs eines einzelnen Projekts gewähren, während Sie einem anderen Nutzer Zugriff auf Logs aller Projekte gewähren.

Cloud Logging erstellt automatisch die Ansicht _AllLogs für jeden Bucket, in der alle Logs angezeigt werden. Cloud Logging erstellt auch eine Ansicht für den Bucket _Default mit dem Namen _Default. In der Ansicht _Default für den Bucket _Default werden alle Logs außer den Audit-Logs zum Datenzugriff angezeigt. Die Ansichten _AllLogs und _Default können nicht bearbeitet werden.

In den folgenden Anleitungen wird erläutert, wie Sie Logsansichten erstellen, anzeigen, aktualisieren und löschen. Zum Verwalten von Logansichten müssen Sie die folgenden Aktionen ausführen:

  1. Verwenden Sie das gcloud-Befehlszeilentool oder die API zum Erstellen der Ansicht.
  2. IAM-Berechtigungen (Identitäts- und Zugriffsverwaltung) über die Google Cloud Console oder das gcloud-Befehlszeilentool festlegen.

Hinweis

Führen Sie vor dem Erstellen einer Logansicht die folgenden Schritte aus:

Beachten Sie beim Erstellen einer Logansicht die folgenden Bedingungen:

  • Der Filter für eine Logansicht kann Folgendes enthalten:

  • Der Filter für eine Logansicht darf keine OR-Operatoren enthalten.

  • Sie können pro Log-Bucket maximal 30 Logansichten erstellen.

Logansicht erstellen

Führen Sie zum Erstellen einer Logansicht den folgenden Befehl aus. Ersetzen Sie dabei die Teile in Fettschrift durch Ihre eigenen Informationen:

gcloud logging views create VIEW_ID \
  --log-filter="resource.type=gce_instance" --bucket=BUCKET_NAME \
  --location=LOCATION --description="Log view for the central log bucket for Compute Engine instance"

Listen Sie die Ansichten für den Bucket auf, um zu bestätigen, dass die Ansicht erstellt wurde:

gcloud logging views list --bucket=BUCKET_NAME --location=LOCATION

Nutzer zu einer Logansicht hinzufügen

Führen Sie die folgenden Schritte aus, um Nutzer zu einer Ansicht hinzuzufügen, mit der sie auf die Logs zugreifen können.

gcloud

  1. Rufen Sie die IAM-Richtlinie des Projekts ab und schreiben Sie sie in eine lokale Datei im JSON-Format:

    gcloud projects get-iam-policy PROJECT_ID --format json > output.json
    
  2. Fügen Sie eine IAM-Bedingung hinzu, mit der der Nutzer aus dem von Ihnen erstellten Bucket lesen kann. Beispiel:

    {
      "bindings": [
        {
          "members": [
            "username@gmail.com"
          ],
          "role": "roles/logging.viewAccessor",
          "condition": {
              "title": "Bucket reader condition example",
              "description": "Grants logging.viewAccessor role to user username@gmail.com for the [VIEW_ID] log view.",
              "expression":
                "resource.name == \"projects/[PROJECT_ID]/locations/[LOCATION]/buckets/[BUCKET_NAME]/views/[VIEW_ID]\""
          }
        }
      ],
      "etag": "BwWd_6eERR4=",
      "version": 3
    }
  3. Aktualisieren Sie die IAM-Richtlinie:

    gcloud projects set-iam-policy PROJECT_ID output.json
    

Console

  1. Rufen Sie in der Cloud Console für das Projekt, in dem Sie den Bucket erstellt haben, die IAM-Seite auf.

    Zur IAM-Seite

  2. Klicken Sie auf Hinzufügen.

  3. Fügen Sie das E-Mail-Konto des Nutzers im Feld Neues Hauptkonto hinzu.

  4. Wählen Sie im Drop-down-Menü Rolle auswählen die Option Logs-Ansicht-Zgriffsfunktion.

    Diese Rolle gibt Nutzern Lesezugriff auf alle Ansichten. Um den Nutzerzugriff auf einen bestimmten Bucket zu beschränken, fügen Sie eine Bedingung auf Basis des Ressourcennamens hinzu.

    1. Klicken Sie auf Bedingung hinzufügen.

    2. Geben Sie für die Bedingung einen Titel und eineBeschreibung ein.

    3. Wählen Sie im Drop-down-Menü Bedingungstyp die Option Ressource > Name.

    4. Wählen Sie im Drop-down-Menü Operator die Option ist aus.

    5. Geben Sie im Feld Wert die ID der Logansicht ein, einschließlich des vollständigen Pfads zur Ansicht.

      Beispiel:

      projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/VIEW_ID
    6. Klicken Sie auf Speichern, um die Bedingung hinzuzufügen.

  5. Klicken Sie auf Speichern, um die Berechtigungen festzulegen.

Weitere Informationen finden Sie in der Übersicht über Cloud IAM Conditions.

Logansicht aktualisieren

Führen Sie den folgenden Befehl aus, um eine Logansicht zu aktualisieren. Ersetzen Sie dabei die Teile in Fettschrift durch Ihre eigenen Informationen:

gcloud logging views update VIEW_ID \
  --log-filter="resource.type=gce_instance" --bucket=NEW_BUCKET_NAME \
  --location=LOCATION --description="New description for the log view"

Listen Sie die Ansichten für den Bucket auf, um zu bestätigen, dass die Ansicht aktualisiert wurde:

gcloud logging views list --bucket=NEW_BUCKET_NAME --location=LOCATION

Die Ansichten _Default und _AllLogs können nicht aktualisiert werden.

Logansicht löschen

Führen Sie zum Löschen einer Logansicht den folgenden Befehl aus. Ersetzen Sie dabei die Teile in Fettschrift durch Ihre eigenen Informationen:

gcloud logging views delete VIEW_ID \
  --bucket=BUCKET_NAME --location=LOCATION

Listen Sie die Ansichten für den Bucket auf, um zu bestätigen, dass die Ansicht gelöscht wurde:

gcloud logging views list --bucket=BUCKET_NAME --location=LOCATION

Informationen zu einer Logansicht ansehen

Führen Sie den folgenden Befehl aus, um eine Logansicht zu beschreiben. Ersetzen Sie dabei die Teile in Fettschrift durch Ihre eigenen Informationen:

gcloud logging views describe VIEW_ID \
  --bucket=BUCKET_NAME --location=LOCATION

Mit einer Logansicht verknüpfte Logs ansehen

Sie benötigen die Rolle roles/logging.viewAccessor für die Logansicht, um Logs in einer Logansicht aufzurufen.

Zum Log-Explorer

Log-Explorer aufrufen

Klicken Sie auf Bereich eingrenzen, um das Steuerfeld Bereich eingrenzen aufzurufen. Von hier aus können Sie den Log-Bucket und die Logansicht auswählen, die Sie zum Anzeigen der Logs verwenden möchten.

Steuerfeld "Bereich eingrenzen"

Weitere Informationen finden Sie in der Dokumentation zum Log-Explorer.

Nächste Schritte

Prüfen Sie im Log-Explorer, ob die von Ihnen erstellte Ansicht Zugriff auf die richtigen Logs bietet.

Log-Explorer aufrufen