儲存記錄項目

本文將介紹記錄檔 bucket,這是 Cloud Logging 用來儲存記錄檔資料的容器。本文提供記錄檔儲存空間的位置、加密金鑰管理方式,以及資料保留時間等資訊。此外,本文也會說明如何使用機構政策或預設資源設定,控管資料夾或機構中新記錄檔值區的位置和加密設定。

關於記錄檔 bucket

根據預設,Cloud Logging 會加密靜態儲存的客戶內容。Logging 會使用金鑰加密金鑰,對儲存在記錄檔儲存空間中的資料進行加密,這個程序稱為「信封式加密」。如要存取記錄資料,必須先取得這些金鑰加密金鑰。 這些值預設為 Google-owned and Google-managed encryption keys ,您不必採取任何行動。

貴機構可能需要符合法規、法規遵循或進階加密要求,而預設的靜態加密機制無法滿足這些需求。為符合貴機構的需求,您可以自行管理金鑰,而不使用Google-owned and Google-managed encryption keys。

記錄檔 bucket 是具有固定位置的區域資源。 Google Cloud 會管理該基礎架構,確保應用程式在該區域內的可用區提供備援功能。

記錄檔 bucket 儲存的資料保留期限,取決於記錄檔 bucket。這份文件包含資料保留相關資訊。

您可以在記錄儲存區中建立記錄檢視區記錄檢視畫面只會提供記錄 bucket 中儲存的部分記錄資料存取權。Cloud Logging 會自動為每個記錄檔值區建立一個記錄檢視畫面,方便您存取記錄檔值區中的每個記錄項目。您可以使用身分與存取權管理 (IAM) 控管記錄檢視區的存取權。

如要查詢及查看記錄資料,請使用 Google Cloud 控制台的「記錄檔探索工具」或「記錄檔分析」頁面:

  • 您可以在「記錄檔探索工具」頁面中,排解及分析服務和應用程式的效能問題。您可以查看個別記錄項目,並篩選記錄資料。這個介面提供範圍設定,可讓您依專案、記錄值區或記錄檢視搜尋記錄資料。

  • 「記錄檔分析」頁面提供 SQL 介面,可讓您對升級為使用分析功能的記錄檔值區中儲存的記錄檔資料執行匯總分析。舉例來說,您可以使用這個介面計算趨勢並繪製圖表。您可以查詢記錄檢視區塊和數據分析檢視區塊

詳情請參閱「查詢及查看記錄項目」。

支援機構和資料夾

為協助貴機構滿足法規遵循需求,記錄檔支援機構政策和預設資源設定:

系統建立的記錄檔 bucket

Cloud Logging 會為每個 Google Cloud 專案、帳單帳戶、資料夾或機構建立兩個記錄檔值區,分別命名為 _Required_Default。除非已設定預設資源設定,否則這些記錄值區會具有Google-owned and Google-managed encryption keys ,且 Cloud Logging 會選取這些值區的位置。

您無法刪除系統建立的記錄檔 bucket。

您可以升級系統建立的記錄檔 bucket,以便使用分析功能。升級後,您就能使用支援 SQL 的「記錄檔分析」頁面查詢記錄檔資料。

_Required 記錄檔 bucket

_Required記錄值區會儲存法規遵循或稽核程序所需的記錄項目。因此,您無法刪除這個記錄值區,也無法修改儲存在這個記錄值區中的記錄項目。這個記錄檔 bucket 中的記錄檔項目會保留 400 天,您無法變更保留期限。

儲存在資源的 _Required 記錄 bucket 中的記錄項目,也源自該資源。也就是說, Google Cloud 專案中的 _Required 記錄 bucket 只能儲存該專案產生的記錄項目。

_Required 記錄值區會儲存下列類型的記錄項目:

_Default 記錄檔 bucket

_Default 記錄檔值區會儲存未自動儲存在 _Required 記錄檔值區中的記錄檔項目。_Default 記錄 bucket 是系統建立的,因此無法刪除。不過,您可以修改要儲存在這個記錄檔值區中的記錄項目。

Cloud Logging 會將記錄項目保留在 _Default 值區 30 天,除非您為該值區設定自訂保留時間

舉例來說,這個記錄值區會儲存:

使用者定義的記錄檔 bucket

您可以在任何Google Cloud 專案中建立使用者定義的記錄檔 bucket。建立使用者定義的記錄值區時,請選取位置並設定資料保留期限。您可以選擇提供客戶自行管理的加密金鑰。

您可以升級使用者定義的記錄檔 bucket,以便使用分析功能。升級後,您就能使用支援 SQL 的「記錄檔分析」頁面查詢記錄檔資料。

您可以修改及刪除使用者定義的記錄檔儲存空間。如要避免刪除儲存保留期限內記錄項目的記錄檔 bucket,可以鎖定記錄檔 bucket,防止更新

控管記錄檔值區的存取權

IAM 權限和角色可控管記錄資料的存取權。舉例來說,您可以執行下列所有操作:

  • 授予記錄 bucket 的讀取和編輯權限。
  • 根據群組成員資格使用標記,授予記錄值區的編輯存取權。
  • 如要控管記錄檔項目中特定欄位的存取權,請在記錄檔 bucket 中設定欄位層級存取權

  • 如要授予記錄 bucket 中部分記錄項目的存取權,請在該記錄 bucket 中建立記錄檢視畫面

    每個記錄 bucket 都有預設記錄檢視畫面,通常會包含記錄 bucket 中的所有記錄項目。對於 _Default 記錄 bucket,預設記錄檢視畫面會排除資料存取記錄項目。

如要授予使用者檢視及分析記錄檔項目的權限,通常會授予下列其中一個 IAM 角色:

  • 記錄檢視者 (roles/logging.viewer) 角色:授予 _Required 值區中所有記錄項目的存取權,以及 _Default 值區中預設記錄檢視畫面的存取權。

  • 私密記錄檢視者 (roles/logging.privateLogViewer) 角色:授予存取 _Required_Default 值區中所有記錄的權限,包括資料存取記錄。

如果您在記錄值區中建立使用者定義的記錄值區或記錄檢視畫面,則需要額外權限。如要進一步瞭解角色,請參閱「使用身分與存取權管理功能控管存取權」一文。

支援的地區清單

記錄檔值區是區域性資源。儲存、建立索引及搜尋記錄項目的基礎架構位於特定地理位置。除了 globaleuus 區域中的記錄檔 bucket 外, Google Cloud 會管理基礎架構,確保應用程式在記錄檔 bucket 所在區域的各個可用區中,都能以備援方式運作。

Cloud Logging 支援下列地區

全球

地區名稱 地區說明
global

儲存在世界各地資料中心的記錄。記錄可能會移至其他資料中心。與 Google Cloud中的其他全域資源不同,Cloud Logging 中的全域記錄檔值區不會提供額外的備援保證,與區域記錄檔值區相比,全域記錄檔值區的備援保證並無不同。

多個區域:歐盟和美國

地區名稱 地區說明
eu

儲存在歐盟境內任何資料中心的記錄。 記錄檔可能會移至其他資料中心。不提供額外的備援保證。
us

儲存在美國境內任何資料中心的記錄。記錄檔可能會移至其他資料中心。不提供額外的備援保證。

非洲

地區名稱 地區說明
africa-south1 約翰尼斯堡

美洲

地區名稱 地區說明
northamerica-northeast1 蒙特婁
northamerica-northeast2 多倫多
northamerica-south1 墨西哥
southamerica-east1 聖保羅
southamerica-west1 聖地亞哥
us-central1 愛荷華州
us-east1 南卡羅來納州
us-east4 北維吉尼亞
us-east5 哥倫布
us-south1 達拉斯
us-west1 奧勒岡州
us-west2 洛杉磯
us-west3 鹽湖城
us-west4 拉斯維加斯

亞太地區

地區名稱 地區說明
asia-east1 台灣
asia-east2 香港
asia-northeast1 東京
asia-northeast2 大阪
asia-northeast3 首爾
asia-south1 孟買
asia-south2 德里
asia-southeast1 新加坡
asia-southeast2 雅加達
australia-southeast1 雪梨
australia-southeast2 墨爾本

歐洲

地區名稱 地區說明
europe-central2 華沙
europe-north1 芬蘭
europe-north2 斯德哥爾摩
europe-southwest1 馬德里
europe-west1 比利時
europe-west2 倫敦
europe-west3 法蘭克福
europe-west4 荷蘭
europe-west6 蘇黎世
europe-west8 米蘭
europe-west9 巴黎
europe-west10 柏林
europe-west12 杜林

中東

地區名稱 地區說明
me-central1 杜哈
me-central2 達曼
me-west1 特拉維夫市

後續步驟