이 문서에서는 gcloud CLI를 사용하여 Cloud Logging 버킷에서 로그 뷰를 만들고 관리하는 방법을 설명합니다. 로그 보기를 사용하면 로그 버킷 내 로그에 액세스할 수 있는 사용자를 더욱 세분화하여 제어할 수 있습니다.
Logging 스토리지 모델에 대한 일반적인 정보는 라우팅 및 스토리지 개요를 참조하세요.
로그 뷰 정보
로그 뷰를 사용하면 로그 버킷에 저장된 로그의 하위 집합에 대해서만 사용자에게 액세스 권한을 부여할 수 있습니다. 예를 들어 중앙 프로젝트의 조직 로그를 저장하는 시나리오를 가정해 보겠습니다. 로그 버킷에 로그를 제공하는 각 프로젝트에 대해 하나의 로그 뷰를 생성할 수 있습니다. 그런 후 각 사용자에게 하나 이상의 로그 뷰에 대한 액세스 권한을 부여하여 사용자가 볼 수 있는 로그를 제한할 수 있습니다.
Cloud Logging은 모든 로그 버킷에 대한 _AllLogs 뷰와 _Default 로그 버킷에 대한 _Default 뷰를 자동으로 만듭니다.
_AllLogs뷰: 로그 버킷의 모든 로그를 볼 수 있습니다._Default뷰: 로그 버킷의 모든 비 데이터 액세스 감사 로그를 볼 수 있습니다.
Cloud Logging에서 자동으로 생성된 뷰는 수정할 수 없습니다. 하지만 _AllLogs 뷰를 삭제할 수 있습니다.
로그 버킷당 최대 30개의 로그 뷰를 만들 수 있습니다.
각 로그 뷰에는 뷰에 표시되는 로그 항목을 제한하는 필터가 포함되어 있습니다. 필터에 논리적 AND 및 NOT 연산자를 포함할 수 있지만 논리적 OR 연산자는 포함할 수 없습니다.
필터로 다음 값을 비교할 수 있습니다.
source함수를 사용하는 데이터 소스.source함수는 조직, 폴더, Google Cloud 프로젝트 계층 구조의 특정 리소스에서 로그 항목을 반환합니다.log_id함수를 사용하는 로그 ID.log_id함수는logName필드에서 지정된LOG_ID인수와 일치하는 로그 항목을 반환합니다.resource.type=FIELD_NAME 비교를 사용하는 유효한 리소스 유형.
예를 들어 다음 필터는 myproject라는 Google Cloud 프로젝트에서 Compute Engine stdout 로그 항목을 캡처합니다.
source("projects/myproject") AND resource.type = "gce_instance" AND log_id("stdout")
필터링 구문에 대한 자세한 내용은 비교를 참조하세요.
시작하기 전에
로그 뷰를 만들거나 업데이트하기 전에 다음 단계를 완료합니다.
아직 수행하지 않았으면 적절한 Google Cloud 프로젝트에서 커스텀 로그 뷰를 구성할 Logging 버킷을 만듭니다.
-
로그 뷰를 생성, 보기, 업데이트, 삭제하는 데 필요한 권한을 얻으려면 관리자에게 프로젝트에 대한 로그 구성 작성자(
roles/logging.configWriter) IAM 역할을 부여해 달라고 요청하세요. 역할 부여에 대한 자세한 내용은 액세스 관리를 참조하세요. 보기에 포함할 로그를 결정합니다. 이 정보를 사용하여 로그 뷰의 필터를 지정합니다.
로그 뷰에 액세스할 수 있는 사용자를 결정합니다.
roles/logging.viewAccessor역할이 있는 주 구성원은 모든 로그 뷰에서 로그를 볼 수 있습니다. 하지만 Cloud Logging은 IAM 조건을 지원합니다. 조건을 사용하여 특정 로그 뷰에 대한 주 구성원 액세스 권한을 부여할 수 있습니다. 자세한 내용은 로그 뷰에 액세스 권한 부여를 참조하세요.
로그 뷰 만들기
로그 뷰를 만들려면 gcloud logging views update 명령어를 사용합니다.
로그 버킷당 최대 30개의 로그 뷰를 만들 수 있습니다.
아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.
- VIEW_ID: 로그 뷰의 식별자입니다.
- BUCKET_NAME: 로그 버킷의 이름입니다.
- LOCATION: 로그 버킷의 위치입니다.
- FILTER: 로그 뷰를 정의하는 필터입니다. 비어 있으면 로그 뷰에 모든 로그가 포함됩니다. 예를 들어 Compute Engine VM 인스턴스 로그로 필터링하려면
"resource.type=gce_instance"를 입력합니다. - DESCRIPTION: 로그 뷰에 대한 설명입니다. 예를 들어
"Compute logs"설명에 대해 다음을 입력할 수 있습니다.
gcloud logging views create 명령어를 실행합니다.
Linux, macOS 또는 Cloud Shell
gcloud logging views create VIEW_ID --bucket=BUCKET_NAME --location=LOCATION --log-filter=FILTER --description=DESCRIPTION
Windows(PowerShell)
gcloud logging views create VIEW_ID --bucket=BUCKET_NAME --location=LOCATION --log-filter=FILTER --description=DESCRIPTION
Windows(cmd.exe)
gcloud logging views create VIEW_ID --bucket=BUCKET_NAME --location=LOCATION --log-filter=FILTER --description=DESCRIPTION
이 명령어는 응답을 제공하지 않습니다. 변경사항을 확인하려면 gcloud logging views list 명령어를 실행하면 됩니다.
로그 버킷의 로그 뷰 나열
로그 버킷에 생성된 로그 뷰를 나열하려면 gcloud logging views list 명령어를 사용합니다.
아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.
- BUCKET_NAME: 로그 버킷의 이름입니다.
- LOCATION: 로그 버킷의 위치입니다.
gcloud logging views list 명령어를 실행합니다.
Linux, macOS 또는 Cloud Shell
gcloud logging views list --bucket=BUCKET_NAME --location=LOCATION
Windows(PowerShell)
gcloud logging views list --bucket=BUCKET_NAME --location=LOCATION
Windows(cmd.exe)
gcloud logging views list --bucket=BUCKET_NAME --location=LOCATION
응답 데이터는 로그 뷰 목록입니다. 각 로그 뷰에 대해 생성 및 마지막 업데이트 날짜와 함께 필터가 표시됩니다. 생성 및 업데이트 날짜가 비어 있으면 Google Cloud 프로젝트가 생성될 때 로그 뷰가 생성됩니다. 다음 예시 출력은 쿼리된 로그 버킷에 두 개의 뷰 ID(_AllLogs 및 compute)가 있음을 보여줍니다.
VIEW_ID: _AllLogs FILTER: CREATE_TIME: UPDATE_TIME: VIEW_ID: compute FILTER: resource.type="gce_instance" CREATE_TIME: 2024-02-20T17:41:17.405162921Z UPDATE_TIME: 2024-02-20T17:41:17.405162921Z
로그 뷰에 액세스 권한 부여
Google Cloud 프로젝트에서 roles/logging.viewAccessor 역할이 있는 주 구성원은 모든 로그 뷰에서 로그를 볼 수 있습니다. 하지만 Cloud Logging은 IAM 조건을 지원합니다.
조건을 사용하여 특정 로그 뷰에 대한 주 구성원 액세스 권한을 부여할 수 있습니다.
Google Cloud 프로젝트의 역할 바인딩에 IAM 조건이 지정되어 있습니다. 허용 정책에는 동일한 역할과 주 구성원이 있지만 다른 조건 표현식을 포함하는 역할 바인딩은 20개로 제한됩니다.
사용자가 로그에 액세스할 수 있도록 보기에 추가하려면 다음 단계를 완료하세요.
gcloud
프로젝트의 IAM 정책을 가져와 JSON 형식의 로컬 파일에 씁니다. 다음 명령어를 실행하기 전에 PROJECT_ID를 로그 버킷이 포함된 프로젝트의 ID로 바꿉니다.
gcloud projects get-iam-policy PROJECT_ID --format json > output.json
생성된 JSON 파일을 수정하고 사용자가 생성된 로그 버킷에서 읽을 수 있도록 IAM 조건을 추가합니다.
예를 들어 다음 예시에서는 지정된 구성원에게 단일 로그 뷰에 대해서만
"roles/logging.viewAccessor"역할을 부여하는 바인딩을 지정합니다.{ "bindings": [ { "members": [ "user:username@gmail.com" ], "role": "roles/logging.viewAccessor", "condition": { "title": "Bucket reader condition example", "description": "Grants logging.viewAccessor role to user username@gmail.com for the VIEW_ID log view.", "expression": "resource.name == \"projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/VIEW_ID\"" } } ], "etag": "BwWd_6eERR4=", "version": 3 }IAM 정책을 업데이트합니다.
gcloud projects set-iam-policy PROJECT_ID output.json
콘솔
로그 버킷을 만든 프로젝트에서 다음을 수행합니다.
-
Google Cloud 콘솔의 탐색 패널에서 IAM을 선택합니다.
액세스 권한 부여를 클릭합니다.
새 주 구성원 필드에 사용자의 이메일 계정을 추가합니다.
역할 선택 드롭다운 메뉴에서 로그 뷰 접근자를 선택합니다.
이 역할은 사용자에게 모든 보기에 대한 읽기 액세스 권한을 제공합니다. 특정 보기에 대한 사용자 액세스를 제한하려면 리소스 이름을 기준으로 조건을 추가합니다.
IAM 조건 추가를 클릭합니다.
조건의 제목 및 설명을 입력합니다.
조건 유형 드롭다운 메뉴에서 리소스 > 이름을 선택합니다.
연산자 드롭다운 메뉴에서 일치를 선택합니다.
값 필드에 뷰의 전체 경로를 포함한 로그 뷰의 ID를 입력합니다.
예를 들면 다음과 같습니다.
projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/VIEW_ID
저장을 클릭하여 조건을 추가합니다.
저장을 클릭하여 권한을 설정합니다.
로그 뷰 업데이트
로그 뷰를 업데이트하거나 수정하려면 gcloud logging views update 명령어를 사용합니다.
뷰 ID를 모르는 경우 로그 뷰 나열을 참조하세요.
아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.
- VIEW_ID: 로그 뷰의 식별자입니다.
- BUCKET_NAME: 로그 버킷의 이름입니다.
- LOCATION: 로그 버킷의 위치입니다.
- FILTER: 로그 뷰를 정의하는 필터입니다. 비어 있으면 로그 뷰에 모든 로그가 포함됩니다. 예를 들어 Compute Engine VM 인스턴스 로그로 필터링하려면
"resource.type=gce_instance"를 입력합니다. - DESCRIPTION: 로그 뷰에 대한 설명입니다. 예를 들어
"New description for the log view"설명에 대해 다음을 입력할 수 있습니다.
gcloud logging views update 명령어를 실행합니다.
Linux, macOS 또는 Cloud Shell
gcloud logging views update VIEW_ID --bucket=BUCKET_NAME --location=LOCATION --log-filter=FILTER --description=DESCRIPTION
Windows(PowerShell)
gcloud logging views update VIEW_ID --bucket=BUCKET_NAME --location=LOCATION --log-filter=FILTER --description=DESCRIPTION
Windows(cmd.exe)
gcloud logging views update VIEW_ID --bucket=BUCKET_NAME --location=LOCATION --log-filter=FILTER --description=DESCRIPTION
이 명령어는 응답을 제공하지 않습니다. 변경사항을 확인하려면 gcloud logging views describe 명령어를 실행하면 됩니다.
로그 뷰 삭제
로그 뷰를 삭제하려면 gcloud logging views delete 명령어를 사용합니다.
뷰 ID를 모르는 경우 로그 뷰 나열을 참조하세요.
아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.
- VIEW_ID: 로그 뷰의 식별자입니다.
- BUCKET_NAME: 로그 버킷의 이름입니다.
- LOCATION: 로그 버킷의 위치입니다.
gcloud logging views delete 명령어를 실행합니다.
Linux, macOS 또는 Cloud Shell
gcloud logging views delete VIEW_ID --bucket=BUCKET_NAME --location=LOCATION
Windows(PowerShell)
gcloud logging views delete VIEW_ID --bucket=BUCKET_NAME --location=LOCATION
Windows(cmd.exe)
gcloud logging views delete VIEW_ID --bucket=BUCKET_NAME --location=LOCATION
응답에서 삭제를 확인합니다. 예를 들어 다음은 tester라는 로그 뷰 삭제에 대한 응답을 보여줍니다.
Deleted [tester].
로그 뷰 설명
로그 뷰에 대한 자세한 정보를 검색하려면 gcloud logging views describe 명령어를 사용합니다.
뷰 ID를 모르는 경우 로그 뷰 나열을 참조하세요.
아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.
- VIEW_ID: 로그 뷰의 식별자입니다.
- BUCKET_NAME: 로그 버킷의 이름입니다.
- LOCATION: 로그 버킷의 위치입니다.
gcloud logging views describe 명령어를 실행합니다.
Linux, macOS 또는 Cloud Shell
gcloud logging views describe VIEW_ID --bucket=BUCKET_NAME --location=LOCATION
Windows(PowerShell)
gcloud logging views describe VIEW_ID --bucket=BUCKET_NAME --location=LOCATION
Windows(cmd.exe)
gcloud logging views describe VIEW_ID --bucket=BUCKET_NAME --location=LOCATION
응답에는 항상 로그 뷰의 설명과 정규화된 이름이 포함됩니다. 필터 필드가 비어 있지 않으면 필터도 포함됩니다. 다음은 샘플 응답입니다.
createTime: '2024-02-20T17:41:17.405162921Z' filter: resource.type="gce_instance" name: projects/my-project/locations/global/buckets/my-bucket/views/compute updateTime: '2024-02-20T17:41:17.405162921Z'
로그 뷰와 연결된 로그 보기
로그 뷰에서 로그를 보려면 로그 뷰에 대한 로그 뷰 접근자(roles/logging.viewAccessor) 역할이 있어야 합니다.
-
Google Cloud 콘솔의 탐색 패널에서 Logging을 선택한 후 로그 탐색기를 선택합니다.
범위 상세검색을 클릭하여 범위 상세검색 패널을 표시합니다. 여기에서 로그 확인에 사용할 로그 버킷과 로그 뷰를 선택할 수 있습니다.
자세한 내용은 로그 탐색기 문서를 참조하세요.