Raggruppa e inoltra i log in modo retroattivo

Questa pagina descrive come copiare manualmente le voci di log già archiviate nei bucket di log di Cloud Logging nei bucket Cloud Storage. Un'operazione di copia non richiede che il bucket dei log e il bucket Cloud Storage si trovino nello stesso progetto Google Cloud.

Potresti voler copiare le voci di log dai bucket log ai bucket Cloud Storage per i seguenti motivi:

  • Se hai dimenticato di inoltrare le voci di log a Cloud Storage prima di archiviarle in Logging.
  • Per condividere le voci dei log con gli auditor all'esterno di Logging.
  • Per analizzare le voci di log con script in Cloud Storage.

Quando copi le voci di log in Cloud Storage, queste rimangono anche nel bucket di log da cui sono state copiate.

Le operazioni di copia non sostituiscono i sink, che inviano automaticamente tutte le voci di log in arrivo corrispondenti ai filtri di inclusione ed esclusione a una destinazione di archiviazione supportata preselezionata, inclusi i bucket Cloud Storage. Utilizza i sink se vuoi archiviare le voci di log in un bucket Cloud Storage.

Per copiare i log e gestire e monitorare l'operazione, devi utilizzare Google Cloud CLI.

Limitazioni

Quando copi le voci di log, si applicano le seguenti limitazioni:

  • Puoi copiare i log solo nei bucket Cloud Storage. Altre destinazioni non sono disponibili.

  • Non puoi copiare i log dai bucket di log in cui è configurata la CMEK.

Prima di iniziare

Prima di iniziare a copiare i log, svolgi i seguenti passaggi:

  • Per ottenere le autorizzazioni necessarie per copiare le voci di log, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto che contiene il bucket dei log da cui stai copiando:

  • Per ottenere le autorizzazioni necessarie per scrivere voci di log in Cloud Storage, chiedi all'amministratore di concederti il ruolo IAM Creatore di oggetti archiviazione (roles/storage.objectCreator) nel progetto che contiene il bucket Cloud Storage.

Copia delle voci di log

La registrazione copia solo le voci di log archiviate nel bucket di log quando inizia l'operazione di copia. Le voci di log archiviate nei bucket di log dopo l'avvio dell'operazione di copia non vengono copiate in Cloud Storage.

Per copiare le voci di log in Cloud Storage, devi conoscere le seguenti informazioni:

  • L'ID e la posizione del bucket dei log da cui stai copiando. Per recuperare l'ID bucket dei log e la relativa posizione, utilizza il comando gcloud CLI gcloud logging buckets list.
  • Il nome del bucket Cloud Storage in cui stai copiando. Per informazioni su come recuperare il nome del bucket Cloud Storage, consulta Ottenere informazioni sul bucket Cloud Storage.
  • Un filtro per le voci di log che vuoi copiare.

Per copiare le voci di log, esegui il comando gcloud logging copy:

gcloud logging copy BUCKET_ID storage.googleapis.com/CLOUD_STORAGE_BUCKET_NAME \
--location=LOCATION --log-filter='FILTER' --project=PROJECT_ID

Prima di eseguire il comando precedente, segui questi passaggi:

  • Sostituisci BUCKET_ID con il nome del bucket dei log.
  • Sostituisci CLOUD_STORAGE_BUCKET_NAME con il nome del tuo bucket Cloud Storage.
  • Sostituisci LOCATION con la posizione del bucket dei log.

  • (Facoltativo) Sostituisci FILTER con il filtro che definisce quali log devono essere copiati.

    Se ometti il flag --log-filter, tutte le voci di log nel bucket di log vengono copiate nel bucket Cloud Storage.

  • Sostituisci PROJECT_ID con l'ID del tuo progetto Google Cloud. Puoi omettere questo flag quando la configurazione gcloud CLI attiva è impostata sul progetto Google Cloud corretto.

Comando di esempio:

gcloud logging copy my-log-bucket storage.googleapis.com/my-gcs-bucket \
--location=global --log-filter='timestamp > "2024-07-18T10:00:00.0Z"' \
--project=my-project

Questo comando crea un'operazione a lungo termine da eseguire in background e restituisce il nome dell'operazione di copia e la posizione del bucket dei log:

name: projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID

La posizione dell'operazione di copia è la stessa del bucket log da cui esegui la copia.

Visualizzare e gestire le operazioni di copia

Puoi visualizzare e gestire le operazioni di copia utilizzando i comandi gcloud logging operations che ti consentono di elencare, visualizzare e annullare le operazioni.

I seguenti comandi richiedono di specificare la posizione dell'operazione. Utilizza la posizione del bucket di log. Per informazioni su come trovare la posizione del bucket dei log, consulta Visualizzare i dettagli di un bucket.

Elenca le operazioni di copia

Puoi elencare le operazioni di copia recenti, tra cui quelle pianificate, in esecuzione, completate, non riuscite e annullate. Le operazioni di copia recenti vengono visualizzate nei risultati per un massimo di 30 giorni dopo l'ora di fine.

Per elencare le operazioni di copia, esegui il comando seguente:

gcloud logging operations list --location=LOCATION \
--operation-filter=request_type=CopyLogEntries \
--project=PROJECT_ID

Prima di eseguire il comando precedente, segui questi passaggi:

  • Sostituisci LOCATION con la posizione del bucket dei log da cui stai copiando.
  • Sostituisci PROJECT_ID con l'ID del tuo progetto Google Cloud.

Il comando restituisce informazioni sull'operazione a lunga esecuzione, incluso l'ID operazione:

projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID

Visualizzare lo stato di un'operazione di copia

Puoi recuperare lo stato e altri metadati relativi alle operazioni di copia, tra cui:

  • startTime: il timestamp che indica la creazione dell'operazione.
  • endTime: il timestamp che indica il completamento dell'operazione.
  • state: lo stato dell'operazione (pianificata, in esecuzione, annullata, non riuscita o riuscita).
  • cancellation: indica se l'utente ha richiesto di annullare l'operazione.
  • progress: avanzamento stimato dell'operazione (0-100%).
  • destination: il nome del bucket Cloud Storage a cui l'operazione copia i log.
  • filter: il filtro che specifica le voci di log da copiare.
  • name: il nome del bucket dei log da cui l'operazione copia i log.
  • logEntriesCopiedCount: il numero di voci di log copiate correttamente nel bucket Cloud Storage dall'operazione.

Tieni presente che non tutti i campi dei metadati elencati si applicano a ogni operazione di copia. Ad esempio, se un'operazione di copia è ancora in esecuzione, i metadati endtime non verranno applicati all'operazione. Un altro esempio: se il --log-filter=FILTER non è stato utilizzato durante l'esecuzione del gcloud logging copy, i metadati filter non verranno applicati all'operazione.

Per recuperare informazioni su un'operazione di copia, esegui il seguente comando:

gcloud logging operations describe OPERATION_ID \
--location=LOCATION --project=PROJECT_ID

Prima di eseguire il comando precedente, segui questi passaggi:

  • Sostituisci OPERATION_ID con l'ID dell'operazione.
  • Sostituisci LOCATION con la posizione del bucket dei log da cui stai copiando.
  • Sostituisci PROJECT_ID con l'ID del tuo progetto Google Cloud.

Il comando restituisce i metadati relativi all'operazione di copia. Ad esempio, di seguito è riportato un output per un'operazione in corso:

done: false
metadata:
  `@type`: type.googleapis.com/google.logging.v2.CopyLogEntriesMetadata
  progress: 75
  destination: storage.googleapis.com/my-storage-bucket-1
  source: projects/my-test-project/locations/us-central1/buckets/my-logging-bucket-2
  verb: copy
  startTime: `2024-05-23T10:52:40.039751Z`
  state: OPERATION_STATE_RUNNING
name: projects/my-test-project/locations/us-central1/buckets/my-logging-bucket-2
   </pre>

Annullare un'operazione di copia

Puoi annullare un'operazione di copia in corso. Se annulli un'operazione di copia, tutte le voci di log copiate prima dell'annullamento dell'operazione rimangono nel bucket Cloud Storage.

Dopo aver annullato un'operazione di copia, la registrazione completa tutte le operazioni in corso prima di completare l'annullamento. Ciò potrebbe comportare che alcune voci di log vengano comunque copiate in Cloud Storage dopo l'annullamento dell'operazione.

Per annullare un'operazione di copia, esegui il seguente comando:

gcloud logging operations cancel OPERATION_ID \
--location=LOCATION --project=PROJECT_ID

Prima di eseguire il comando precedente, segui questi passaggi:

  • Sostituisci OPERATION_ID con l'ID dell'operazione.
  • Sostituisci LOCATION con la posizione del bucket dei log da cui stai copiando.
  • Sostituisci PROJECT_ID con l'ID del tuo progetto Google Cloud.

Visualizzare i log in Cloud Storage

Per visualizzare e comprendere i log che hai copiato in Cloud Storage, consulta Visualizzare i log inviati a Cloud Storage.

Quote e limiti

Il completamento di tutte le operazioni di copia richiede almeno un'ora, indipendentemente dalla quantità di dati da copiare.

Per copiare un volume elevato, ad esempio petabyte, suddividi la copia su più operazioni utilizzando il campo timestamp nel flag --filter.

Il comando di copia non può copiare le voci di log la cui conservazione è scaduta.

Prezzi

Cloud Logging non addebita alcun costo per il routing dei log a una destinazione supportata. Tuttavia, la destinazione potrebbe applicare dei costi. Ad eccezione del bucket di log _Required, Cloud Logging addebita lo streaming dei log nei bucket di log e per l'archiviazione per un periodo superiore al periodo di conservazione predefinito del bucket di log.

Cloud Logging non addebita alcun costo per la copia dei log, per la definizione degli ambiti dei log o per le query inviate tramite le pagine Esplora log o Analisi dei log.

Per ulteriori informazioni, consulta i seguenti documenti: