Auf dieser Seite wird beschrieben, wie Sie Logs in einem Cloud Logging-Bucket in einer bestimmten Region speichern. Eine Liste der unterstützten Regionen finden Sie unter Standorte.
In diesem Leitfaden wird der Prozess beispielhaft anhand der Weiterleitung aller Logs in die Region europe-west1 erläutert. Dieser Vorgang umfasst folgende Schritte:
Erstellen Sie einen Log-Bucket in der dafür vorgesehenen Region zum Speichern der Logs.
Leiten Sie die Senke
_Defaultweiter, um die Logs an den neuen Log-Bucket weiterzuleiten.Suchen Sie im Log-Explorer nach Logs.
(Optional) Aktualisieren Sie die Aufbewahrungsdauer für Logs.
Überblick
In Logging sind Log-Buckets regionale Ressourcen: die Infrastruktur, in der Ihre Logs gespeichert, indexiert und durchsucht werden, befindet sich an einem bestimmten geografischen Standort. Google verwaltet diese Infrastruktur, sodass Ihre Anwendungen in den Zonen innerhalb dieser Region redundant verfügbar sind.
Ihre Organisation muss Logdaten möglicherweise in bestimmten Regionen speichern. Einer der primären Hauptfaktoren bei der Auswahl der Region, in der Logs gespeichert werden, ist die Erfüllung der Anforderungen Ihres Unternehmens in Bezug auf Latenz, Verfügbarkeit oder Compliance. Berücksichtigen Sie bei der Auswahl einer Region für den Logspeicher die Standorte der anderen Google Cloud-Produkte und -Dienste, die Ihre Anwendung verwendet.
Wichtige Konzepte
Die folgenden wichtigen Konzepte gelten für die Datenregionalität für Logging.
Log-Router-Standorte
Der Log-Router verarbeitet alle Logeinträge, die in die Cloud Logging API geschrieben wurden. Er prüft jeden Logeintrag auf vorhandene Regeln, um zu bestimmen, welche Logeinträge in Logging-Buckets gespeichert werden und welche Logeinträge mithilfe von Senken an unterstützte Ziele weitergeleitet werden. Um Logs zuverlässig weiterzuleiten, speichert der Log Router die Logs auch vorübergehend, um sie vor vorübergehenden Unterbrechungen einer Senke zu schützen.
Der Log-Router verarbeitet Logs in der Region, in der sie empfangen werden. Je nach Definition einer Senke sendet Log Router Logs an eine andere Region oder wenn Sie die Logdaten für einen anderen Google-Dienst wie Security Command Center Threat Detection freigegeben haben. Senken gelten unabhängig von der Region für alle Logs gleichermaßen.
Log-Bucket-Standorte
Log-Buckets sind die Container in Ihrem Google Cloud-Projekt, Ihrem Rechnungskonto, Ihrem Ordner und Ihrer Organisation, in denen Ihre Logdaten gespeichert und organisiert werden.
Logging erstellt für jedes Google Cloud-Projekt, jedes Rechnungskonto, jeden Ordner und jede Organisation automatisch zwei Log-Buckets: _Required und _Default, für die der Standort global festgelegt ist. Sie können den Standort vorhandener Buckets nicht ändern. Ihre Organisation kann jedoch eine Richtlinie erstellen, mit der ein anderer Standardspeicherort für diese Buckets festgelegt wird. Weitere Informationen finden Sie unter Standardeinstellungen für Organisationen konfigurieren.
Sie können für jedes Google Cloud-Projekt auch benutzerdefinierte Buckets erstellen. Wenn Sie einen benutzerdefinierten Bucket erstellen, können Sie einen Standort region zum Speichern der Logdaten angeben. Nachdem Sie den Bucket erstellt haben, kann der Standort nicht mehr geändert werden. Sie können jedoch einen neuen Bucket erstellen und Logs mithilfe von Senken an diesen Bucket weiterleiten. Informationen zum Festlegen der Region für Ihre Buckets finden Sie unter Logs regionalisieren.
Logging unterstützt das gemeinsame Abfragen von Logs aus mehreren Regionen. In diesem Fall werden Abfragen an denselben Standorten wie die abgefragten Buckets verarbeitet und dann in der Region zusammengefasst, aus der die Abfrage empfangen wurde, um die Ergebnisse zurückzugeben.
Hinweise
Für die Schritte in dieser Anleitung müssen Sie Folgendes wissen:
In welchem Google Cloud-Projekt möchten Sie die Logs speichern? In dieser Anleitung verwenden wir ein Google Cloud-Projekt namens logs-test-project.
Wie lauten Name und Standort des Log-Buckets, in dem Sie die Logs speichern möchten? In dieser Anleitung lautet der Bucket-Name region-1-logs-bucket und der Standort ist europe-west1.
Welche Logs sollen berücksichtigt werden? In dieser Anleitung werden alle Logs berücksichtigt, die von der Senke
_Defaultweitergeleitet werden.
Unterstützte Regionen
Beim Erstellen des Log-Buckets können Sie auswählen, wo die Logs gespeichert werden sollen. Eine Liste der unterstützten Regionen finden Sie unter Standorte.
Log-Bucket erstellen
Log-Buckets speichern von anderen Google Cloud-Projekten, Ordnern oder Organisationen weitergeleitete Logs. Weitere Informationen finden Sie unter Log-Buckets konfigurieren.
So erstellen Sie den Bucket in dem Google Cloud-Projekt, in dem Sie Logs speichern möchten:
-
Rufen Sie die Google Cloud Console auf oder klicken Sie auf die folgende Schaltfläche:
Führen Sie in einem Terminal den folgenden Befehl aus, um einen Bucket zu erstellen. Ersetzen Sie dabei die fett markierten Teile durch Ihre eigenen Informationen:
gcloud logging buckets create region-1-logs-bucket \ --location=europe-west1 \ --project=logs-test-projectPrüfen Sie, ob der Bucket erstellt wurde:
gcloud logging buckets list --project=logs-test-project
_Default-Logsenke weiterleiten
Um Logs zu einem Log-Bucket weiterzuleiten, können Sie eine Senke erstellen. Eine Senke enthält einen Filter, der bestimmt, welche Logeinträge über die Senke exportiert werden, sowie ein Ziel. In diesem Leitfaden aktualisieren Sie die vorhandene Senke _Default, um Logs an den Bucket region-1-logs-bucket weiterzuleiten.
Führen Sie zum Aktualisieren der Senke den folgenden Befehl aus. Ersetzen Sie dabei die Teile in Fettschrift durch Ihre eigenen Informationen:
gcloud logging sinks update _Default \
logging.googleapis.com/projects/logs-test-project/locations/europe-west1/buckets/region-1-logs-bucket \
--log-filter='NOT LOG_ID("cloudaudit.googleapis.com/activity") AND NOT
LOG_ID("externalaudit.googleapis.com/activity") AND NOT
LOG_ID("cloudaudit.googleapis.com/system_event") AND NOT
LOG_ID("externalaudit.googleapis.com/system_event") AND NOT
LOG_ID("cloudaudit.googleapis.com/access_transparency") AND NOT
LOG_ID("externalaudit.googleapis.com/access_transparency")' \
--description="Updated the _Default sink to route logs to the europe-west1 region"
Logeintrag zum Testen der Senke erstellen
Führen Sie die folgenden Schritte aus, um zu prüfen, ob Sie die Senke ordnungsgemäß aktualisiert haben:
Senden Sie mit dem Befehl
gcloud logging writeeine Test-Lognachricht an den regionalisierten Bucket und warten Sie einige Minuten. Beispiel:gcloud logging write TEST_LOG_NAME "Test to route logs to region-1-logs-bucket" --project=logs-test-project-
Wählen Sie im Navigationsbereich der Google Cloud Console Logging und anschließend Log-Explorer aus:
Wählen Sie im Bereich Logfeld den Ressourcentyp Global aus.
Der Testlogeintrag wird im Bereich Abfrageergebnisse angezeigt.
Logs in der Google Cloud Console suchen
Nachdem Sie die Berechtigungen im vorherigen Abschnitt festgelegt haben, rufen Sie die Google Cloud Console auf und führen Sie die folgenden Schritte aus:
-
Wählen Sie im Navigationsbereich der Google Cloud Console Logging und anschließend Log-Explorer aus:
Wählen Sie Bereich eingrenzen aus.
Wählen Sie unter Bereich eingrenzen die Option Bereich nach Speicher aus.
Wählen Sie region-1-logs-bucket aus.
Klicken Sie auf Anwenden.
Der Log-Explorer wird aktualisiert und zeigt die Logs Ihres Buckets an.
Informationen zur Verwendung des Log-Explorers finden Sie unter Log-Explorer verwenden.
[Optional] Aufbewahrungsdauer des Bucket-Logs aktualisieren
Führen Sie den folgenden Befehl aus, um die Aufbewahrungsdauer für Ihre Logs in Ihrem Bucket zu ändern:
gcloud logging buckets update region-1-logs-bucket \
--location=europe-west1 --project=logs-test-project \
--retention-days=14
Weitere Informationen
Weitere standortbasierte Konzepte (z. B. Zonen), die für andere Google Cloud-Dienste gelten
Lesen Sie die folgenden Whitepaper, die Best Practices für Data Governance enthalten: