ログバケットを使用したプロジェクト ログのリージョナライズ

このページでは、指定されたリージョンの Cloud Logging バケットにログを保存する方法について説明します。規制または契約上の義務を満たすために、組織はログを特定のリージョンに保存しなければならない場合があります。このガイドでは、すべてのログを europe-west1 リージョンにリダイレクトする例を使用して、このプロセスについて説明します。

このプロセスには、次のステップが含まれます。

  1. ログの保存に指定されたリージョンにログバケットを作成する。

  2. _Default シンクをリダイレクトして、ログを新しいログバケットに転送する。

  3. UI でログを検索する。

  4. 必要に応じて、ログの保持期間を更新する。

始める前に

このガイドの手順を完了するには、以下を確認しておく必要があります。

  • ログを保存するプロジェクト。この例では、logs-test-project というプロジェクトを使用します。

  • ログを保存するログバケットの名前と場所。この例では、バケット名は region-1-logs-bucket、場所は europe-west1 です。

    ログバケットを作成する際に、次のいずれかのリージョンにログを保存することを選択できます。

    • asia-east1
    • europe-west1
    • us-central1
    • us-east1
    • us-west1
  • 集約対象のログ。この例では、_Default シンクによって転送されたすべてのログを含めます。

ログバケットの作成

ログバケットには、他のプロジェクト、フォルダ、組織からルーティングされたログが保存されます。詳細については、ログバケットをご覧ください。

ログを保存するプロジェクトにバケットを作成するには、次の手順に従います。

  1. ログの保存に使用しているプロジェクトで Google Cloud Console を開きます。

    Google Cloud Console に移動

  2. ターミナルで次のコマンドを実行してバケットを作成し、太字の部分は実際の情報に置き換えます。

     gcloud logging buckets create region-1-logs-bucket \
       --location=europe-west1 \
       --project=logs-test-project
    
  3. バケットが作成されたことを確認します。

    gcloud logging buckets list --project=logs-test-project
    

_Default ログシンクをリダイレクトする

ログシンクを作成することにより、ログバケットにログを転送します。シンクには、このシンクを介してエクスポートするログエントリを選択するログフィルタと、エクスポート先があります。このガイドでは、既存の _Default シンクを更新して、ログをバケット region-1-logs-bucket に転送します。

シンクを更新するには、次のコマンドを実行し、太字の部分は実際の情報に置き換えます。

gcloud logging sinks update _Default \
  logging.googleapis.com/projects/logs-test-project/locations/europe-west1/buckets/region-1-logs-bucket \
  --log-filter='NOT LOG_ID("cloudaudit.googleapis.com/activity") AND NOT
    LOG_ID("externalaudit.googleapis.com/activity") AND NOT
    LOG_ID("cloudaudit.googleapis.com/system_event") AND NOT
    LOG_ID("externalaudit.googleapis.com/system_event") AND NOT
    LOG_ID("cloudaudit.googleapis.com/access_transparency") AND NOT
    LOG_ID("externalaudit.googleapis.com/access_transparency")'
  --description="Updated the _Default sink to route logs to the europe-west1 region"

シンクの確認に役立つログエントリを作成する

シンクが正しく更新されたことを確認するには、次の手順に従います。

  1. gcloud logging write コマンドを使用して、テスト ログ メッセージをリージョン化されたバケットに送信します。例:

    gcloud logging write TEST_LOG_NAME "Test to route logs to region-1-logs-bucket" --project=logs-test-project
    
  2. 数分後に、ログ エクスプローラでログエントリが表示されます。

    ログ エクスプローラに移動

  3. [Log field] ペインで、[グローバル] リソースタイプを選択します。

  4. テストのログエントリが [クエリ結果] パネルに表示されます。

UI でログを検索する

前のセクションで権限を設定したら、UI に移動して次の手順に従います。

  1. ログの保存に使用しているプロジェクトの Logging メニューから、[ログ エクスプローラ] を選択します。

    ログ エクスプローラに移動

  2. [範囲を絞り込む] を選択します。

  3. [範囲を絞り込む] パネルで、[ストレージごとのスコープ] を選択します。

  4. [region-1-logs-bucket] を選択します。

  5. [適用] をクリックします。

  6. [ログ エクスプローラ] が更新され、バケットのログが表示されます。

    ログ エクスプローラの使用については、ログ エクスプローラの使用をご覧ください。

(省略可)バケットのログ保持期間を更新する

バケット内のログの保持期間を変更するには、次のコマンドを実行します。

gcloud logging buckets update region-1-logs-bucket \
  --location=europe-west1 --project=logs-test-project \
  --retention-days=14