ログルーターの概要

このページでは、Cloud Logging のログルーターについて説明します。

Google Cloud のオペレーション スイートによるログの転送方法

Cloud Logging では、監査ログ、プラットフォーム ログ、ユーザーログを含むすべてのログが Cloud Logging API に送信され、ログルーターを通過します。ログルーターは、各ログエントリを既存のルールと照合して、破棄するログエントリ、Cloud Logging で取り込む(保存する)ログエントリ、ログシンクを使用してエクスポートするログエントリを判断します。

次の図は、Cloud Logging がログエントリをルーティングする方法を示しています。

Cloud Logging がログエントリをルーティングする方法を示す図。

Cloud Logging は、受信した各ログエントリを、それぞれ独立して動作する Google Cloud プロジェクト、組織、またはフォルダのログシンクと比較します。

  • シンク。Cloud Logging は、ログエントリをシンクのフィルタと比較して、ログエントリをシンクの送信先にルーティングするかどうかを決定します。次に、一致するログエントリをシンクの除外フィルタと比較して、ログエントリを破棄するか、シンクの送信先にルーティングするかを決定します。ログシンクを使用して、サポートされているエクスポート先にログエントリをエクスポートできます。

  • 除外。デフォルトでは、すべてのプロジェクトに Cloud Logging の _Default ログバケットに保存されるすべてのログをルーティングする _Default ログシンクがあります。 ログの除外は、_Default ログシンクの除外フィルタを制御し、一致するログがデフォルトで Cloud Logging に保存されないようにするために使用できます。

ログの除外ログシンクなど、図にあるコンセプトの説明については、Cloud Logging のドキュメントをご覧ください。

Logging は、取り込まれたプロジェクト内のログのみを保存できます。ログルーターを使用して、特定のログを他のプロジェクト内のサポートされているエクスポート先にエクスポートできますが、それらのログはそのプロジェクト内の Logging では表示されません。Logging は、BigQueryPub/SubCloud Storage の 3 つのシンクの送信先をサポートしています。シンクは、Google Cloud プロジェクト レベルか、集約シンクを使用して組織レベルまたはフォルダレベルで設定できます。

Cloud Storage にログを確実にエクスポートするために、ログルーターはログを一時的に保存し、ログシンクの一時的な中断から保護します。ログルーターの一時ストレージは、含まれるログエントリ用の長期ストレージとは異なります。

ログルーターの顧客管理の暗号鍵(CMEK)を有効にして、組織のコンプライアンスのニーズを満たすことができます。詳細については、ログルーターの顧客管理の暗号鍵の有効化をご覧ください。