匯總接收器總覽

本文說明匯總接收器,這類接收器可將資料夾或機構中資源產生的記錄檔項目彙整並傳送至支援的目的地。建議使用匯總接收器,將記錄資料轉送至中央儲存位置。

關於匯總接收器

匯總接收器與專案層級的接收器類似,都包含篩選器和目的地。不過,記錄路由器會將下列記錄項目傳送至匯總接收器:

  • 來自資料夾或機構的所有記錄項目。
  • 資料夾或機構的子系資源中產生的所有記錄項目。

舉例來說,如果您建立資料夾層級的匯總接收器,則記錄檔路由器會將源自該資料夾或該資料夾子項資源的所有記錄項目,傳送至該接收器。

如果記錄項目的資源階層中存在匯總接收器,記錄路由器會先將記錄項目傳送至這些接收器。由於匯總接收器可能攔截或不攔截記錄檔項目,因此記錄檔路由器可能不會將匯總接收器轉送的記錄檔項目傳送至專案層級接收器。

攔截匯總接收器

攔截匯總接收器會禁止將記錄項目傳送至子項資源中的接收器,但記錄項目來源資源中的 _Required 接收器除外。攔截匯總接收器可避免記錄項目重複儲存在多個位置。

舉例來說,假設您需要啟用資料存取稽核記錄以進行稽核。為簡化分析作業,您希望將這些記錄檔儲存在中央位置。不過,基於安全和成本考量,您也希望避免在專案層級儲存這些記錄。在這個情境中,您可以建立攔截匯總接收器。

非攔截式匯總接收器

非攔截式匯總接收器不會影響記錄項目轉送至其他接收器的方式。也就是說,即使記錄項目符合非攔截匯總接收器的篩選條件,該記錄項目也會轉送至記錄項目資源階層中的其他接收器。非攔截式匯總接收器可讓您查看記錄檔項目,瞭解這些項目是在哪些資源中產生。

舉例來說,您可以建立非攔截式匯總接收器,將機構所含資料夾產生的所有記錄項目,轉送至中央記錄 bucket。記錄檔項目會儲存在中央記錄檔 bucket 中。不過,由於接收器不會攔截,因此記錄檔路由器也會將記錄項目傳送至產生這些項目的資源中的記錄檔接收器。

轉送範例

本節說明源自專案的記錄項目,如何透過資源階層中的接收器流動。

範例:沒有匯總接收器

如果記錄項目的資源階層中沒有匯總接收器,系統會將記錄項目傳送至記錄項目來源專案中的記錄接收器。如果記錄項目符合接收器的納入篩選條件,但不符合任何排除篩選條件,專案層級接收器就會將記錄項目轉送至接收器的目的地。

範例:存在非攔截的匯總接收器

假設記錄項目資源階層中存在非攔截匯總接收器。記錄檔路由器將記錄檔項目傳送至非攔截式匯總接收器後,會發生下列情況:

  1. 如果記錄項目符合「包含」篩選條件,但不符合任何「排除」篩選條件,非攔截式匯總接收器就會將記錄項目傳送至接收器的目的地。

  2. 記錄檔路由器會將記錄項目傳送至記錄項目來源專案中的記錄接收器。

    如果記錄項目符合接收器的納入篩選條件,但不符合任何排除篩選條件,專案層級接收器就會將記錄項目轉送至接收器的目的地。

範例:存在攔截匯總接收器的情況

假設記錄項目的資源階層中存在攔截匯總接收器。記錄檔路由器將記錄項目傳送至攔截匯總接收器後,會發生下列其中一種情況:

  • 記錄項目符合納入篩選條件,但不符合任何排除篩選條件:

    1. 記錄項目會轉送至攔截匯總接收器的目的地。
    2. 記錄項目會傳送至記錄項目來源專案中的 _Required 接收器。

  • 記錄項目不符合納入篩選條件,或符合至少一項排除篩選條件:

    1. 攔截匯總接收器不會將記錄項目路由傳送至其他位置。

    2. 記錄檔路由器會將記錄項目傳送至記錄項目來源專案中的記錄接收器。

      如果記錄項目符合接收器的納入篩選條件,但不符合任何排除篩選條件,專案層級接收器就會將記錄項目轉送至接收器的目的地。

匯總接收器支援的目的地

本節列出匯總接收器支援的目的地。

攔截接收器

攔截用匯總接收器的目的地須為Google Cloud 專案。

目的地專案中的記錄接收器會將記錄項目重新導向至目的地。系統支援所有目的地,專案除外。舉例來說,目的地專案中的記錄接收器可能會將記錄項目重新導向至記錄 bucket。

非攔截用接收器

非攔截式匯總接收器的目的地可以是下列任一項目:

接收器的目的地可以與接收器位於不同的資源中。 舉例來說,您可以使用記錄檔接收器,將一個專案的記錄檔項目傳送至儲存在另一個專案中的記錄檔值區。

系統支援下列目的地:

Google Cloud 專案

如果希望目標專案中的記錄接收器重新轉送記錄項目,或是已建立攔截匯總接收器,請選取這個目標位置。接收器目的地專案中的記錄檔接收器,可將記錄檔項目重新轉送至任何支援的目的地,但專案除外。

記錄檔值區

如要在 Cloud Logging 管理的資源中儲存記錄檔資料,請選取這個目的地。您可以使用 Logs Explorer 和 Log Analytics 等服務,查看及分析記錄 bucket 中儲存的記錄資料。

如要彙整記錄檔資料與其他業務資料,您可以將記錄檔資料儲存在記錄檔 bucket 中,並建立連結的 BigQuery 資料集。連結的資料集是唯讀資料集,可像其他 BigQuery 資料集一樣查詢。

BigQuery 資料集
如要將記錄資料與其他業務資料合併,請選取這個目的地。您指定的資料集必須啟用寫入功能。 請勿將接收器的目的地設為連結的 BigQuery 資料集。連結的資料集為唯讀狀態。
Cloud Storage 值區
如要長期儲存記錄資料,請選取這個目的地。Cloud Storage bucket 可以位於記錄檔項目來源的相同專案,也可以位於不同專案。記錄項目會儲存為 JSON 檔案。
Pub/Sub 主題
如要從Google Cloud 匯出記錄資料,然後使用 Splunk 或 Datadog 等第三方整合服務,請選取這個目的地。記錄項目會格式化為 JSON,然後轉送至 Pub/Sub 主題。

最佳做法

建議匯總接收器的目的地為 Google Cloud 專案。 使用這個目的地時,目的地 Google Cloud 專案中的記錄接收器會重新轉送記錄項目。_Required 接收器只會將符合篩選條件的記錄項目,以及源自定義接收器的資源的記錄項目,傳送至目的地。因此,如要儲存與 _Required 接收器篩選器相符的記錄項目副本,請建立自訂記錄接收器,或修改 _Default 記錄接收器的篩選器。

建立攔截接收器時,建議您採取下列做法:

  • 請考慮子資源是否需要獨立控管記錄檔項目的路由。如果子項資源需要獨立控管特定記錄項目,請確認攔截接收器不會將這些記錄項目轉送出去。

  • 在攔截接收器的說明中加入聯絡資訊。如果管理攔截接收器的使用者,與管理遭攔截記錄項目專案的使用者不同,這項功能或許會有所幫助。

  • 請先建立非攔截式匯總接收器,確認系統會正確傳送記錄項目,藉此測試接收器設定。

攔截匯總接收器和記錄指標

記錄指標是從記錄項目內容取得的 Cloud Monitoring 指標。記錄項目的路由方式決定了該記錄項目可計入哪些記錄指標。由於攔截匯總接收器會影響記錄項目的路徑,建立這類接收器可能會導致現有記錄型指標的值發生變化。

詳情請參閱「記錄項目轉送如何影響記錄指標」。

匯總接收器和 VPC Service Controls

使用匯總接收器和 VPC Service Controls 時,請注意下列限制:

  • 匯總接收器可存取服務範圍內專案的資料。如要限制匯總接收器存取安全範圍內的資料,建議使用 IAM 管理記錄權限。

  • VPC Service Controls 不支援將資料夾或機構資源新增至服務範圍。因此,您無法使用 VPC Service Controls 保護資料夾和機構層級的記錄,包括匯總記錄。如要在資料夾或機構層級管理 Logging 權限,建議使用 IAM。

  • 如果您使用資料夾或機構層級的接收器,將記錄檔傳送至受服務範圍保護的資源,則必須在服務範圍中新增輸入規則。這項規則必須允許匯總接收器使用的服務帳戶存取資源。詳情請參閱下列頁面:

  • 為服務安全防護範圍指定輸入或輸出政策時,使用記錄檔接收器將記錄檔傳送至 Cloud Storage 資源時,您無法使用 ANY_SERVICE_ACCOUNTANY_USER_ACCOUNT 做為身分類型。不過,您可以使用 ANY_IDENTITY 做為身分類型。

後續步驟