Logs auf Organisations- und Ordnerebene zusammenführen und an unterstützte Ziele weiterleiten

In diesem Dokument wird beschrieben, wie aggregierte Senken erstellt werden. Mithilfe von aggregierten Senken können Sie Logs, die von den Google Cloud Ressourcen in Ihrer Organisation oder Ihrem Ordner generiert werden, kombinieren und an einen zentralen Speicherort weiterleiten.

Hinweise

Prüfen Sie vor dem Erstellen einer Senke Folgendes:

  • Sie sind mit dem Verhalten aggregierter Senken vertraut. Weitere Informationen zu diesen Senken finden Sie unter Zusammengefasste Senken – Übersicht.

  • Sie haben einen Google Cloud Ordner oder eine Organisation mit Logeinträgen, die Sie im Log-Explorer sehen können.

  • Sie haben eine der folgenden IAM-Rollen für dieGoogle Cloud Organisation oder den Ordner, von dem Sie Protokolleinträge weiterleiten.

    • Inhaber (roles/owner)
    • Logging-Administrator (roles/logging.admin)
    • Autor von Log-Konfigurationen (roles/logging.configWriter)

    Mit den in diesen Rollen enthaltenen Berechtigungen können Sie Senken erstellen, löschen oder ändern. Informationen zum Festlegen von IAM-Rollen finden Sie in der Anleitung zur Zugriffssteuerung für Logging.

  • Das Ziel des aggregierten Sinks ist vorhanden oder Sie haben die Möglichkeit, es zu erstellen.

    Wenn das Ziel ein Google Cloud -Projekt ist, kann es sich in einer beliebigen Organisation befinden. Alle anderen Ziele können sich in einem beliebigen Projekt einer beliebigen Organisation befinden.

  • Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

    REST

    Verwenden Sie die von der gcloud CLI bereitgestellten Anmeldedaten, um die REST API-Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung zu verwenden.

      After installing the Google Cloud CLI, initialize it by running the following command: 

      gcloud init

      If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

    Weitere Informationen finden Sie in der Google Cloud Authentifizierungsdokumentation unter Für die Verwendung von REST authentifizieren.

Aggregierte Senke erstellen

Wenn Sie eine aggregierte Senke konfigurieren möchten, erstellen Sie die Senke und gewähren Sie ihr dann die Berechtigungen zum Schreiben in das Ziel. In diesem Abschnitt wird beschrieben, wie Sie eine aggregierte Senke erstellen. Informationen zum Zuweisen von Berechtigungen zum Datensink finden Sie im Abschnitt Zielberechtigungen festlegen auf dieser Seite.

Sie können bis zu 200 Senken pro Ordner oder Organisation erstellen.

Console

So erstellen Sie eine aggregierte Senke für Ihren Ordner oder Ihre Organisation:

  1. Rufen Sie in der Google Cloud Console die Seite Log Router auf:

    Zum Logrouter

    Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Logging ist.

  2. Wählen Sie einen vorhandenen Ordner oder eine vorhandene Organisation aus.

  3. Wählen Sie Senke erstellen aus.

  4. Geben Sie im Bereich Senkendetails die folgenden Details ein:

    • Senkenname: Geben Sie eine Kennzeichnung für die Senke an. Beachten Sie, dass Sie die Senke nach deren Erstellung nicht mehr umbenennen, aber löschen und eine neue erstellen können.

    • Senkenbeschreibung (optional): Beschreiben Sie den Zweck oder den Anwendungsfall für die Senke.

  5. Wählen Sie im Menü Senkendienst auswählen den Zieltyp aus und schließen Sie das Dialogfeld ab, um das Ziel anzugeben. Sie können ein vorhandenes Ziel auswählen oder ein neues erstellen.

    • Wählen Sie für einen Abfang-Sink Google Cloud project aus und geben Sie dann den voll qualifizierten Namen des Ziel Google Cloud projekts ein:

      logging.googleapis.com/projects/DESTINATION_PROJECT_ID

    • Wählen Sie für eine nicht abfangende Senke das Ziel aus und geben Sie dann den voll qualifizierten Namen des Ziels ein. Die folgenden Ziele werden unterstützt:

      • Google Cloud -Projekt

        logging.googleapis.com/projects/DESTINATION_PROJECT_ID

      • Cloud Logging-Bucket

        logging.googleapis.com/projects/DESTINATION_PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME

      • BigQuery-Dataset

        Sie müssen den vollständig qualifizierten Namen eines schreibfähigen Datenpools eingeben. Das Dataset kann eine nach Datum segmentierte oder partitionierte Tabelle sein. Geben Sie nicht den Namen eines verknüpften Datasets ein. Verknüpfte Datensätze sind schreibgeschützt.

        bigquery.googleapis.com/projects/PROJECT_ID/datasets/DATASET_ID

      • Cloud Storage-Bucket

        storage.googleapis.com/BUCKET_NAME

      • Pub/Sub-Thema

        pubsub.googleapis.com/projects/PROJECT_ID/topics/TOPIC_ID

      • Splunk

        Geben Sie das Pub/Sub-Thema für den Splunk-Dienst ein.

  6. Wählen Sie im Bereich Logs auswählen, die in der Senke enthalten sind die Ressourcen aus, die in der Senke enthalten sein sollen.

    • Wählen Sie für eine Abfangsenke Logs abfangen, die von dieser Organisation und allen untergeordneten Ressourcen aufgenommen wurden aus.

    • Wählen Sie für eine nicht abfangende Senke Von dieser Ressource aufgenommene Logs und alle untergeordneten Ressourcen einschließen aus.

  7. Geben Sie im Feld Build-Einschlussfilter einen Filterausdruck ein, der den Logeinträgen entspricht, die Sie aufnehmen möchten. Wenn Sie keinen Filter festlegen, werden alle Logeinträge aus der ausgewählten Ressource an das Ziel weitergeleitet.

    Sie können beispielsweise einen Filter erstellen, um alle Prüfprotokolle für den Datenzugriff an einen einzelnen Logging-Bucket weiterzuleiten. Dieser Filter sieht in etwa so aus:

    LOG_ID("cloudaudit.googleapis.com/data_access") OR LOG_ID("externalaudit.googleapis.com/data_access")

    Filterbeispiele finden Sie auf dieser Seite im Abschnitt Filter für aggregierte Senken erstellen.

    Beachten Sie, dass ein Filter nicht länger als 20.000 Zeichen sein darf.

  8. Optional: Wählen Sie Vorschau von Logs aus, um zu prüfen, ob Sie den richtigen Filter eingegeben haben. Dadurch wird der Log-Explorer in einem neuen Tab geöffnet, auf dem der Filter bereits ausgefüllt ist.

  9. Optional: Gehen Sie im Bereich Logs auswählen, die aus der Senke ausgeschlossen werden sollen so vor:

    1. Geben Sie in das Feld Name des Ausschlussfilters einen Namen ein.

    2. Geben Sie im Abschnitt Ausschlussfilter erstellen einen Filterausdruck ein, der den Logeinträgen entspricht, die Sie ausschließen möchten. Mit der Funktion sample können Sie auch einen Teil der Logeinträge auswählen, die ausgeschlossen werden sollen.

      Wenn Sie beispielsweise die Weiterleitung der Logeinträge eines bestimmten Projekts an das Ziel ausschließen möchten, fügen Sie den folgenden Ausschlussfilter hinzu:

      logName:projects/PROJECT_ID

      Wenn Sie Logeinträge aus mehreren Projekten ausschließen möchten, verwenden Sie den logischen OR-Operator, um logName-Klauseln zu verknüpfen.

    Sie können bis zu 50 Ausschlussfilter pro Senke erstellen. Beachten Sie, dass ein Filter nicht länger als 20.000 Zeichen sein darf.

  10. Wählen Sie Senke erstellen aus.

  11. Um die Konfiguration der zusammengefassten Senke abzuschließen, gewähren Sie dem Dienstkonto für die Senke die Berechtigung, Logeinträge in das Ziel der Senke zu schreiben. Weitere Informationen finden Sie unter Zielberechtigungen festlegen.

gcloud

Verwenden Sie den Befehl logging sinks create, um eine aggregierte Senke zu erstellen:

  1. Rufen Sie zum Erstellen einer Senke den Befehl gcloud logging sinks create auf und geben Sie die Option --include-children an.

    Bevor Sie den folgenden Befehl verwenden, nehmen Sie die folgenden Ersetzungen vor:

    • SINK_NAME: Der Name der Log-Senke. Sie können den Namen eines Sinks nach dem Erstellen nicht mehr ändern.
    • SINK_DESTINATION: Der Dienst oder das Projekt, an das Ihre Logeinträge weitergeleitet werden sollen. Informationen zum Format dieser Ziele finden Sie unter Zielortpfadformate.
    • INCLUSION_FILTER: Der Einschlussfilter für eine Senke. Beispiele für Filter finden Sie unter Filter für aggregierte Senken erstellen.
    • FOLDER_ID: Die ID des Ordners. Wenn Sie eine Senke auf Organisationsebene erstellen möchten, ersetzen Sie --folder=FOLDER_ID durch -- organization=ORGANIZATION_ID.

    Führen Sie den Befehl gcloud logging sinks create aus:

    gcloud logging sinks create SINK_NAME \
  SINK_DESTINATION  --include-children \
  --folder=FOLDER_ID --log-filter="INCLUSION_FILTER"

    Sie können auch Folgendes angeben:

    • Wenn Sie eine Abfang-Senke erstellen möchten, fügen Sie die Option --intercept-children hinzu.

    Wenn Sie beispielsweise eine aggregierte Senke auf Ordnerebene erstellen und deren Ziel ein Pub/Sub-Thema ist, könnte Ihr Befehl so aussehen:

    gcloud logging sinks create SINK_NAME \
  pubsub.googleapis.com/projects/PROJECT_ID/topics/TOPIC_ID --include-children \
  --folder=FOLDER_ID --log-filter="logName:activity"

  2. Gewähren Sie dem Dienstkonto für die Senke Schreibzugriff auf das Senkenziel. Weitere Informationen finden Sie unter Zielberechtigungen festlegen.

REST

Verwenden Sie zum Erstellen einer aggregierten Senke die Logging API-Methode organizations.sinks.create oder folders.sinks.create. Bereiten Sie die Argumente für die Methode so vor:

  1. Legen Sie für das Feld parent die Google Cloud Organisation oder den Ordner fest, in dem die Senke erstellt werden soll. Geben Sie als übergeordnete Ressource eine der folgenden an:

    • organizations/ORGANIZATION_ID
    • folders/FOLDER_ID

  2. Gehen Sie im LogSink-Objekt im Methodenanfragetext so vor:

    • Setzen Sie includeChildren auf True.

    • Wenn Sie eine Abfangsenke erstellen möchten, legen Sie auch das Feld interceptChildren auf True fest.

  3. Legen Sie das Feld filter so fest, dass es den Logeinträgen entspricht, die Sie aufnehmen möchten.

    Beispiele für Filter finden Sie unter Filter für aggregierte Senken erstellen.

    Die Länge eines Filters darf 20.000 Zeichen nicht überschreiten.

  4. Legen Sie die verbleibenden LogSink-Felder wie gewohnt für Senken fest. Weitere Informationen finden Sie unter Logs an unterstützte Ziele weiterleiten.

  5. Rufen Sie organizations.sinks.create oder folders.sinks.create auf, um die Senke zu erstellen.

  6. Gewähren Sie dem Dienstkonto für die Senke Schreibzugriff auf das Senkenziel. Weitere Informationen finden Sie unter Zielberechtigungen festlegen.

Es kann einige Minuten dauern, bis alle Änderungen an einem Sink angewendet werden.

Filter für aggregierte Senken

In diesem Abschnitt finden Sie Beispiele für Filter, die Sie in einer aggregierten Senke verwenden können. Weitere Beispiele finden Sie unter Beispielabfragen mit dem Log-Explorer.

In manchen Beispielen wird folgende Notation verwendet:

  • : ist der Teilstringoperator. Ersetzen Sie den Operator = nicht.
  • ... steht für alle weiteren Filtervergleiche.
  • Variablen sind durch farbigen Text gekennzeichnet. Ersetzen Sie sie durch gültige Werte.

Die Länge eines Filters ist auf 20.000 Zeichen beschränkt.

Weitere Informationen zur Filtersyntax finden Sie unter Logging-Abfragesprache.

Protokollquelle auswählen

Wenn Sie Logeinträge aus allen untergeordneten Ressourcen weiterleiten möchten, geben Sie in den Einschluss- und Ausschlussfiltern der Senke kein Projekt, keinen Ordner und keine Organisation an. Angenommen, Sie konfigurieren eine aggregierte Senke für eine Organisation mit dem folgenden Filter:

resource.type="gce_instance"

Mit dem vorherigen Filter werden Logeinträge mit dem Ressourcentyp „Compute Engine-Instanzen“, die in ein untergeordnetes Element dieser Organisation geschrieben werden, vom aggregierten Datenablauf an das Ziel weitergeleitet.

Es kann jedoch Situationen geben, in denen Sie eine aggregierte Senke verwenden möchten, um Logeinträge nur von bestimmten untergeordneten Ressourcen weiterzuleiten. Aus Compliance-Gründen können Sie beispielsweise Audit-Logs aus bestimmten Ordnern oder Projekten in einem eigenen Cloud Storage-Bucket speichern. Konfigurieren Sie in diesen Fällen den Einschlussfilter so, dass jede untergeordnete Ressource angegeben wird, deren Logeinträge weitergeleitet werden sollen. Wenn Sie Logeinträge aus einem Ordner und allen Projekten in diesem Ordner weiterleiten möchten, muss der Filter den Ordner und alle darin enthaltenen Projekte auflisten und die Anweisungen mit einer OR-Klausel verknüpfen.

Mit den folgenden Filtern werden Logeinträge auf bestimmte Google Cloud Projekte, Ordner oder Organisationen beschränkt:

logName:"projects/PROJECT_ID/logs/" AND ... 
logName:("projects/PROJECT_A_ID/logs/" OR "projects/PROJECT_B_ID/logs/") AND ... 
logName:"folders/FOLDER_ID/logs/" AND ... 
logName:"organizations/ORGANIZATION_ID/logs/" AND ...

Wenn Sie beispielsweise nur Logeinträge weiterleiten möchten, die in Compute Engine-Instanzen in den Ordner my-folder geschrieben wurden, verwenden Sie den folgenden Filter:

logName:"folders/my-folder/logs/" AND resource.type="gce_instance"

Mit dem vorherigen Filter werden Logeinträge, die in eine andere Ressource als my-folder geschrieben werden, einschließlich Logeinträgen, die in Google Cloud -Projekte geschrieben werden, die untergeordnet sind, nicht an das Ziel weitergeleitet.my-folder

Überwachte Ressource auswählen

Verwenden Sie mehrere Vergleiche, um die Ressource genau anzugeben, um nur Logeinträge von bestimmten überwachten Ressourcen in einemGoogle Cloud -Projekt weiterzuleiten.

logName:"projects/PROJECT_ID/logs" AND
resource.type=RESOURCE_TYPE AND
resource.labels.instance_id=INSTANCE_ID

Eine Liste mit Ressourcentypen finden Sie unter Überwachte Ressourcentypen.

Beispiel für Logeinträge auswählen

Fügen Sie die integrierte Funktion sample hinzu, um nach dem Zufallsprinzip Stichproben von Logeinträgen weiterzuleiten. Wenn Sie beispielsweise nur zehn Prozent der Logeinträge weiterleiten möchten, die mit Ihrem aktuellen Filter übereinstimmen, fügen Sie Folgendes hinzu:

sample(insertId, 0.10) AND ...

Weitere Informationen finden Sie unter sample-Funktion.

Weitere Informationen zu Cloud Logging-Filtern finden Sie unter Logging-Abfragesprache.

Zielberechtigungen festlegen

In diesem Abschnitt wird beschrieben, wie Sie Logging die IAM-Berechtigungen (Identity and Access Management) zum Schreiben von Logeinträgen an das Ziel der Senke gewähren. Eine vollständige Liste der Logging-Rollen und -Berechtigungen finden Sie unter Zugriffssteuerung.

Wenn Sie eine Senke erstellen oder aktualisieren, die Logeinträge an ein anderes Ziel als einen Log-Bucket im aktuellen Projekt weiterleitet, ist ein Dienstkonto für diese Senke erforderlich. Das Dienstkonto wird automatisch erstellt und verwaltet:

  • Ab dem 22. Mai 2023 wird in Logging ein Dienstkonto erstellt, wenn Sie eine Senke erstellen und kein Dienstkonto für die zugrunde liegende Ressource vorhanden ist. Für die Protokollierung wird dasselbe Dienstkonto für alle Senken in der zugrunde liegenden Ressource verwendet. Ressourcen können ein Google Cloud Projekt, eine Organisation, ein Ordner oder ein Abrechnungskonto sein.
  • Vor dem 22. Mai 2023 wurde in Logging für jede Senke ein Dienstkonto erstellt. Seit dem 22. Mai 2023 wird für Logging ein gemeinsames Dienstkonto für alle Senken in der zugrunde liegenden Ressource verwendet.

Die Identität des Autors eines Sinks ist die Kennung des Dienstkontos, das mit diesem Sink verknüpft ist. Alle Senken haben eine Autorenidentität, es sei denn, sie schreiben in einen Log-Bucket im aktuellen Google Cloud Projekt. Die E-Mail-Adresse in der Identität des Autors identifiziert das Hauptkonto, das Zugriff zum Schreiben von Daten in das Ziel haben muss.

Wenn Sie Logeinträge an eine durch einen Dienstperimeter geschützte Ressource weiterleiten möchten, müssen Sie das Dienstkonto für diese Senke einer Zugriffsebene hinzufügen und es dann dem Zieldienstperimeter zuweisen. Dies ist für nicht aggregierte Senken nicht erforderlich. Weitere Informationen finden Sie unter VPC Service Controls: Cloud Logging.

So legen Sie Berechtigungen fest, damit Ihre Senke an ihr Ziel weiterleitet:

Console

  1. So rufen Sie Informationen zum Dienstkonto für Ihren Datenablauf ab:

    1. Rufen Sie in der Google Cloud Console die Seite Log Router auf:

      Zum Logrouter

      Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Logging ist.

    2. Wählen Sie Menü und dann Senkendetails ansehen aus. Die Identität des Autors wird im Feld Senkendetails angezeigt.

    3. Wenn der Wert des Felds writerIdentity eine E-Mail-Adresse enthält, fahren Sie mit dem nächsten Schritt fort. Wenn der Wert None ist, müssen Sie keine Zielberechtigungen konfigurieren.

    4. Kopieren Sie die Identität des Autors der Senke in die Zwischenablage. Im Folgenden wird eine Autorenidentität veranschaulicht:

      serviceAccount:service-123456789012@gcp-sa-logging.iam.gserviceaccount.com

  2. Gewähren Sie dem Hauptkonto, das durch die Identität des Autors der Senke angegeben ist, die Berechtigung zum Schreiben von Protokolldaten in das Ziel:

    1. Rufen Sie in der Google Cloud Console die Seite IAM auf:

      Rufen Sie IAM auf.

      Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift IAM & Admin ist.

    2. Wählen Sie in der Symbolleiste der Google Cloud Console das Projekt aus, in dem das Ziel des aggregierten Sinks gespeichert ist. Wenn das Ziel ein Projekt ist, wählen Sie dieses Projekt aus.

    3. Klicken Sie auf Zugriff erlauben.

    4. Geben Sie das Hauptkonto ein, das durch die Identität des Autors der Senke angegeben ist, und gewähren Sie dann eine IAM-Rolle:

      • Google Cloud project: Gewähren Sie die Rolle Logautor (roles/logging.logWriter). Insbesondere benötigt ein Hauptkonto die Berechtigung logging.logEntries.route.
      • Log-Bucket: Weisen Sie die Rolle Log-Bucket-Autor (roles/logging.bucketWriter) zu.
      • Cloud Storage-Bucket: Weisen Sie die Rolle Storage-Objekt-Ersteller (roles/storage.objectCreator) zu.
      • BigQuery-Dataset: Weisen Sie die Rolle BigQuery-Datenbearbeiter (roles/bigquery.dataEditor) zu.
      • Pub/Sub-Thema, einschließlich Splunk: Weisen Sie die Rolle Pub/Sub-Publisher (roles/pubsub.publisher) zu.

gcloud

  1. Sie benötigen die Berechtigung Inhaber für dasGoogle Cloud -Projekt, das das Ziel enthält. Wenn Sie nicht die Rolle Inhaber für das Ziel der Senke haben, bitten Sie einen Projektinhaber, die Identität des Autors als Hauptbenutzer hinzuzufügen.

  2. Rufen Sie die Methode gcloud logging sinks describe auf, um Informationen zum Dienstkonto für Ihren Datenablauf zu erhalten.

    Bevor Sie den folgenden Befehl verwenden, nehmen Sie die folgenden Ersetzungen vor:

    • SINK_NAME: Der Name der Log-Senke. Sie können den Namen eines Sinks nach dem Erstellen nicht mehr ändern.

    Führen Sie den Befehl gcloud logging sinks describe aus:

    gcloud logging sinks describe SINK_NAME

  3. Wenn die Details zum Datensink ein Feld mit der Bezeichnung writerIdentity enthalten, fahren Sie mit dem nächsten Schritt fort. Wenn die Details kein writerIdentity-Feld enthalten, müssen Sie keine Zielberechtigungen für die Senke konfigurieren.

  4. Kopieren Sie die Identität des Autors der Senke in die Zwischenablage. Im Folgenden wird eine Autorenidentität veranschaulicht:

    serviceAccount:service-123456789012@gcp-sa-logging.iam.gserviceaccount.com

  5. Gewähren Sie der Identität des Autors der Senke die Berechtigung, Protokolldaten in das Ziel zu schreiben, indem Sie den Befehl gcloud projects add-iam-policy-binding aufrufen.

    Bevor Sie den folgenden Befehl verwenden, nehmen Sie die folgenden Ersetzungen vor:

    • PROJECT_ID: Die Kennung des Projekts. Wählen Sie das Projekt aus, in dem das Ziel des aggregierten Sinks gespeichert wird. Wenn das Ziel ein Projekt ist, wählen Sie dieses Projekt aus.
    • PRINCIPAL: Eine Kennung für das Hauptkonto, dem Sie die Rolle zuweisen möchten. Hauptkonto-Kennzeichnungen haben normalerweise das folgende Format: PRINCIPAL-TYPE:ID. Beispiel: user:my-user@example.com Eine vollständige Liste der Formate für PRINCIPAL finden Sie unter Hauptkonto-IDs.

    • ROLE: Eine IAM-Rolle. Weisen Sie der Identität des Autors der Senke eine IAM-Rolle zu, die auf dem Ziel der Protokollsenke basiert:

      • Google Cloud project: Gewähren Sie die Rolle Logautor (roles/logging.logWriter). Insbesondere benötigt ein Hauptkonto die Berechtigung logging.logEntries.route.
      • Log-Bucket: Weisen Sie die Rolle Log-Bucket-Autor (roles/logging.bucketWriter) zu.
      • Cloud Storage-Bucket: Weisen Sie die Rolle Storage-Objekt-Ersteller (roles/storage.objectCreator) zu.
      • BigQuery-Dataset: Weisen Sie die Rolle BigQuery-Datenbearbeiter (roles/bigquery.dataEditor) zu.
      • Pub/Sub-Thema, einschließlich Splunk: Weisen Sie die Rolle Pub/Sub-Publisher (roles/pubsub.publisher) zu.

    Führen Sie den Befehl gcloud projects add-iam-policy-binding aus:

    gcloud projects add-iam-policy-binding PROJECT_ID --member=PRINCIPAL --role=ROLE

REST

Wir empfehlen, die Google Cloud Console oder die Google Cloud CLI zu verwenden, um dem Dienstkonto eine Rolle zuzuweisen.

Nächste Schritte