Log-Bereiche erstellen und verwalten

In diesem Dokument wird beschrieben, wie Sie Protokollbereiche erstellen und verwalten können, mit denen Sie die Logeinträge, die Sie sich ansehen oder analysieren möchten, effizient finden. Wenn Sie nur die Logeinträge ansehen und analysieren möchten, die aus einem Projekt, Ordner oder einer Organisation stammen, ist dieses Dokument nicht für Sie geeignet. Wenn Sie jedoch Logsenken verwenden, um Protokolle an andere Projekte oder benutzerdefinierte Log-Buckets weiterzuleiten, oder Logansichten verwenden, können Ihnen die Informationen in diesem Dokument helfen, bestimmte Protokolleinträge effizient zu finden.

In diesem Dokument wird nicht beschrieben, wie Sie Ihre Protokolle aufrufen. Weitere Informationen zu diesem Thema finden Sie unter Logs mit dem Log-Explorer ansehen.

Logbereiche

Protokollbereiche sind persistente Ressourcen auf Projektebene, die eine Reihe von Ressourcen auflisten. Das können Projekte, Ordner, Organisationen und Protokollansichten sein. Sie können beispielsweise einen Logbereich definieren, in dem die Projekte aufgeführt sind, die Produktionsressourcen enthalten, oder einen Bereich, in dem die Logansichten mit Logeinträgen für einen bestimmten Ressourcentyp aufgeführt sind.

Wenn Sie ein Google Cloud-Projekt, einen Google Cloud-Ordner oder eine Google Cloud-Organisationsressource erstellen, wird in Logging ein Logbereich mit dem Namen _Default erstellt. Dieser Bereich umfasst das erstellte Projekt, den erstellten Ordner oder die erstellte Organisation. Wenn es sich bei der gesuchten Ressource um ein Google Cloud-Projekt, einen Google Cloud-Ordner oder eine Google Cloud-Organisation handelt, enthalten die Ergebnisse die Logeinträge, die von der Ressource stammen und dann in einem Log-Bucket gespeichert werden. Bei der Suche in einem Projekt sind auch Logeinträge enthalten, die über eine Senke in einem anderen Projekt an das Projekt weitergeleitet und dann in einem Log-Bucket gespeichert werden.

Sie können Protokollbereiche erstellen. Sie können die von Ihnen erstellten Protokollbereiche auch bearbeiten und löschen. Sie können den Protokollumfang mit dem Namen _Default jedoch nicht bearbeiten oder löschen.

Mit einem Logbereich können Sie festlegen, in welchen Ressourcen auf der Seite Log-Explorer nach Logdaten gesucht wird. Wenn Sie diese Seite öffnen und einen Log-Bereich auswählen, werden die darin aufgeführten Ressourcen auf der Seite gesucht und die Anzeige aktualisiert.

Mit einem Log-Umfang können Sie auch festlegen, in welchen Ressourcen in einem Logbereich nach Logdaten gesucht wird. Ein Logbereich ist ein benutzerdefiniertes Dashboard-Widget, in dem Protokolldaten angezeigt werden. Für jeden Protokollbereich gibt es eine eigene Konfiguration. So können Sie ein Dashboard mit mehreren Protokollbereichen erstellen, in denen jeweils unterschiedliche Protokolldaten angezeigt werden. Weitere Informationen finden Sie unter Protokolle und Fehler in einem benutzerdefinierten Dashboard anzeigen.

Bei Projekten wird durch den Standardlogbereich festgelegt, in welchen Ressourcen auf der Seite Log-Explorer nach dem Öffnen gesucht wird. Welche Logeinträge aus dem Speicher abgerufen werden, bestimmen jedoch Ihre IAM-Rollen (Identity and Access Management) für die gesuchten Ressourcen und die Einstellung für den Zeitraum. Beim Erstellen von Projekten wird der Log-Scope mit dem Namen _Default als Standard-Log-Scope festgelegt. Sie können festlegen, welcher Logbereich der Standardlogbereich ist.

Best Practices

Da Sie mit Protokollbereichen eine Konfiguration definieren und für die zukünftige Verwendung speichern können, empfehlen wir, Protokollbereiche für komplexe Suchkonfigurationen zu erstellen.

Angenommen, Sie beheben ein Problem und möchten sich die Logeinträge für alle VM-Instanzen (Virtual Machine) ansehen, die Ihrem Team gehören. Dazu können Sie Folgendes tun:

  1. Sie stellen fest, dass die gewünschten Logeinträge in mehreren Log-Buckets und in mehreren Projekten gespeichert sind. Für die meisten Log-Buckets gibt es eine Log-Ansicht, die die Logeinträge enthält, die Sie analysieren möchten. Wenn noch keine Protokollansicht vorhanden ist, können Sie eine erstellen.

  2. Sie beschließen, einen Log-Bereich zu erstellen, da Sie davon ausgehen, dass Sie in Zukunft eine ähnliche Fehlerbehebung durchführen müssen.

  3. Öffnen Sie in der Google Cloud Console die Seite Log-Explorer und wählen Sie dann im Menü Scope eingrenzen den neuen Log-Scope aus.

  4. Sie sehen sich die Logeinträge an und finden die Informationen, die Sie zur Behebung des untersuchten Problems benötigen.

  5. Nachdem Sie das Problem behoben haben, teilen Sie Ihren Kollegen die Ursache für den Fehler mit. Sie teilen außerdem mit, dass Sie ähnliche Fehler in Zukunft erwarten. Daher haben Sie einen Log-Umfang erstellt, mit dem Sie oder die Person, die den Fehler untersucht, schnell relevante Logeinträge finden können.

Beschränkungen

  • Sie können den Logbereich mit dem Namen _Default nicht löschen oder ändern.
  • Nur Google Cloud-Projekte unterstützen einen Standardlogbereich.
  • Sie können einem benutzerdefinierten Log-Umfang keine Ordner oder Organisationen hinzufügen.
  • Log-Scopes werden am Speicherort global erstellt.

Hinweise

  • Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen und Aufrufen von Protokollbereichen und zum Festlegen des Standardprotokollbereichs benötigen:

    • Zum Erstellen und Ansehen von Log-Scopes oder zum Abrufen des Standard-Log-Scopes: Autor von Logkonfigurationen (roles/logging.configWriter) für Ihr Projekt, Ihren Ordner oder Ihre Organisation
    • So legen Sie den Standardlogbereich fest: Observability Editor (roles/observability.editor) für Ihr Projekt, Ihren Ordner oder Ihre Organisation

    Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

    Diese vordefinierten Rollen enthalten die Berechtigungen, die zum Erstellen und Aufrufen von Protokollbereichen und zum Festlegen des Standardprotokollbereichs erforderlich sind. Erweitern Sie den Abschnitt Erforderliche Berechtigungen, um die erforderlichen Berechtigungen anzuzeigen:

    Erforderliche Berechtigungen

    Die folgenden Berechtigungen sind erforderlich, um Logbereiche zu erstellen und aufzurufen sowie den Standardlogbereich festzulegen:

    • So rufen Sie den Standardlogbereich ab und legen ihn fest: observability.scopes.{get, update}

    Sie können diese Berechtigungen auch mit benutzerdefinierten Rollen oder anderen vordefinierten Rollen erhalten.

  • Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

    Terraform

    Wenn Sie die Terraform-Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung verwenden möchten, installieren und initialisieren Sie die gcloud CLI und richten dann die Standardanmeldedaten für Anwendungen mit Ihren Nutzeranmeldedaten ein.

    1. Install the Google Cloud CLI.
    2. To initialize the gcloud CLI, run the following command:

      gcloud init
    3. If you're using a local shell, then create local authentication credentials for your user account:

      gcloud auth application-default login

      You don't need to do this if you're using Cloud Shell.

    Weitere Informationen finden Sie unter Authentifizierung für eine lokale Entwicklungsumgebung einrichten in der Dokumentation zur Google Cloud-Authentifizierung.

    REST

    Verwenden Sie die von der gcloud CLI bereitgestellten Anmeldedaten, um die REST API-Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung zu verwenden.

      Install the Google Cloud CLI, then initialize it by running the following command:

      gcloud init

    Weitere Informationen finden Sie unter Für die Verwendung von REST authentifizieren in der Dokumentation zur Google Cloud-Authentifizierung.

Logbereiche auflisten

Console

So listen Sie die Protokollbereiche auf:

  1. Öffnen Sie in der Google Cloud Console die Seite Einstellungen.

    Einstellungenaufrufen

    Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.

  2. Wählen Sie den Tab Log-Bereiche aus.

    In der Tabelle sind Ihre Protokollbereiche aufgeführt. Wenn Sie ein Google Cloud-Projekt ausgewählt haben, wird in der Tabelle ein Eintrag mit dem Symbol „Standard“  angezeigt. Das bedeutet, dass in diesem Logbereich die Ressourcen aufgeführt sind, in denen der Log-Explorer nach dem Öffnen der Seite sucht.

gcloud

Verwenden Sie den Befehl gcloud logging scopes list, um die Protokollbereiche in einem Projekt aufzulisten:

 gcloud logging scopes list --project=PROJECT_ID

Aktualisieren Sie vor dem Ausführen des Befehls die folgenden Felder:

  • PROJECT_ID: Die Kennung des Projekts.

Verwenden Sie den Befehl gcloud logging scopes describe, um die Details eines Log-Bereichs in einem Projekt abzurufen:

 gcloud logging scopes describe LOG_SCOPE --project=PROJECT_ID

Aktualisieren Sie vor dem Ausführen des Befehls die folgenden Felder:

  • PROJECT_ID: Die Kennung des Projekts.
  • LOG_SCOPE: Der Name des Log-Bereichs. Beispiel: my-scope.

Terraform

Sie können mit Terraform einen Log-Bereich erstellen und ändern. Mit Terraform können Sie jedoch keine Logbereiche auflisten.

REST

Die Cloud Logging API enthält Befehle, mit denen die Logbereiche in einer Ressource aufgelistet oder die Details eines bestimmten Logbereichs erfasst werden. Eine vollständige Liste der Befehle finden Sie in der API-Referenzdokumentation.

Verwenden Sie für Google Cloud-Projekte die folgenden Befehle:

Legen Sie im API-Befehl das Feld locations auf global fest.

Standard-Logbereich festlegen

Im Standardlogbereich sind die Ressourcen aufgeführt, in denen auf der Seite Log-Explorer nach dem Öffnen der Seite gesucht wird. Wenn kein Standardlogumfang vorhanden ist oder nicht zugänglich ist, wird auf dieser Seite automatisch nach Logeinträgen gesucht, die aus dem ausgewählten Projekt, Ordner oder der ausgewählten Organisation stammen. Die Logeinträge, die auf der Seite Log-Explorer angezeigt werden, hängen von den gesuchten Ressourcen, der Einstellung für den Zeitraum und Ihren IAM-Rollen für die gesuchten Ressourcen ab.

Beim Erstellen von Projekten wird der Logbereich mit dem Namen _Default erstellt und als Standardlogbereich festgelegt. Sie können jedoch Ihren eigenen Protokollumfang erstellen und als Standardprotokollumfang festlegen.

Console

So legen Sie den Standardlogbereich fest:

  1. Öffnen Sie in der Google Cloud Console die Seite Einstellungen.

    Einstellungenaufrufen

    Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.

  2. Wählen Sie den Tab Log-Bereiche aus.
  3. Suchen Sie den Protokollumfang, den Sie als Standardprotokollumfang festlegen möchten, klicken Sie auf das Dreipunkt-Menü  Mehr und wählen Sie Als Standard festlegen aus.

    Der ausgewählte Log-Umfang wird mit dem Symbol „Standard“  angezeigt.

gcloud

Nicht unterstützt.

Terraform

Sie können mit Terraform einen Log-Bereich erstellen und ändern. Sie können den Standardlogbereich jedoch nicht mit Terraform festlegen.

REST

Nicht unterstützt.

Logbereich erstellen

Sie können 100 Log-Bereiche pro Projekt erstellen. Ein Logbereich kann insgesamt 100 Logansichten und Projekte enthalten, jedoch nur 5 Projekte. Sie können einem Log-Scope keine Ordner oder Organisationen hinzufügen.

Console

So erstellen Sie einen Logbereich:

  1. Öffnen Sie in der Google Cloud Console die Seite Einstellungen.

    Einstellungenaufrufen

    Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.

  2. Wählen Sie den Tab Log-Bereiche aus und klicken Sie dann auf Log-Bereich erstellen.
  3. Wenn Sie ein oder mehrere Projekte hinzufügen möchten, klicken Sie auf Projekte hinzufügen und füllen Sie das Dialogfeld aus.

    Nachdem Sie ein Projekt hinzugefügt haben, legen Ihre IAM-Rollen für dieses Projekt fest, welche Logeinträge Sie aufrufen können. Mit Ihrer IAM-Rolle können Sie beispielsweise nur die Logeinträge aufrufen, auf die über eine bestimmte Protokollansicht in einem Protokoll-Bucket zugegriffen werden kann. Weitere Informationen zu Rollen finden Sie unter Rollen protokollieren.

  4. Wenn Sie eine oder mehrere Log-Ansichten hinzufügen möchten, klicken Sie auf Log-Ansichten hinzufügen und füllen Sie das Dialogfeld aus.

    Im Dialogfeld werden alle Logansichten mit Logeinträgen aufgelistet, die aus dem aktuellen Projekt stammen oder über einen Abfluss in einem anderen Projekt an das aktuelle Projekt weitergeleitet wurden. Wenn Sie beispielsweise keine Senken konfiguriert haben, werden in diesem Dialogfeld die Logansichten in Ihrem aktuellen Projekt aufgeführt.

    Wenn Sie in einem anderen Google Cloud-Projekt gespeicherte Log-Ansichten auflisten möchten, klicken Sie auf  Projekt importieren und wählen Sie das Google Cloud-Projekt aus.

    Nachdem Sie eine Log-Ansicht hinzugefügt haben, bestimmen Ihre IAM-Rollen für die Log-Ansicht oder das Projekt, in dem die Log-Ansicht gespeichert ist, auf welche Logeinträge Sie zugreifen können. Weitere Informationen finden Sie unter Zugriff auf eine Logansicht steuern.

  5. Geben Sie im Abschnitt Log-Scope benennen den Namen und die Beschreibung ein, die auf dem Tab Log-Scopes angezeigt werden sollen.

    Der Name eines Logbereichs kann nicht geändert werden und muss innerhalb des Projekts eindeutig sein.

  6. Klicken Sie auf Logbereich erstellen.

gcloud

Verwenden Sie den Befehl gcloud logging scopes create, um einen Log-Scope in einem Projekt zu erstellen:

 gcloud logging scopes create LOG_SCOPE --project=PROJECT_ID \
   --description=DESCRIPTION \
   --resource-names=RESOURCE_NAMES

Aktualisieren Sie vor dem Ausführen des Befehls die folgenden Felder:

  • PROJECT_ID: Die Kennung des Projekts.
  • LOG_SCOPE: Der Name des Log-Bereichs. Beispiel: my-scope.

  • DESCRIPTION: Optional. Die Beschreibung des Logbereichs. Formatieren Sie die Beschreibung als String.

  • RESOURCE_NAMES: Eine durch Kommas getrennte Liste der vollqualifizierten Namen von Projekten oder Protokollansichten. Wenn Sie beispielsweise my-project in den Log-Bereich aufnehmen möchten, geben Sie projects/my-project an.

Terraform

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle. Weitere Informationen finden Sie in der Anbieterreferenzdokumentation zu Terraform.

Wenn Sie mit Terraform einen Logbereich in einem Projekt, Ordner oder einer Organisation erstellen möchten, verwenden Sie die Terraform-Ressource google_logging_log_scope.

Legen Sie im Befehl die folgenden Felder fest:

  • parent: Der vollständige Name Ihres Projekts, Ordners oder Ihrer Organisation. Sie können dieses Feld beispielsweise auf "projects/PROJECT_ID" festlegen, wobei PROJECT_ID die ID Ihres Google Cloud-Projekts ist.
  • locations: Legen Sie "global" fest.
  • name: Muss auf den voll qualifizierten Namen des Log-Bereichs festgelegt sein. Für Projekte hat dieses Feld das Format:

    "projects/PROJECT_ID/locations/global/logScopes/LOG_SCOPE"
    

    Im vorherigen Ausdruck ist LOG_SCOPE der Name eines Log-Bereichs, z. B. „production“.

  • resource_names: Ein Array von Projekten und Protokollansichten, wobei jedes Projekt und jede Protokollansicht mit ihrem vollqualifizierten Namen angegeben wird.

  • description: Eine kurze Beschreibung. Beispiel: „Umfang der Produktionsressourcen“.

REST

Die Cloud Logging API unterstützt auch das Erstellen von Log-Bereichen in einem Ordner oder einer Organisation. Weitere Informationen finden Sie in der API-Referenzdokumentation.

Verwenden Sie für Google Cloud-Projekte den folgenden Befehl:

Legen Sie im API-Befehl das Feld locations auf global fest.

Logbereich ändern oder löschen

Console

So ändern oder löschen Sie einen Log-Bereich, den Sie oder ein Kollege erstellt haben:

  1. Öffnen Sie in der Google Cloud Console die Seite Einstellungen.

    Einstellungenaufrufen

    Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.

  2. Wählen Sie den Tab Log-Bereiche aus.
  3. Suchen Sie die Log-Bereiche, die Sie ändern oder löschen möchten, klicken Sie auf  Mehr und führen Sie dann einen der folgenden Schritte aus:

    • Wenn Sie ihn ändern möchten, wählen Sie Umfang bearbeiten aus und nehmen Sie die erforderlichen Einstellungen vor.
    • Wenn Sie den Bereich löschen möchten, wählen Sie Bereich löschen aus und schließen Sie das Dialogfeld ab.

gcloud

Verwenden Sie den Befehl gcloud logging scopes update, um die Beschreibung der Liste der Ressourcen in einem Log-Scope in einem Projekt zu ändern:

 gcloud logging scopes update LOG_SCOPE --project=PROJECT_ID \
   --description=DESCRIPTION \
   --resource-names=RESOURCE_NAMES

Aktualisieren Sie vor dem Ausführen des Befehls die folgenden Felder:

  • PROJECT_ID: Die Kennung des Projekts.
  • LOG_SCOPE: Der Name des Log-Bereichs. Beispiel: my-scope.

  • DESCRIPTION: Die Beschreibung des Logbereichs. Formatieren Sie die Beschreibung als String. Lassen Sie dieses Feld weg, wenn Sie die Beschreibung des Log-Umfangs nicht ändern möchten.

  • RESOURCE_NAMES: Eine durch Kommas getrennte Liste der vollqualifizierten Namen von Projekten oder Protokollansichten. Lassen Sie dieses Feld weg, wenn Sie die Liste der Ressourcen nicht ändern möchten.

Verwenden Sie den Befehl gcloud logging scopes delete, um einen Log-Bereich in einem Projekt zu löschen:

 gcloud logging scopes delete LOG_SCOPE --project=PROJECT_ID

Aktualisieren Sie vor dem Ausführen des Befehls die folgenden Felder:

  • PROJECT_ID: Die Kennung des Projekts.
  • LOG_SCOPE: Der Name des Log-Bereichs. Beispiel: my-scope.

Terraform

Informationen zum Anwenden oder Entfernen einer Terraform-Konfiguration finden Sie unter Grundlegende Terraform-Befehle. Weitere Informationen finden Sie in der Anbieterreferenzdokumentation zu Terraform.

Wenn Sie mit Terraform den Gültigkeitsbereich eines Logs in einem Projekt, Ordner oder einer Organisation ändern möchten, verwenden Sie die Terraform-Ressource google_logging_log_scope.

REST

Die Cloud Logging API enthält Befehle, mit denen sich der Logumfang ändern oder löschen lässt. Eine vollständige Liste der Befehle finden Sie in der API-Referenzdokumentation.

Verwenden Sie für Google Cloud-Projekte die folgenden Befehle:

Legen Sie im API-Befehl das Feld locations auf global fest.

Nächste Schritte