In diesem Dokument werden häufige Routing- und Speicherprobleme und die Verwendung der Google Cloud Console zum Ansehen und Beheben von Konfigurationsfehlern oder unerwarteten Ergebnissen erläutert.
Allgemeine Informationen zur Verwendung von Logs in Senkenzielen finden Sie unter Logs in Senkenzielen ansehen.
Fehlerbehebung bei Routing-Logs
In diesem Abschnitt wird beschrieben, wie Sie häufige Probleme beim Routing Ihrer Protokolle beheben.
Ziel enthält unerwünschte Protokolle
Sie sehen sich die an ein Ziel weitergeleiteten Logs an und stellen fest, dass das Ziel unerwünschte Logs enthält.
Aktualisieren Sie die Ausschlussfilter für die Senken, die Protokolle an das Ziel weiterleiten, um dieses Problem zu beheben. Mit Ausschlussfiltern können Sie auswählen, welche Logs nicht an ein Ziel weitergeleitet werden sollen.
Angenommen, Sie erstellen eine aggregierte Senke, um Logs in einer Organisation an ein Ziel weiterzuleiten. Wenn Sie die Logs eines bestimmten Projekts vom Weiterleiten an das Ziel ausschließen möchten, fügen Sie der Senke den folgenden Ausschlussfilter hinzu:
logName:projects/PROJECT_ID
Sie können auch Protokolle aus mehreren Projekten ausschließen, indem Sie logName-Klauseln mit dem logischen OR-Operator verknüpfen.
Im Ziel fehlen Logs
Das häufigste Problem in Bezug auf Senken besteht wahrscheinlich darin, dass Logs in einem Senkenziel fehlen.
In einigen Fällen wird kein Fehler generiert, aber Sie stellen möglicherweise fest, dass Logs nicht verfügbar sind, wenn Sie versuchen, auf sie in Ihrem Ziel zuzugreifen. Wenn Sie vermuten, dass die Senke Logs nicht ordnungsgemäß weiterleitet, prüfen Sie die logbasierten Systemmesswerte Ihrer Senke:
exports/byte_count: Anzahl der Byte in Logeinträgen, die weitergeleitet wurdenexports/log_entry_count: Anzahl der weitergeleiteten Logeinträgeexports/error_count: Anzahl der Logeinträge, die nicht weitergeleitet werden konnten
Die Messwerte haben Labels, mit denen die jeweilige Anzahl mit Senkenname und Zielname aufgezeichnet wird und angegeben wird, ob Logs von der Senke erfolgreich weitergeleitet werden oder nicht. Weitere Informationen zum Aufrufen von Messwerten finden Sie unter Übersicht über logbasierte Messwerte.
Wenn die Senkenmesswerte darauf hinweisen, dass die Senke nicht wie erwartet funktioniert, kann dies u. a. folgende Gründe haben:
Latenz
Seit dem Erstellen oder Aktualisieren der Senke wurden keine übereinstimmenden Logeinträge empfangen. Es werden nur neue Logeinträge weitergeleitet.
Warten Sie eine Stunde und prüfen Sie dann Ihr Ziel noch einmal.
Übereinstimmende Logeinträge kömmen spät an.
Es kann einige Zeit dauern, bis Ihre Logs am Ziel angezeigt werden. Spät ankommende Logs sind besonders häufig bei Senken, die Cloud Storage-Buckets als Ziele konfiguriert haben. Warten Sie einige Stunden und prüfen Sie dann Ihr Ziel noch einmal.
Der Betrachtungsbereich/Filter ist falsch
Der Umfang, mit dem Sie Protokolle in Logging-Bucket-Zielen aufrufen, ist falsch.
So begrenzen Sie die Suche auf eine oder mehrere Speicheransichten:
Wenn Sie den Log-Explorer verwenden, verwenden Sie die Schaltfläche Umfang eingrenzen.
Wenn Sie die gcloud CLI verwenden, verwenden Sie den Befehl
gcloud logging readund fügen Sie das Flag--view=AllLogshinzu.
Der Zeitraum, in dem Sie [Daten in Ihrem Senkenziel auswählen und ansehen][export-log-bucket] ist zu kurz.
Erweitern Sie den Zeitraum, den Sie bei der Auswahl von Daten im Senkenziel verwenden.
Fehler im Senkenfilter
Der Filter der Senke ist falsch und erfasst nicht die Logs, die Sie am Ziel sehen möchten.
- Bearbeiten Sie den Filter der Senke mit dem Log Router in der Google Cloud Console. Wählen Sie Vorschau von Logs im Bereich Auffangbereich bearbeiten aus, um zu prüfen, ob Sie den richtigen Filter eingegeben haben. Dadurch wird der Log-Explorer in einem neuen Tab geöffnet, auf dem der Filter bereits ausgefüllt ist. Eine Anleitung zum Ansehen und Verwalten von Senken finden Sie unter Senken verwalten.
Fehler ansehen
Für jedes unterstützte Senkenziel bietet Logging Fehlermeldungen für falsch konfigurierte Senken.
Es gibt mehrere Möglichkeiten, diese senkenbezogenen Fehler aufzurufen. Diese Methoden werden in den folgenden Abschnitten beschrieben:
- Sehen Sie sich die Fehlerlogs an, die für die Senke generiert wurden.
- Sie erhalten Benachrichtigungen zu Senkenfehlern per E-Mail. Der Absender dieser E-Mail ist
logging-noreply@google.com.
Fehlerlogs
Es wird empfohlen, die mit Senken verbundenen Fehler im Detail zu prüfen, indem Sie sich die von der Senke generierten Fehlerlogeinträge ansehen. Weitere Informationen zum Ansehen von Protokollen finden Sie unter Logs mit dem Log-Explorer ansehen.
Sie können die folgende Abfrage im Bereich „Abfrageeditor“ im Log-Explorer verwenden, um die Fehlerlogs der Senke zu prüfen. Die gleiche Abfrage funktioniert in der Logging API und in der gcloud CLI.
Bevor Sie die Abfrage kopieren, ersetzen Sie die Variable SINK_NAME durch den Namen der Senke, für die Sie eine Fehlerbehebung versuchen. Sie finden den Namen Ihrer Senke in der Google Cloud Console auf der Seite Log Router.
logName:"logging.googleapis.com%2Fsink_error"
resource.type="logging_sink"
resource.labels.name="SINK_NAME"
Wenn der Name Ihrer Senke beispielsweise my-sink-123 lautet, könnte der Logeintrag so aussehen:
{
errorGroups: [
0: {
id: "COXu96aNws6BiQE"
}]
insertId: "170up6jan"
labels: {
activity_type_name: "LoggingSinkConfigErrorV2"
destination: "pubsub.googleapis.com/projects/my-project/topics/my-topic"
error_code: "topic_not_found"
error_detail: ""
sink_id: "my-sink-123"
}
logName: "projects/my-project/logs/logging.googleapis.com%2Fsink_error"
receiveTimestamp: "2024-07-11T14:41:42.578823830Z"
resource: {
labels: {
destination: "pubsub.googleapis.com/projects/my-project/topics/my-topic"
name: "my-sink-123"
project_id: "my-project"
}
type: "logging_sink"
}
severity: "ERROR"
textPayload: "Cloud Logging sink configuration error in my-project, sink my-sink-123: topic_not_found ()"
timestamp: "2024-07-11T14:41:41.296157014Z"
}
Das Feld LogEntry labels und die Informationen zu den verschachtelten Schlüssel/Wert-Paaren unterstützen Sie dabei, die Quelle des Fehlers der Senke zu ermitteln. Es enthält die betroffene Ressource, die betroffene Senke und den Fehlercode. Das Feld labels.error_code enthält eine Kurzbeschreibung des Fehlers, die angibt, welche Komponente Ihrer Senke neu konfiguriert werden muss.
Bearbeiten Sie den Sink, um diesen Fehler zu beheben. Sie können die Senke beispielsweise über die Seite Log Router bearbeiten:
E-Mail-Benachrichtigungen
Wichtige Kontakte sendet E-Mail-Benachrichtigungen zu Fehlern in der Senkenkonfiguration an Kontakte, die der Benachrichtigungskategorie „Technisch“ für ein Google Cloud-Projekt oder die übergeordnete Ressource zugewiesen sind.
Wenn für die Ressource kein Kontakt für technische Benachrichtigungen konfiguriert ist, erhalten Nutzer, die als IAM-Projektinhaber (roles/owner) für die Ressource aufgeführt sind, die E-Mail-Benachrichtigung.
Die E-Mail-Nachricht enthält die folgenden Informationen:
- Ressourcen-ID: Der Name des Google Cloud-Projekts oder einer anderen Google Cloud-Ressource, in der die Senke konfiguriert wurde.
- Senkenname: Der Name der Senke, die den Konfigurationsfehler enthält.
- Senkenziel: Der vollständige Pfad des Weiterleitungsziels der Senke. Beispiel:
pubsub.googleapis.com/projects/PROJECT_ID/topics/TOPIC_ID - Fehlercode: Kurzbeschreibung der Fehlerkategorie, z. B.
topic_not_found. - Fehlerdetail: Detaillierte Informationen zum Fehler, einschließlich Empfehlungen zur Behebung des zugrunde liegenden Fehlers.
Der Absender dieser E-Mail ist logging-noreply@google.com.
Sie können die Senken auf der Seite Log Router ansehen und verwalten:
Alle für die Ressource geltenden Senkenkonfigurationsfehler werden in der Liste als Cloud Logging sink configuration error angezeigt. Jeder Fehler enthält einen Link zu einem der Logeinträge, die von der fehlerhaften Senke generiert wurden. Informationen zum genauen Prüfen der zugrunde liegenden Fehler finden Sie im Abschnitt Fehlerlogs.
Arten von Senkenfehlern
In den folgenden Abschnitten werden weit gefasste Kategorien von Senkenfehlern und deren Behebung beschrieben.
Falsches Ziel
Wenn Sie eine Senke einrichten, aber einen Konfigurationsfehler dazu erhalten, dass das Ziel beim Weiterleiten von Logs durch Logging nicht gefunden wurde, kann dies folgende Gründe haben:
Die Konfiguration der Senke enthält für das angegebene Senkenziel einen Rechtschreib- oder Formatierungsfehler.
Sie müssen die Konfiguration der Senke aktualisieren, um das vorhandene Ziel ordnungsgemäß anzugeben.
Das angegebene Ziel wurde möglicherweise gelöscht.
Sie können entweder die Konfiguration der Senke ändern, um ein anderes vorhandenes Ziel zu verwenden, oder das Ziel mit demselben Namen neu erstellen.
Um diese Arten von Fehlern zu beheben, bearbeiten Sie den [Sink] export-manage-sink. Sie können die Senke beispielsweise über die Seite Log Router bearbeiten:
Ihre Senke beginnt mit der Weiterleitung von Logs, wenn das Ziel gefunden wurde und neue Logs, die Ihrem Filter entsprechen, von Logging empfangen werden.
Probleme mit Senken verwalten
Wenn Sie einen Abfluss deaktiviert haben, um das Speichern von Protokollen in einem Protokoll-Bucket zu beenden, aber weiterhin Protokolle weitergeleitet werden, warten Sie einige Minuten, bis die Änderungen am Abfluss angewendet werden.
Berechtigungsprobleme
Wenn beim Weiterleiten eines Logeintrags durch eine Senke nicht die erforderlichen IAM-Berechtigungen für das Ziel der Senke vorhanden sind, wird ein Fehler ausgegeben, den Sie aufrufen können. Der Logeintrag wird übersprungen.
Wenn Sie eine Senke erstellen, müssen dem Dienstkonto der Senke die entsprechenden Zielberechtigungen zugewiesen werden. Wenn Sie die Senke in der Google Cloud Console im selben Google Cloud-Projekt erstellen, werden diese Berechtigungen in der Regel automatisch zugewiesen. Wenn Sie die Senke jedoch in einem anderen Google Cloud-Projekt oder mithilfe der gcloud CLI oder der Logging API erstellen, müssen Sie die Berechtigungen manuell konfigurieren.
Wenn berechtigungsbezogene Fehler für die Senke angezeigt werden, fügen Sie die erforderlichen Berechtigungen hinzu oder aktualisieren Sie die Senke so, dass ein anderes Ziel verwendet wird. Eine Anleitung zum Aktualisieren dieser Berechtigungen finden Sie unter Zielberechtigungen.
Zwischen dem Erstellen der Senke und dem Gewähren der Schreibberechtigung für das Exportziel mithilfe des neuen Dienstkontos der Senke kommt es zu einer kleinen Verzögerung. Ihre Senke beginnt mit dem Weiterleiten von Logs, wenn Berechtigungen korrigiert wurden und neue Logs, die Ihrem Filter entsprechen, von Logging empfangen werden.
Probleme mit Organisationsrichtlinien
Wenn Sie versuchen, einen Logeintrag weiterzuleiten, aber eine Organisationsrichtlinie finden, die das Schreiben von Logging an das Senkenziel beschränkt, kann die Senke Logs nicht an das ausgewählte Ziel weiterleiten und meldet einen Fehler.
Wenn Fehler im Zusammenhang mit Organisationsrichtlinien auftreten, können Sie Folgendes tun:
Aktualisieren Sie die Organisationsrichtlinie für das Ziel, um die Einschränkungen zu entfernen, die die Senke am Weiterleiten von Logeinträgen hindern. Dies setzt voraus, dass Sie die entsprechenden Berechtigungen zum Aktualisieren der Organisationsrichtlinie haben.
Prüfen Sie, ob eine Einschränkung der Ressourcenstandorte (
constraints/gcp.resourceLocations) vorliegt. Mit dieser Einschränkung wird festgelegt, wo Daten gespeichert werden können. Außerdem unterstützen einige Dienste Einschränkungen, die sich auf einen Log-Sink auswirken können. So gelten beispielsweise bei der Auswahl eines Pub/Sub-Ziels mehrere Einschränkungen. Eine Liste der möglichen Einschränkungen finden Sie unter Einschränkungen für Organisationsrichtlinien.Eine Anleitung finden Sie unter Richtlinien erstellen und bearbeiten.
Wenn Sie die Organisationsrichtlinie nicht aktualisieren können, aktualisieren Sie Ihre Senke auf der Seite Log Router, um ein verfügbares Ziel zu verwenden.
Ihre Senke beginnt mit dem Weiterleiten von Logs, wenn die Organisationsrichtlinie das Schreiben in das Ziel durch die Senke nicht mehr verhindert und neue Logs, die Ihrem Filter entsprechen, von Logging empfangen werden.
Probleme mit Verschlüsselungsschlüsseln
Wenn Sie Verschlüsselungsschlüssel verwenden, die mit dem Cloud Key Management Service oder von Ihnen verwaltet werden, um die Daten im Ziel der Senke zu verschlüsseln, werden möglicherweise Fehler dazu angezeigt. Hier sind einige mögliche Probleme und Möglichkeiten zur Behebung:
Für das Google Cloud-Projekt, das den Cloud KMS-Schlüssel enthält, ist die Abrechnung nicht aktiviert.
Auch wenn die Senke erfolgreich mit dem richtigen Ziel erstellt wurde, wird diese Fehlermeldung angezeigt, wenn dem Google Cloud-Projekt, das den Schlüssel enthält, kein gültiges Rechnungskonto zugeordnet ist.
Prüfen Sie, ob ein gültiges Rechnungskonto mit dem Google Cloud-Projekt verknüpft ist, das den Schlüssel enthält. Wenn kein Rechnungskonto mit dem Google Cloud-Projekt verknüpft ist, aktivieren Sie die Abrechnung für dieses Google Cloud-Projekt oder verwenden Sie einen Cloud KMS-Schlüssel, der zu einem Google Cloud-Projekt gehört, mit dem ein gültiges Rechnungskonto verknüpft ist.
Der Cloud KMS-Schlüssel wurde nicht gefunden.
Das Google Cloud-Projekt, das den für die Datenverschlüsselung konfigurierten Cloud KMS-Schlüssel enthält, wurde nicht gefunden.
Verwenden Sie einen gültigen Cloud KMS-Schlüssel aus einem vorhandenen Google Cloud-Projekt.
Der Standort des Cloud KMS-Schlüssels stimmt nicht mit dem Standort des Ziels überein.
Befindet sich das Google Cloud-Projekt, das den Cloud KMS-Schlüssel enthält, in einer anderen Region als das Ziel, schlägt die Verschlüsselung fehl und die Senke kann keine Daten an dieses Ziel weiterleiten.
Verwenden Sie einen Cloud KMS-Schlüssel, der in einem Google Cloud-Projekt enthalten ist, dessen Region mit dem Ziel der Senke übereinstimmt.
Der Zugriff auf den Verschlüsselungsschlüssel wird für das Dienstkonto der Senke verweigert.
Auch wenn die Senke erfolgreich mit den richtigen Dienstkontoberechtigungen erstellt wurde, wird diese Fehlermeldung angezeigt, wenn das Senkenziel einen Verschlüsselungsschlüssel verwendet, der dem Dienstkonto keine ausreichenden Berechtigungen zum Verschlüsseln oder Entschlüsseln der Daten gibt.
Weisen Sie dem in der Senke im Feld
writerIdentityangegebenen Dienstkonto die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler für den am Ziel verwendeten Schlüssel zu. Prüfen Sie außerdem, ob die Cloud KMS API aktiviert ist.
Kontingentprobleme
Wenn Senken Logs schreiben, gelten zielspezifische Kontingente für die Google Cloud-Projekte, in denen die Senken erstellt wurden. Wenn die Kontingente erschöpft sind, beendet die Senke das Weiterleiten von Logs an das Ziel.
Wenn Sie beispielsweise Daten an BigQuery weiterleiten, wird möglicherweise ein Fehler angezeigt, der darauf hinweist, dass Ihr Kontingent für Streaming-Insert-Anweisungen für eine bestimmte Tabelle in Ihrem Dataset überschritten wurde. In diesem Fall leitet die Senke möglicherweise zu viele Logeinträge zu schnell weiter. Dasselbe Konzept gilt für die anderen unterstützten Senkenziele, z. B. für Pub/Sub-Themen.
Zur Behebung von Problemen mit einer Kontingentüberschreitung reduzieren Sie die Menge der Logdaten, die weitergeleitet werden. Aktualisieren Sie dazu den Filter der Senke, damit er mit weniger Logeinträgen übereinstimmt. Mit der Funktion sample in Ihrem Filter können Sie einen Teil der Gesamtzahl von Logeinträgen auswählen.
Ihre Senke beginnt, Logs an Ihr Ziel weiterzuleiten, wenn Sie Ihre Senke so aktualisiert haben, dass sie mit weniger Logeinträgen übereinstimmt, oder wenn Ihre Kontingente erneuert wurden.
Details zu den Limits, die beim Weiterleiten von Logs gelten können, finden Sie in den Kontingentinformationen des entsprechenden Ziels:
Zusätzlich zu den allgemeinen Senkenfehlertypen sind hier die häufigsten zielspezifischen Fehlertypen sowie Hinweise zu ihrer Behebung aufgeführt.
Fehler beim Weiterleiten an Cloud Storage
Die folgenden Fehler treten beim Weiterleiten von Logs an Cloud Storage am häufigsten auf:
Spät ankommende Logeinträge:
Logeinträge werden stündlich in Batches in Cloud Storage-Buckets gespeichert. Es kann zwei bis drei Stunden dauern, bis die ersten Einträge angezeigt werden.
Weitergeleitete Logdatei-Shards mit dem Suffix
An("Append") enthalten Logeinträge, die verspätet angekommen sind. Wenn am Cloud Storage-Ziel ein Ausfall auftritt, führt Cloud Logging eine Zwischenspeicherung der Daten durch, bis der Ausfall vorüber ist.
Dem Ziel können nicht die richtigen Berechtigungen zugewiesen werden:
- Prüfen Sie, ob das Dienstkonto für die Protokollablaufstelle die richtigen Berechtigungen hat. Weitere Informationen finden Sie im Abschnitt Berechtigungsprobleme dieses Dokuments.
Fehler beim Weiterleiten an BigQuery
Die folgenden Fehler treten beim Weiterleiten von Logs an BigQuery am häufigsten auf:
Ungültiges Tabellenschema:
Logs, die in die Tabelle in Ihrem BigQuery-Dataset gestreamt wurden, entsprechen nicht dem Schema der aktuellen Tabelle. Ein häufiges Problem ist der Versuch, Logeinträge mit verschiedenen Datentypen weiterzuleiten. Dies führt zu einem Schemakonflikt. Beispiel: Eines der Felder im Logeintrag enthält eine Ganzzahl, während eine entsprechende Spalte im Schema einen Stringtyp hat.
Achten Sie darauf, dass Ihre Log-Einträge dem Schema der Tabelle entsprechen. Nachdem Sie die Fehlerquelle beseitigt haben, können Sie Ihre aktuelle Tabelle umbenennen und Logging die Tabelle noch einmal erstellen lassen.
BigQuery unterstützt das Laden von verschachtelten Daten in seine Tabellen. Beim Laden von Daten aus Logging beträgt die maximale Tiefe einer verschachtelten Spalte für eine Spalte 13 Ebenen.
Wenn BigQuery ein nicht übereinstimmendes Schema identifiziert, wird eine Tabelle im entsprechenden Dataset erstellt, um die Fehlerinformationen zu speichern. Der Tabellentyp bestimmt den Tabellennamen. Bei datumsfragmentierten Tabellen lautet das Namensformat
export_errors_YYYYMMDD. Für partitionierte Tabellen lautet das Namensformatexport_errors. Informationen zum Schema der Fehlertabellen und dazu, wie Sie zukünftige Abweichungen des Feldtyps vermeiden können, finden Sie unter Abweichungen im Schema.Logeinträge liegen außerhalb der zulässigen zeitlichen Grenzen:
An die partitionierte BigQuery-Tabelle gestreamte Logs liegen außerhalb der zulässigen zeitlichen Grenzen. BigQuery akzeptiert keine Logs, die zu weit in der Vergangenheit oder Zukunft liegen.
Sie können Ihre Senke aktualisieren, um diese Logs an Cloud Storage weiterzuleiten, und einen BigQuery-Ladejob verwenden. Weitere Informationen finden Sie in der BigQuery-Dokumentation.
Das Dataset erlaubt dem Dienstkonto, das mit der Logsenke verknüpft ist, nicht das Schreiben:
Auch wenn die Senke mit den richtigen Dienstkontoberechtigungen erstellt wurde, wird diese Fehlermeldung angezeigt, wenn dem Google Cloud-Projekt, das das Senkenziel enthält, kein gültiges Rechnungskonto zugeordnet ist.
Achten Sie darauf, dass ein Rechnungskonto mit Ihrem Google Cloud-Projekt verknüpft ist. Wenn kein Rechnungskonto mit dem Google Cloud-Projekt des Senkenziels verknüpft ist, aktivieren Sie die Abrechnung für dieses Google Cloud-Projekt oder aktualisieren Sie das Senkenziel so, dass es sich in einem Google Cloud-Projekt befindet, mit dem ein gültiges Rechnungskonto verknüpft ist.
Der Datensatz enthält doppelte Logeinträge:
Doppelte Logeinträge können auftreten, wenn beim Streaming von Protokollen an BigQuery Fehler auftreten, z. B. aufgrund von Wiederholungsversuchen oder Fehlkonfigurationen. In Cloud Logging werden Logeinträge mit derselben
timestampundinsertIdbei der Abfrage dedupliziert. In BigQuery werden keine doppelten Logeinträge entfernt.Wenn Sie doppelte Logeinträge in BigQuery ignorieren möchten, fügen Sie die Klausel
SELECT DISTINCTin die Abfrage ein. Beispiel:
SELECT DISTINCT insertId, timestamp FROM TABLE_NAME
Fehler beim Weiterleiten an Cloud Logging-Buckets
Unter Umständen können Sie Logs im Log-Explorer sehen, die Sie mit Ihrer Senke ausgeschlossen haben. Sie können diese Logs weiterhin sehen, wenn eine der folgenden Bedingungen zutrifft:
Sie führen Ihre Abfrage in dem Google Cloud-Projekt aus, das die Logs generiert hat.
Um das Problem zu beheben, führen Sie Ihre Abfrage im richtigen Google Cloud-Projekt aus.
Die ausgeschlossenen Logs wurden an mehrere Log-Buckets gesendet. Sie sehen eine Kopie des Logs, das Sie ausschließen möchten.
Um dieses Problem zu beheben, prüfen Sie Ihre Senken auf der Seite Log Router, um sicherzustellen, dass Sie die Logs nicht in den Filtern anderer Senken aufnehmen.
Sie haben Zugriff auf Ansichten in dem Log-Bucket, an den die Logs gesendet wurden. In diesem Fall werden diese Logs standardmäßig angezeigt.
Damit diese Logs nicht im Log-Explorer angezeigt werden, können Sie den Umfang der Suche auf das Google Cloud-Quellprojekt oder den Bucket begrenzen.
Fehlerbehebung beim Speichern von Protokollen
Warum kann ich diesen Bucket nicht löschen?
Wenn Sie versuchen, einen Bucket zu löschen, gehen Sie so vor:
Prüfen Sie, ob Sie die erforderlichen Berechtigungen zum Löschen des Buckets haben. Eine Liste der benötigten Berechtigungen finden Sie unter Zugriffssteuerung mit IAM.
Bestimmen Sie, ob der Bucket gesperrt ist. Listen Sie dazu die Attribute des Buckets auf. Wenn der Bucket gesperrt ist, prüfen Sie die Aufbewahrungsdauer. Sie können gesperrte Buckets erst löschen, wenn alle Logs im Bucket die Aufbewahrungsdauer des Buckets erreicht haben.
Prüfen Sie, ob der Log-Bucket kein verknüpftes BigQuery-Dataset hat. Sie können einen Log-Bucket mit einem verknüpften Dataset nicht löschen.
Der folgende Fehler wird als Antwort auf einen
delete-Befehl für einen Protokoll-Bucket mit einem verknüpften Datensatz angezeigt:FAILED_PRECONDITION: This bucket is used for advanced analytics and has an active link. The link must be deleted first before deleting the bucket
Wenn Sie die mit einem Log-Bucket verknüpften Links auflisten möchten, führen Sie den Befehl [
gcloud logging links list][link-list] oder die API-Methodeprojects.locations.buckets.links.listaus.
Welche Dienstkonten leiten Logs an meinen Bucket weiter?
So ermitteln Sie, ob Dienstkonten IAM-Berechtigungen zum Weiterleiten von Logs an Ihren Bucket haben:
-
Öffnen Sie in der Google Cloud Console die Seite IAM:
Rufen Sie IAM auf.
Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift IAM & Admin ist.
Wählen Sie aus dem Tab Berechtigungen die Ansicht nach Rollen. Sie sehen eine Tabelle mit allen IAM-Rollen und -Hauptkonten, die Ihrem Google Cloud-Projekt zugeordnet sind.
Geben Sie in das Textfeld Filter filter_list der Tabelle Log-Bucket-Autor ein.
Sie sehen alle Hauptkonten mit der Rolle Log-Bucket-Autor. Wenn ein Hauptkonto ein Dienstkonto ist, enthält dessen ID den String
gserviceaccount.com.Optional: Wenn Sie ein Dienstkonto davon abhalten möchten, Logs an Ihr Google Cloud-Projekt weiterzuleiten, aktivieren Sie das Kästchen check_box_outline_blank für das Dienstkonto und klicken Sie auf Entfernen.
Warum sehe ich Logs für ein Google Cloud-Projekt, obwohl ich sie von meiner _Default-Senke ausgeschlossen habe?
Möglicherweise sehen Sie Logs in einem Log-Bucket in einem zentralisierten Google Cloud-Projekt, in dem Logs aus Ihrer Organisation zusammengefasst werden.
Wenn Sie über den Log-Explorer auf diese Logs zugreifen und Logs sehen, die Sie von der _Default-Senke ausgeschlossen haben, ist die Ansicht möglicherweise auf Google Cloud-Projektebene festgelegt.
Wählen Sie zum Beheben dieses Problems im Menü Bereich eingrenzen die Option Loganzeige und dann die Loganzeige aus, die dem _Default-Bucket in Ihrem Google Cloud-Projekt zugeordnet ist. Die ausgeschlossenen Logs sollten nun nicht mehr angezeigt werden.