创建和管理日志作用域

本文档介绍了如何创建和管理日志范围，您可以使用日志范围来高效查找要查看或分析的日志条目。如果您只想查看和分析来自项目、文件夹或组织的日志条目，则本文档不适合您。不过，如果您依赖日志接收器将日志路由到其他项目或用户定义的日志存储分区，或者使用日志视图，则本文档中的信息可能会帮助您高效地查找特定日志条目。

本文档未介绍如何查看日志。如需了解该主题，请参阅使用日志浏览器查看日志。

日志范围简介

日志范围是项目级的永久性资源，用于列出一系列资源。这些资源可以是项目、文件夹、组织和日志视图。例如，您可以定义一个日志范围，其中列出包含用于生产环境的资源的项目，也可以定义一个日志范围，其中列出包含特定资源类型的日志条目的日志视图。

创建 Google Cloud 项目、文件夹或组织资源时，日志记录会创建一个名为 _Default 的日志范围。此范围包含所创建的项目、文件夹或组织。如果搜索的资源是 Google Cloud 项目、文件夹或组织，则结果会包含源自该资源并存储在日志存储桶中的日志条目。搜索项目时，结果还会包含由另一个项目中的接收器路由到该项目，然后存储在日志存储桶中的日志条目。

您可以创建日志范围。您还可以修改和删除自己创建的日志范围。不过，您无法修改或删除名为 _Default 的日志范围。

您可以使用日志范围来控制 Logs Explorer 页面在哪些资源中搜索日志数据。当您打开该页面并选择日志范围后，该页面会搜索该范围中列出的资源，然后刷新显示内容。

您还可以使用日志范围来控制日志面板搜索日志数据的资源。日志面板是一种用于显示日志数据的自定义信息中心微件。每个日志面板都有自己的配置，这样您就可以创建包含多个日志面板的信息中心，每个面板显示不同的日志数据。如需了解详情，请参阅在自定义信息中心内显示日志和错误。

对于项目，默认日志范围决定了日志浏览器页面打开时会搜索的一组资源。不过，您在搜索的资源上的 Identity and Access Management (IAM) 角色和时间范围设置决定了系统会从存储空间提取哪些日志条目。创建项目时，系统会将名为 _Default 的日志范围指定为默认日志范围。您可以设置哪些日志范围是默认日志范围。

最佳做法

由于日志范围可让您定义并保存配置以供日后使用，因此我们建议您为复杂的搜索配置创建日志范围。

例如，假设您正在排查问题，并希望查看团队拥有的所有虚拟机 (VM) 实例的日志条目。为此，您可以执行以下操作：

1. 您确定要查看的日志条目存储在多个日志存储分区和多个项目中。对于大多数日志分桶，都存在包含您要分析的日志条目的日志视图。如果日志视图不存在，您可以创建一个。

2. 您决定创建日志范围，因为您预计将来会有类似的问题排查任务。

3. 您需要在 Google Cloud 控制台中打开 Logs Explorer 页面，然后使用优化范围菜单选择新的日志范围。

4. 您查看日志条目，找到解决您正在调查的问题所需的信息。

5. 解决问题后，您与同事分享失败原因。您还表示，您预计日后会遇到类似的失败问题，因此您创建了一个日志范围，以便您或调查失败问题的人员快速找到相关的日志条目。

限制

• 您无法删除或修改名为 _Default 的日志范围。
• 只有 Google Cloud 项目支持默认日志范围。
• 您无法将文件夹或组织添加到用户定义的日志范围。
• 日志作用域是在 global 位置创建的。

准备工作

• 如需获得创建和查看日志范围以及设置默认日志范围所需的权限，请让您的管理员为您授予以下 IAM 角色：

  • 如需创建和查看日志范围或获取默认日志范围：针对您的项目、文件夹或组织的 Logs Configuration Writer (roles/logging.configWriter)
  • 如需设置默认日志范围：针对您的项目、文件夹或组织的 Observability Editor (roles/observability.editor)

  如需详细了解如何授予角色，请参阅管理对项目、文件夹和组织的访问权限。

  这些预定义角色包含创建和查看日志范围以及设置默认日志范围所需的权限。如需查看所需的确切权限，请展开所需权限部分：

  所需权限

  如需创建和查看日志范围以及设置默认日志范围，需要具备以下权限：

  • 如需获取和设置默认日志范围： observability.scopes.{get, update}

  您也可以使用自定义角色或其他预定义角色来获取这些权限。

• Select the tab for how you plan to use the samples on this page:

  Console

  When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

  gcloud

  In the Google Cloud console, activate Cloud Shell.

  Activate Cloud Shell

  At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  Terraform

  如需在本地开发环境中使用本页面上的 Terraform 示例，请安装并初始化 gcloud CLI，然后使用您的用户凭据设置应用默认凭据。

  1. Install the Google Cloud CLI.

  2. To initialize the gcloud CLI, run the following command:

     gcloud init

  3. If you're using a local shell, then create local authentication credentials for your user account:

     gcloud auth application-default login

     You don't need to do this if you're using Cloud Shell.

  如需了解详情，请参阅 Google Cloud 身份验证文档中的为本地开发环境设置身份验证。

  REST

  如需在本地开发环境中使用本页面上的 REST API 示例，请使用您提供给 gcloud CLI 的凭据。

  Install the Google Cloud CLI, then initialize it by running the following command:

  gcloud init

  如需了解详情，请参阅 Google Cloud 身份验证文档中的使用 REST 时进行身份验证。

列出日志范围

 gcloud logging scopes list --project=PROJECT_ID

 gcloud logging scopes describe LOG_SCOPE --project=PROJECT_ID

设置默认日志范围

默认日志范围会列出 Logs Explorer 页面打开时会搜索的资源。如果默认日志范围不存在或无法访问，该页面会自动搜索源自所选项目、文件夹或组织的日志条目。日志浏览器页面显示的日志条目取决于搜索的资源、时间范围设置以及您在搜索的资源上的 IAM 角色。

创建项目时，系统会创建一个名为 _Default 的日志范围，并将其指定为默认日志范围。不过，您可以创建自己的日志范围并将其指定为默认日志范围。

创建日志范围

您可以为每个项目创建 100 个日志级别。一个日志范围最多可以包含 100 个日志视图和项目；但是，它只能包含 5 个项目。您无法将文件夹或组织添加到日志范围。

 gcloud logging scopes create LOG_SCOPE --project=PROJECT_ID \
   --description=DESCRIPTION \
   --resource-names=RESOURCE_NAMES

修改或删除日志范围

 gcloud logging scopes update LOG_SCOPE --project=PROJECT_ID \
   --description=DESCRIPTION \
   --resource-names=RESOURCE_NAMES

 gcloud logging scopes delete LOG_SCOPE --project=PROJECT_ID

后续步骤

• 使用日志浏览器查看日志
• 在日志存储桶上配置日志视图