このページでは、指定されたリージョンの Cloud Logging バケットにログを保存する方法について説明します。規制または契約上の義務を満たすために、組織はログを特定のリージョンに保存しなければならない場合があります。このガイドでは、すべてのログを europe-west1 リージョンにリダイレクトする例を使用して、このプロセスについて説明します。
このプロセスには、次のステップが含まれます。
ログの保存に指定されたリージョンにログバケットを作成する。
_Default
シンクをリダイレクトして、ログを新しいログバケットに転送する。UI でログを検索する。
必要に応じて、ログの保持期間を更新する。
始める前に
このガイドの手順を完了するには、以下を確認しておく必要があります。
ログを保存するプロジェクト。この例では、logs-test-project というプロジェクトを使用します。
ログを保存するログバケットの名前と場所。この例では、バケット名は region-1-logs-bucket、場所は europe-west1 です。
ログバケットを作成する際に、次のいずれかのリージョンにログを保存することを選択できます。
asia-east1
europe-west1
us-central1
us-east1
us-west1
集約対象のログ。この例では、
_Default
シンクによって転送されたすべてのログを含めます。
ログバケットの作成
ログバケットには、他のプロジェクト、フォルダ、組織からルーティングされたログが保存されます。詳細については、ログバケットをご覧ください。
ログを保存するプロジェクトにバケットを作成するには、次の手順に従います。
ログの保存に使用しているプロジェクトで Google Cloud Console を開きます。
ターミナルで次のコマンドを実行してバケットを作成し、太字の部分は実際の情報に置き換えます。
gcloud logging buckets create region-1-logs-bucket \ --location=europe-west1 \ --project=logs-test-project
バケットが作成されたことを確認します。
gcloud logging buckets list --project=logs-test-project
_Default
ログシンクをリダイレクトする
ログシンクを作成することにより、ログバケットにログを転送します。シンクには、このシンクを介してエクスポートするログエントリを選択するログフィルタと、エクスポート先があります。このガイドでは、既存の _Default
シンクを更新して、ログをバケット region-1-logs-bucket に転送します。
シンクを更新するには、次のコマンドを実行し、太字の部分は実際の情報に置き換えます。
gcloud logging sinks update _Default \
logging.googleapis.com/projects/logs-test-project/locations/europe-west1/buckets/region-1-logs-bucket \
--log-filter='NOT LOG_ID("cloudaudit.googleapis.com/activity") AND NOT
LOG_ID("externalaudit.googleapis.com/activity") AND NOT
LOG_ID("cloudaudit.googleapis.com/system_event") AND NOT
LOG_ID("externalaudit.googleapis.com/system_event") AND NOT
LOG_ID("cloudaudit.googleapis.com/access_transparency") AND NOT
LOG_ID("externalaudit.googleapis.com/access_transparency")'
--description="Updated the _Default sink to route logs to the europe-west1 region"
シンクの確認に役立つログエントリを作成する
シンクが正しく更新されたことを確認するには、次の手順に従います。
gcloud logging write
コマンドを使用して、テスト ログ メッセージをリージョン化されたバケットに送信します。例:gcloud logging write TEST_LOG_NAME "Test to route logs to region-1-logs-bucket" --project=logs-test-project
数分後に、ログ エクスプローラでログエントリが表示されます。
[Log field] ペインで、[グローバル] リソースタイプを選択します。
テストのログエントリが [クエリ結果] パネルに表示されます。
UI でログを検索する
前のセクションで権限を設定したら、UI に移動して次の手順に従います。
ログの保存に使用しているプロジェクトの Logging メニューから、[ログ エクスプローラ] を選択します。
[範囲を絞り込む] を選択します。
[範囲を絞り込む] パネルで、[ストレージごとのスコープ] を選択します。
[region-1-logs-bucket] を選択します。
[適用] をクリックします。
[ログ エクスプローラ] が更新され、バケットのログが表示されます。
ログ エクスプローラの使用については、ログ エクスプローラの使用をご覧ください。
(省略可)バケットのログ保持期間を更新する
バケット内のログの保持期間を変更するには、次のコマンドを実行します。
gcloud logging buckets update region-1-logs-bucket \
--location=europe-west1 --project=logs-test-project \
--retention-days=14