Diese Seite wurde von der Cloud Translation API übersetzt.
Switch to English

Logansichten in Ihren Log-Buckets verwalten

Mit der Loganzeige können Sie steuern, wer in Ihren Log-Buckets Zugriff auf die Logs hat. Mit Log-Router und Log-Buckets können Sie Ihren Logspeicher nach Bedarf zentralisieren oder unterteilen. Benutzerdefinierte Logansichten bieten Ihnen eine erweiterte und detaillierte Möglichkeit, den Zugriff auf die Logs in diesen Log-Buckets zu steuern.

Stellen Sie sich beispielsweise ein Szenario vor, in dem Sie alle Logs Ihrer Organisation in einem zentralen Projekt speichern. Da Log-Buckets Logs von mehreren Projekten enthalten können, möchten Sie möglicherweise steuern, aus welchen Projekten unterschiedliche Nutzer Logs aufrufen können. Mit benutzerdefinierten Logansichten können Sie einem Nutzer nur Zugriff auf Logs eines einzelnen Projekts gewähren, während Sie einem anderen Nutzer Zugriff auf Logs aller Projekte gewähren.

Cloud Logging erstellt automatisch die Ansicht _AllLogs für jeden Bucket, in der alle Logs angezeigt werden. Cloud Logging erstellt auch eine Ansicht für den Bucket _Default mit dem Namen _Default. In der Ansicht _Default für den Bucket _Default werden alle Logs außer den Audit-Logs zum Datenzugriff angezeigt. Die Ansichten _AllLogs und _Default können nicht bearbeitet werden.

In den folgenden Anleitungen wird erläutert, wie Sie Logsansichten erstellen, anzeigen, aktualisieren und löschen. Zum Verwalten von Logansichten müssen Sie die folgenden Aktionen ausführen:

  1. Verwenden Sie das gcloud-Befehlszeilentool oder die API zum Erstellen der Ansicht.
  2. IAM-Berechtigungen (Identitäts- und Zugriffsverwaltung) über die Google Cloud Console oder das gcloud-Befehlszeilentool festlegen.

Hinweis

Führen Sie vor dem Erstellen einer Logansicht die folgenden Schritte aus:

Beachten Sie beim Erstellen einer Logansicht die folgenden Bedingungen:

Logansicht erstellen

Führen Sie zum Erstellen einer Logansicht den folgenden Befehl aus. Ersetzen Sie die Teile in Fettschrift durch Ihre eigenen Informationen:

gcloud beta logging views create VIEW_ID \
  --log-filter="resource.type=gce_instance" --bucket=BUCKET_NAME \
  --location=LOCATION --description="Logs view for the central logs bucket for Compute Engine instance"

Listen Sie die Ansichten für den Bucket auf, um zu bestätigen, dass die Ansicht erstellt wurde:

gcloud beta logging views list --bucket=BUCKET_NAME --location=LOCATION

Nutzer einer Logansicht hinzufügen

Führen Sie die folgenden Schritte aus, um Nutzer zu einer Ansicht hinzuzufügen, mit der sie auf die Logs zugreifen können.

gcloud

  1. Rufen Sie die IAM-Richtlinie des Projekts ab und schreiben Sie sie in eine lokale Datei im JSON-Format:

    gcloud projects get-iam-policy PROJECT_ID --format json > output.json
    
  2. Fügen Sie eine IAM-Bedingung hinzu, mit der der Nutzer aus dem von Ihnen erstellten Bucket lesen kann. Beispiel:

    {
      "bindings": [
        {
          "members": [
            "username@gmail.com"
          ],
          "role": "roles/logging.viewAccessor",
          "condition": {
              "title": "Bucket reader condition example",
              "description": "Grants logging.viewAccessor role to user username@gmail.com for the [VIEW_ID] Logs View.",
              "expression":
                "resource.name == \"projects/[PROJECT_ID]/locations/[LOCATION]/buckets/[BUCKET_NAME]/views/[VIEW_ID]\""
          }
        }
      ],
      "etag": "BwWd_6eERR4=",
      "version": 3
    }
  3. Aktualisieren Sie die IAM-Richtlinie:

    gcloud projects set-iam-policy PROJECT_ID output.json
    

Console

  1. Rufen Sie in der Cloud Console für das Projekt, in dem Sie den Bucket erstellt haben, die IAM-Seite auf.

    Zur IAM-Seite

  2. Klicken Sie auf Hinzufügen.

  3. Fügen Sie das E-Mail-Konto des Nutzers im Feld Neues Mitglied hinzu.

  4. Wählen Sie im Drop-down-Menü Rolle auswählen die Option Logs-Ansicht-Zugriffsfunktion.

    Diese Rolle gibt Nutzern Lesezugriff auf alle Ansichten. Um den Nutzerzugriff auf einen bestimmten Bucket zu beschränken, fügen Sie eine Bedingung auf Basis des Ressourcennamens hinzu.

    1. Klicken Sie auf Bedingung hinzufügen.

    2. Geben Sie für die Bedingung einen Titel und eineBeschreibung ein.

    3. Wählen Sie im Drop-down-Menü Bedingungstyp die Option Ressource > Name.

    4. Wählen Sie im Drop-down-Menü Operator die Option ist aus.

    5. Geben Sie im Feld Wert die ID der Logansicht ein, einschließlich des vollständigen Pfads zur Ansicht.

      Beispiel:

      projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/VIEW_ID
    6. Klicken Sie auf Speichern, um die Bedingung hinzuzufügen.

  5. Klicken Sie auf Speichern, um die Berechtigungen festzulegen.

Weitere Informationen finden Sie in der Übersicht über Cloud IAM Conditions.

Logansicht aktualisieren

Führen Sie den folgenden Befehl aus, um eine Logansicht zu aktualisieren. Ersetzen Sie die Teile in Fettschrift durch Ihre eigenen Informationen:

gcloud beta logging views update VIEW_ID \
  --log-filter="resource.type=gce_instance" --bucket=NEW_BUCKET_NAME \
  --location=LOCATION --description="New description for the Logs View"

Listen Sie die Ansichten für den Bucket auf, um zu bestätigen, dass die Ansicht aktualisiert wurde:

gcloud beta logging views list --bucket=NEW_BUCKET_NAME --location=LOCATION

Die Ansichten _Default und _AllLogs können nicht aktualisiert werden.

Logansicht löschen

Führen Sie zum Löschen einer Logansicht den folgenden Befehl aus. Ersetzen Sie dabei die Teile in Fettdruck durch Ihre eigenen Informationen:

gcloud beta logging views delete VIEW_ID \
  --bucket=BUCKET_NAME --location=LOCATION

Listen Sie die Ansichten für den Bucket auf, um zu bestätigen, dass die Ansicht gelöscht wurde:

gcloud beta logging views list --bucket=BUCKET_NAME --location=LOCATION

Informationen zu einer Loganzeige ansehen

Führen Sie den folgenden Befehl aus, um eine Logansicht zu beschreiben. Ersetzen Sie die Teile in Fettschrift durch Ihre eigenen Informationen:

gcloud beta logging views describe VIEW_ID \
  --bucket=BUCKET_NAME --location=LOCATION

Mit einer Logansicht verknüpfte Logs ansehen

Sie benötigen die Rolle roles/logging.viewAccessor für die Loganzeige, um Logs in einer Loganzeige aufzurufen.

Zum Log-Explorer

Log-Explorer aufrufen

Klicken Sie auf Bereich eingrenzen, um das Steuerfeld Bereich eingrenzen aufzurufen. Von hier aus können Sie den Log-Bucket und die Loganzeige auswählen, die Sie zum Anzeigen der Logs verwenden möchten.

Steuerfeld "Bereich eingrenzen"

Weitere Informationen finden Sie in der Dokumentation zum Log-Explorer.

Nächste Schritte

Prüfen Sie im Log-Explorer, ob die von Ihnen erstellte Ansicht Zugriff auf die richtigen Logs bietet.

Log-Explorer aufrufen