Dokumen ini menjelaskan sink gabungan, yang memungkinkan Anda mengumpulkan dan merutekan entri log yang berasal dari resource dalam folder atau organisasi ke tujuan yang didukung. Sebaiknya gunakan sink gabungan untuk merutekan data log ke lokasi penyimpanan pusat.
Tentang sink gabungan
Sink gabungan mirip dengan sink tingkat project karena sink gabungan berisi filter dan tujuan. Namun, Log Router mengirimkan entri log berikut ke sink gabungan:
- Semua entri log yang berasal dari folder atau organisasi.
- Semua entri log yang berasal dari resource turunan folder atau organisasi.
Misalnya, jika Anda membuat sink gabungan tingkat folder, Log Router akan mengirim ke sink tersebut semua entri log yang berasal dari folder atau resource turunan folder.
Jika sink gabungan ada di hierarki resource entri log, Router Log awalnya akan mengirim entri log ke sink tersebut. Karena sink gabungan dapat melakukan intersepsi atau tidak melakukan intersepsi, Log Router mungkin tidak mengirim entri log yang dirutekan oleh sink gabungan yang dikirim ke sink tingkat project.
- Mencegat sink gabungan
Penangkapan sink gabungan mencegah entri log dirutekan ke sink di resource turunan, kecuali untuk sink
_Requireddi resource tempat entri log berasal. Penampung gabungan yang menyadap dapat berguna untuk mencegah salinan duplikat entri log disimpan di beberapa tempat.Misalnya, Anda perlu mengaktifkan log audit Akses Data untuk tujuan audit. Untuk menyederhanakan analisis, Anda ingin menyimpan log ini di lokasi pusat. Namun, karena alasan keamanan dan biaya, Anda juga ingin mencegah log ini disimpan di tingkat project. Untuk skenario ini, Anda dapat membuat sink gabungan yang mengintersepsi.
- Sink gabungan yang tidak menyadap
Sink gabungan yang tidak menyadap tidak memengaruhi cara entri log dirutekan ke sink lainnya. Artinya, meskipun entri log cocok dengan filter sink gabungan yang tidak menyadap, entri log tersebut akan diteruskan ke sink lain dalam hierarki resource entri log. Sink gabungan yang tidak menyadap memungkinkan Anda mempertahankan visibilitas entri log di resource tempat entri tersebut dibuat.
Misalnya, Anda dapat membuat sink gabungan yang tidak menyadap yang merutekan semua entri log yang dihasilkan dari folder yang dimuat oleh organisasi ke bucket log pusat. Entri log disimpan di bucket log pusat. Namun, karena sink tidak melakukan intersepsi, Log Router juga mengirimkan entri log ke sink log di resource tempat entri log tersebut dibuat.
Contoh pemilihan rute
Bagian ini mengilustrasikan bagaimana entri log yang berasal dari project dapat mengalir melalui sink dalam hierarki resource-nya.
Contoh: Tidak ada sink gabungan
Jika tidak ada sink gabungan dalam hierarki resource entri log, entri log akan dikirim ke sink log di project tempat entri log berasal. Sink tingkat project merutekan entri log ke tujuan sink saat entri log cocok dengan filter penyertaan sink, tetapi tidak cocok dengan filter pengecualian sink.
Contoh: Ada sink gabungan yang tidak menyadap
Asumsikan bahwa sink gabungan yang tidak menyadap ada dalam hierarki resource untuk entri log. Setelah Log Router mengirim entri log ke sink gabungan yang tidak menyadap, hal berikut akan terjadi:
Sink gabungan yang tidak mengintersepsi merutekan entri log ke tujuan sink saat entri log cocok dengan filter penyertaan, tetapi tidak cocok dengan filter pengecualian apa pun.
Router Log mengirim entri log ke sink log dalam project tempat entri log berasal.
Sink tingkat project merutekan entri log ke tujuan sink saat entri log cocok dengan filter penyertaan sink, tetapi tidak cocok dengan filter pengecualian sink.
Contoh: Penampung gabungan yang menyadap ada
Asumsikan bahwa sink gabungan yang menyadap ada dalam hierarki resource untuk entri log. Setelah Log Router mengirim entri log ke sink gabungan yang mencegat, salah satu hal berikut akan terjadi:
Entri log cocok dengan filter penyertaan, tetapi tidak cocok dengan filter pengecualian apa pun:
- Entri log dirutekan ke tujuan sink gabungan yang mengintersepsi.
- Entri log dikirim ke sink
_Requireddi project tempat entri log berasal.
Entri log tidak cocok dengan filter penyertaan atau cocok dengan setidaknya satu filter pengecualian:
- Entri log tidak dirutekan oleh sink gabungan yang mencegat.
Router Log mengirim entri log ke sink log dalam project tempat entri log berasal.
Sink tingkat project merutekan entri log ke tujuan sink saat entri log cocok dengan filter penyertaan sink, tetapi tidak cocok dengan filter pengecualian sink.
Tujuan yang didukung untuk sink gabungan
Bagian ini mencantumkan tujuan yang didukung untuk sink gabungan.
Menangkap sink
Tujuan sink gabungan yang menyadap harus berupa projectGoogle Cloud .
Log sink di project tujuan mengalihkan entri log ke tujuannya. Semua tujuan kecuali project didukung. Misalnya, sink log di project tujuan dapat mengalihkan rute entri log ke bucket log.
Sink yang tidak menyadap
Tujuan sink gabungan yang tidak menyadap dapat berupa salah satu dari berikut ini:
Tujuan sink dapat berada di resource yang berbeda dengan sink. Misalnya, Anda dapat menggunakan sink log untuk merutekan entri log dari satu project ke bucket log yang disimpan di project lain.
Tujuan berikut didukung:
- Google Cloud project
Pilih tujuan ini jika Anda ingin sink log di project tujuan merutekan ulang entri log, atau jika Anda telah membuat sink gabungan yang menangkap. Sink log dalam project yang merupakan tujuan sink dapat mengalihkan rute entri log ke tujuan apa pun yang didukung kecuali project.
- Bucket log
- Pilih tujuan ini jika Anda ingin menyimpan data log di resource yang dikelola oleh Cloud Logging. Data log yang disimpan dalam bucket log dapat dilihat dan dianalisis menggunakan layanan seperti Logs Explorer.
- Set data BigQuery
- Pilih tujuan ini jika Anda ingin menggabungkan data log dengan data bisnis lainnya. Set data yang Anda tentukan harus diaktifkan untuk ditulis. Jangan tetapkan tujuan sink sebagai set data BigQuery yang tertaut. Set data tertaut bersifat hanya baca.
- Bucket Cloud Storage
- Pilih tujuan ini jika Anda menginginkan penyimpanan data log jangka panjang. Bucket Cloud Storage dapat berada dalam project yang sama dengan asal entri log, atau dalam project yang berbeda. Entri log disimpan sebagai file JSON.
- Topik Pub/Sub
- Pilih tujuan ini jika Anda ingin mengekspor data log dariGoogle Cloud , lalu menggunakan integrasi pihak ketiga seperti Splunk atau Datadog. Entri log diformat menjadi JSON, lalu dirutekan ke topik Pub/Sub.
Praktik terbaik
Sebaiknya tujuan sink gabungan adalah project Google Cloud .
Dengan tujuan ini, sink log di project Google Cloud tujuan
akan mengalihkan rute entri log.
Sink _Required hanya merutekan entri log yang cocok dengan filternya dan yang berasal dari resource tempat sink ditentukan. Oleh karena itu, jika ingin
menyimpan salinan tambahan entri log yang cocok dengan filter
sink _Required, Anda harus membuat sink log kustom atau mengubah filter
sink log _Default.
Saat membuat sink intersepsi, sebaiknya lakukan hal berikut:
Pertimbangkan apakah resource turunan memerlukan kontrol independen untuk merutekan entri lognya. Jika resource turunan memerlukan kontrol independen atas entri log tertentu, pastikan sink intersepsi Anda tidak merutekan entri log tersebut.
Tambahkan informasi kontak ke deskripsi sink intersepsi. Hal ini mungkin berguna jika orang yang mengelola sink intersepsi berbeda dengan orang yang mengelola project yang entri log-nya sedang dicegat.
Uji konfigurasi sink Anda dengan membuat sink gabungan yang tidak mengintersepsi terlebih dahulu untuk memverifikasi bahwa entri log yang benar sedang dirutekan.
Mencegat sink gabungan dan metrik berbasis log
Metrik berbasis log adalah metrik Cloud Monitoring yang berasal dari konten entri log. Cara entri log dirutekan menentukan metrik berbasis log yang dapat dihitung oleh entri log tersebut. Karena sink gabungan yang menyadap memengaruhi cara entri log dirutekan, membuat jenis sink ini dapat menyebabkan perubahan pada nilai metrik berbasis log yang ada.
Untuk informasi selengkapnya, lihat Pengaruh entri log pemilihan rute terhadap metrik berbasis log.
Penampung gabungan dan Kontrol Layanan VPC
Batasan berikut berlaku saat Anda menggunakan sink gabungan dan Kontrol Layanan VPC:
Sink gabungan dapat mengakses data dari project di dalam perimeter layanan. Untuk membatasi sink gabungan agar tidak mengakses data di dalam perimeter, sebaiknya gunakan IAM untuk mengelola izin Logging.
Kontrol Layanan VPC tidak mendukung penambahan resource folder atau organisasi ke perimeter layanan. Oleh karena itu, Anda tidak dapat menggunakan Kontrol Layanan VPC untuk melindungi log tingkat folder dan organisasi, termasuk log gabungan. Untuk mengelola izin logging di tingkat folder atau organisasi, sebaiknya gunakan IAM.
Jika Anda merutekan log menggunakan sink level folder atau organisasi ke resource yang dilindungi oleh perimeter layanan, Anda harus menambahkan aturan masuk ke perimeter layanan. Aturan masuk harus mengizinkan akses ke resource dari akun layanan yang digunakan sink gabungan. Untuk informasi selengkapnya, lihat halaman berikut:
Saat menentukan kebijakan traffic masuk atau keluar untuk perimeter layanan, Anda tidak dapat menggunakan
ANY_SERVICE_ACCOUNTdanANY_USER_ACCOUNTsebagai jenis identitas saat menggunakan sink log untuk merutekan log ke resource Cloud Storage. Namun, Anda dapat menggunakanANY_IDENTITYsebagai jenis identitas.
Langkah berikutnya
Untuk mempelajari cara membuat sink gabungan, lihat Menggabungkan dan merutekan log tingkat organisasi dan folder ke tujuan yang didukung
Untuk tutorial, lihat Menggabungkan dan menyimpan log organisasi.
Untuk informasi tentang cara mengelola sink yang ada, lihat Merutekan log ke tujuan yang didukung: Mengelola sink.
Untuk mempelajari cara melihat log di tujuannya, serta cara log diformat dan diatur, lihat Melihat log di tujuan sink