Audit-Logs für automatische Sicherungen aufrufen

MySQL | PostgreSQL | SQL Server

Auf dieser Seite wird beschrieben, wie Sie ein Audit-Log für eine automatische Sicherung Ihrer Cloud SQL-Instanz aufrufen.

Mit Audit-Logs können Sie Folgendes tun:

Prüfen Sie anhand eines Audit-Logs, ob die Sicherung erfolgreich abgeschlossen wurde.
Konfigurieren Sie eine logbasierte Benachrichtigung, damit Sie über den Status der Sicherung informiert werden.

Audit-Log aufrufen

Sie können die Google Cloud Console, gcloud CLI oder die API verwenden, um ein Audit-Log aufzurufen und zu prüfen, ob eine Sicherung innerhalb eines Sicherungsfensters erfolgreich abgeschlossen wurde.

Console

Wählen Sie in der Google Cloud Console Logging und anschließend Log-Explorer aus.

Zum Log-Explorer
Führen Sie die folgende Abfrage aus, um nach Audit-Logs für automatische Sicherungen von Cloud SQL-Instanzen zu filtern:
```
logName="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event"
protoPayload.methodName="cloudsql.instances.automatedBackup"
resource.type="cloudsql_database"
```
Ersetzen Sie PROJECT_ID durch die ID Ihres Google Cloud-Projekts.

Der erste Ausdruck filtert nach Audit-Logs zu Systemereignissen. Der zweite Ausdruck filtert nach Audit-Logs für automatische Sicherungen. Der letzte Ausdruck filtert nach Audit-Logs für Cloud SQL-Instanzen.

Weitere Informationen zur Abfrage der Audit-Logs über die Google Cloud Console finden Sie unter Logs ansehen.
Rufen Sie den Status einer Sicherung auf, die während des Sicherungszeitraums erstellt wurde. Dieser Status wird im Feld windowStatus angezeigt. Führen Sie die folgenden Schritte aus, um dieses Feld aufzurufen:
1. Klicken Sie auf das Audit-Log.
2. Klicken Sie auf das Feld metadata.

gcloud

Führen Sie die folgende Abfrage aus, um nach Audit-Logs für automatische Sicherungen von Cloud SQL-Instanzen zu filtern:
```
gcloud logging read \
"logName=projects/PROJECT_NAME/logs/cloudaudit.googleapis.com%2Fsystem_event
AND protoPayload.methodName=cloudsql.instances.automatedBackup AND
resource.type=cloudsql_database" \
    --project=PROJECT_NAME
```
Ersetzen Sie PROJECT_NAME durch den Namen Ihres Google Cloud-Projekts.

Der erste Ausdruck filtert nach Audit-Logs zu Systemereignissen. Der zweite Ausdruck filtert nach Audit-Logs für automatische Sicherungen. Der letzte Ausdruck filtert nach Audit-Logs für Cloud SQL-Instanzen.

Weitere Informationen zur Abfrage von Audit-Logs mit gcloud finden Sie unter Logs ansehen.
Rufen Sie den Status einer Sicherung auf, die während des Sicherungszeitraums erstellt wurde. Dieser Status wird im Feld windowStatus angezeigt.

API

Ersetzen Sie dabei folgende Werte für die Anfragedaten:

PROJECT_ID: ID Ihres Google Cloud-Projekts.

Für den JSON-Text der Anfrage filtert der erste Ausdruck nach Audit-Logs zu Systemereignissen. Der zweite Ausdruck filtert Audit-Logs für automatische Sicherungen. Der letzte Ausdruck filtert Audit-Logs für Cloud SQL-Instanzen.

Weitere Informationen zur Verwendung der API zum Abfragen von Audit-Logs finden Sie unter Logs ansehen.

HTTP-Methode und URL:

POST https://logging.googleapis.com/v2/entries:list

JSON-Text anfordern:

{
     "resourceNames": [
     "projects/PROJECT_ID"
      ],
     "pageSize": 5,
     "filter": "logName=projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event AND protoPayload.methodName = cloudsql.instances.automatedBackup AND resource.type=cloudsql_database",
     "orderBy": "timestamp desc"
}

Wenn Sie die Anfrage senden möchten, maximieren Sie eine der folgenden Optionen:

curl (Linux, macOS oder Cloud Shell)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto in der gcloud CLI angemeldet haben. Dazu haben Sie gcloud init oder gcloud auth login ausgeführt oder die Cloud Shell genutzt, die Sie automatisch in der gcloud CLI anmeldet. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

curl -X POST \
     -H "Authorization: Bearer $(gcloud auth print-access-token)" \
     -H "Content-Type: application/json; charset=utf-8" \
     -d @request.json \
     "https://logging.googleapis.com/v2/entries:list"

PowerShell (Windows)

Hinweis: Der folgende Befehl setzt voraus, dass Sie sich mit Ihrem Nutzerkonto in der gcloud-Befehlszeile angemeldet haben. Dazu führen Sie gcloud init oder gcloud auth login aus. Um herauszufinden, welches Konto gerade aktiv ist, führen Sie gcloud auth list aus.

Speichern Sie den Anfragetext in einer Datei mit dem Namen request.json und führen Sie den folgenden Befehl aus:

$cred = gcloud auth print-access-token
$headers = @{ "Authorization" = "Bearer $cred" }

Invoke-WebRequest `
    -Method POST `
    -Headers $headers `
    -ContentType: "application/json; charset=utf-8" `
    -InFile request.json `
    -Uri "https://logging.googleapis.com/v2/entries:list" | Select-Object -Expand Content

Sie sollten in etwa folgende JSON-Antwort erhalten:

Antwort

{
  "entries": [
    {
      "protoPayload": {
        "@type": "type.googleapis.com/google.cloud.audit.AuditLog",
        "status": {
          "message": "OK"
        },
        "authenticationInfo": {},
        "requestMetadata": {
          "requestAttributes": {},
          "destinationAttributes": {}
        },
        "serviceName": "cloudsql.googleapis.com",
        "methodName": "cloudsql.instances.automatedBackup",
        "resourceName": "projects/PROJECT_ID/instances/INSTANCE_NAME",
        "metadata": {
          "windowStartTime": "2022-12-15T13:00:00Z",
          "message": "",
          "windowStatus": "STATUS_SUCCEEDED",
          "@type": "type.googleapis.com/speckle.AutomatedBackupEventLog",
          "windowEndTime": "2022-12-15T17:00:00Z",
          "backupCompletionTime": "2022-12-15T14:11:57.347Z",
          "backupStartTime": "2022-12-15T14:11:16.631Z"
        }
      },
      "insertId": "LOG_ENTRY_UNIQUE_IDENTIFIER",
      "resource": {
        "type": "cloudsql_database",
        "labels": {
          "region": "REGION_NAME",
          "project_id": "PROJECT_ID",
          "database_id": "DATABASE_ID"
        }
      },
      "timestamp": "2022-12-15T14:11:57.391565Z",
      "severity": "INFO",
      "logName": "projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fsystem_event",
      "receiveTimestamp": "2022-12-15T14:11:57.785814800Z"
    },
 ],
}

Weitere Informationen zu LOG_ENTRY_UNIQUE_IDENTIFIER für das Feld insertId finden Sie unter LogEntry.

Rufen Sie den Status einer Sicherung auf, die während des Sicherungszeitraums erstellt wurde. Dieser Status wird im Feld windowStatus angezeigt.

Status der automatischen Sicherung

STATUS_SUCCEEDED: Die automatische Sicherung wurde erfolgreich abgeschlossen.
STATUS_ATTEMPT_FAILED: Cloud SQL hat versucht, die Sicherung zu erstellen, aber die Sicherung wurde nicht gestartet oder ist fehlgeschlagen. Gründe für diesen Status:
- Auf der Instanz wird eine andere Sicherung ausgeführt.
- Der Speicherort für die Sicherung ist durch Ihre Organisationsrichtlinie eingeschränkt.
- Die Sicherung der Instanz ist abgeschlossen, aber ein Fehler ist aufgetreten.
- Die Instanz wurde nicht ausgeführt, als Cloud SQL versuchte, die Sicherung zu erstellen.
STATUS_FAILED: Die automatische Sicherung der Instanz wurde entweder nicht erfolgreich abgeschlossen oder kann nicht im Sicherungszeitraum abgeschlossen werden.

Wenn Sie beispielsweise automatische Sicherungen aktiviert und den Sicherungszeitraum zwischen 01:00 und 05:00 Uhr geplant haben, kann die Sicherung fehlschlagen, wenn während dieser Zeit viele EXPORT-Vorgänge ausgeführt werden. Automatische Sicherungen können auch fehlschlagen, wenn zu viele Konflikte mit einem EXPORT-Vorgang auftreten, der über einen längeren Zeitraum ausgeführt wird.

Wenn Cloud SQL während eines Sicherungsfensters mehrmals eine Sicherung erstellt, aber die Sicherung nicht den aufgelisteten Gründen STATUS_ATTEMPT_FAILED für erstellt werden kann, erstellt Cloud SQL ein weiteres Audit-Log mit dem Feld windowStatus auf STATUS_FAILED.
STATUS_SKIPPED: Die Cloud SQL-Instanz wurde seit der letzten erfolgreichen Sicherung nicht mehr ausgeführt. Daher wurde keine neue automatische Sicherung erstellt.

Logbasierte Benachrichtigung konfigurieren

Sie können eine logbasierte Benachrichtigung konfigurieren, damit Sie über den Status der Sicherung informiert werden.

Wenn eine Sicherung den Status STATUS_SUCCEEDED hat, können Sie zu Tracking-Zwecken benachrichtigt werden.
Wenn eine Sicherung den Status STATUS_FAILED oder STATUS_ATTEMPT_FAILED hat, können Sie basierend auf der im Logeintrag angezeigten Nachricht informiert werden, um Korrekturmaßnahmen zu ergreifen. Sie können auch vor dem nächsten geplanten Sicherungsfenster eine On-Demand-Sicherung erstellen.
Wenn eine Sicherung den Status STATUS_SKIPPED hat, können Sie benachrichtigt werden, um die Cloud SQL-Instanz neu zu starten.

Audit-Logs für automatische Sicherungen aufrufen

Audit-Log aufrufen

Console

gcloud

API

curl (Linux, macOS oder Cloud Shell)

PowerShell (Windows)

Antwort

Status der automatischen Sicherung

Logbasierte Benachrichtigung konfigurieren

Nächste Schritte