Configurare le visualizzazioni dei log in un bucket di log

Questo documento descrive come creare e gestire le visualizzazioni dei log nei bucket Cloud Logging. Le visualizzazioni dei log ti offrono un controllo avanzato e granulare su chi ha accesso ai log all'interno dei bucket di log.

Puoi configurare e gestire le visualizzazioni dei log utilizzando la console Google Cloud, gcloud CLI, Terraform o l'API Cloud Logging.

Per informazioni generali sul modello di archiviazione di Logging, consulta la panoramica su routing e archiviazione.

Informazioni sulle visualizzazioni log

Le visualizzazioni dei log ti consentono di concedere a un utente l'accesso solo a un sottoinsieme di log archiviati in un bucket di log. Ad esempio, prendi in considerazione uno scenario in cui memorizzi i log della tua organizzazione in un progetto centrale. Puoi creare una visualizzazione log per ogni progetto che contribuisce con i log al bucket di log. Puoi quindi grant each user access to one or more log views, and thereby restrict which logs gli utenti possono visualizzare.

Puoi creare un massimo di 30 visualizzazioni dei log per bucket di log.

Controllare l'accesso a una visualizzazione dei log

Cloud Logging utilizza i criteri IAM per controllare chi ha accesso alle visualizzazioni log. I criteri IAM possono esistere a livello di risorsa, progetto, cartella e organizzazione. Per Cloud Logging, puoi creare un criterio IAM per ogni visualizzazione dei log. Per determinare se un'entità è autorizzata per un'azione, IAM valuta tutti i criteri applicabili, con la prima valutazione a livello di risorsa.

Le entità con il ruolo roles/logging.viewAccessor in un progetto Google Cloud possono accedere alle visualizzazioni e ai log in qualsiasi bucket di log del progetto.

Per concedere a un'entità l'accesso solo a una visualizzazione dei log specifica, svolgi una delle seguenti operazioni:

  • Crea un criterio IAM per la visualizzazione dei log, quindi aggiungi un'associazione IAM al criterio che concede all'entità l'accesso alla visualizzazione dei log.

    Se crei un numero elevato di visualizzazioni dei log, ti consigliamo questo approccio.

  • Concedi all'entità il ruolo IAM roles/logging.viewAccessor nel progetto che contiene la visualizzazione dei log, ma allega una condizione IAM per limitare la concessione alla visualizzazione dei log specifica. Se ometti la condizione, concedi all'entità l'accesso a tutte le visualizzazioni dei log. Il file di criteri di un progetto Google Cloud prevede un limite di 20 associazioni di ruoli che includono lo stesso ruolo e lo stesso principale, ma espressioni di condizione diverse.

Per ulteriori informazioni, consulta le seguenti sezioni di questo documento:

Visualizzazioni log create automaticamente

Cloud Logging crea automaticamente una vista _AllLogs per ogni bucket di log e una vista _Default per il bucket di log _Default:

  • Visualizzazione _AllLogs: puoi visualizzare tutti i log nel bucket di log.
  • Visualizzazione _Default: puoi visualizzare tutti gli audit log non relativi all'accesso ai dati nel bucket di log.

Non puoi modificare le visualizzazioni create automaticamente da Cloud Logging, ma puoi eliminare la visualizzazione _AllLogs.

Filtro visualizzazione log

Ogni visualizzazione dei log contiene un filtro che determina quali voci di log sono visibili nella visualizzazione. I filtri possono contenere operatori logici AND e NOT, ma non possono includere operatori logici OR. I filtri possono confrontare uno qualsiasi dei seguenti valori:

  • Un'origine dati che utilizza la funzione source. La funzione source restituisce le voci di log di una determinata risorsa nella gerarchia delle organizzazioni, delle cartelle e dei progetti Google Cloud.

  • Un ID log utilizzando la funzione log_id. La funzione log_id restituisce le voci di log corrispondenti all'argomento LOG_ID fornito dal campo logName.

  • Un tipo di risorsa valido che utilizza il confronto resource.type= FIELD_NAME.

Ad esempio, il seguente filtro acquisisce le voci di log stdout di Compute Engine da un progetto Google Cloud denominato myproject:

source("projects/myproject") AND resource.type = "gce_instance" AND log_id("stdout")

Per informazioni dettagliate sulla sintassi di filtro, consulta Confronti.

Differenze tra le visualizzazioni dei log e le visualizzazioni di analisi

Le visualizzazioni dei log e quelle di analisi sono diverse.

Una visualizzazione dei log in un bucket di log controlla le voci di log nel bucket di log che puoi visualizzare. Quando utilizzi Log Analytics, la struttura di dati LogEntry determina lo schema dei dati su cui esegui query.

Una vista di analisi contiene una query SQL su una o più viste dei log. Con Analisi dei log, puoi scrivere query su una visualizzazione di analisi. Poiché lo schema viene determinato dall'autore di una visualizzazione di analisi, un caso d'uso per le visualizzazioni di analisi è trasformare i dati dei log dal formato LogEntry in un formato più adatto alle tue esigenze.

Prima di iniziare

Prima di creare o aggiornare una visualizzazione dei log, completa i seguenti passaggi:

  1. Se non l'hai ancora fatto, nel progetto Google Cloud appropriato, crea un bucket di logging per cui vuoi configurare una visualizzazione dei log personalizzata.

  2. Per ottenere le autorizzazioni necessarie per creare e gestire le visualizzazioni log e per concedere l'accesso alle visualizzazioni log, chiedi all'amministratore di concederti i seguenti ruoli IAM nel progetto:

    Per saperne di più sulla concessione dei ruoli, consulta Gestire l'accesso a progetti, cartelle e organizzazioni.

    Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

  3. Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

    Terraform

    Per utilizzare gli esempi di Terraform in questa pagina in un ambiente di sviluppo locale, installa e inizializza gcloud CLI, quindi configura le credenziali predefinite dell'applicazione con le tue credenziali utente.

    1. Install the Google Cloud CLI.

    2. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

    3. To initialize the gcloud CLI, run the following command: 

      gcloud init

    4. If you're using a local shell, then create local authentication credentials for your user account: 

      gcloud auth application-default login

      You don't need to do this if you're using Cloud Shell.

      If an authentication error is returned, and you are using an external identity provider (IdP), confirm that you have signed in to the gcloud CLI with your federated identity.

    Per ulteriori informazioni, consulta Configurare l'ADC per un ambiente di sviluppo locale nella Google Cloud documentazione sull'autenticazione.

  4. Determina i log da includere nella visualizzazione. Utilizza queste informazioni per specificare il filtro della visualizzazione dei log.

  5. Determina chi deve avere accesso alla visualizzazione dei log e se vuoi aggiungere associazioni al criterio IAM della visualizzazione dei log o al progetto Google Cloud. Per ulteriori informazioni, consulta Controllare l'accesso a una visualizzazione dei log.

Creare una visualizzazione di log

Puoi creare un massimo di 30 visualizzazioni dei log per bucket di log.

Console

Per creare una visualizzazione dei log:

  1. Nella console Google Cloud, vai alla pagina Archiviazione dei log:

    Vai ad Archiviazione dei log

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

  2. Seleziona il progetto, la cartella o l'organizzazione in cui è archiviato il bucket di log.
  3. Nel riquadro Bucket di log, seleziona il nome del bucket di log su cui vuoi creare una visualizzazione dei log.
  4. Nella pagina dei dettagli del bucket dei log, vai al riquadro Visualizzazioni log e poi fai clic su Crea visualizzazione log.

  5. Nella pagina Definisci visualizzazione di log, completa quanto segue:

    1. Inserisci un nome per la visualizzazione dei log. Non puoi modificare questo nome dopo la creazione della vista log. Il nome è limitato a 100 caratteri e può includere solo lettere, cifre, trattini bassi e trattini.
    2. Inserisci una descrizione per la visualizzazione dei log.
    3. Nel campo Crea filtro, inserisci un'espressione che determina quali voci di log nel bucket di log sono incluse nella visualizzazione dei log. Per informazioni sulla struttura di questo campo, consulta la sezione Filtro visualizzazione log di questo documento.

  6. (Facoltativo) Per aggiungere un'associazione di ruoli alla risorsa di visualizzazione dei log:

    1. Fai clic su Continua e vai alla pagina Imposta autorizzazioni.
    2. Fai clic su Concedi accesso.
    3. Nella sezione Aggiungi entità, espandi il menu Nuove entità e poi seleziona un'entità.
    4. Nella sezione Assegna i ruoli, seleziona il ruolo Log View Accessor.
    5. Fai clic su Salva.

  7. Fai clic su Salva visualizzazione.

  8. Se non hai concesso ai principali l'accesso alla visualizzazione dei log nell'ambito del flusso di creazione, completa i passaggi descritti nella sezione seguente.

gcloud

Per creare una visualizzazione dei log:

  1. Esegui il comando gcloud logging views create.

    Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

    • LOG_VIEW_ID: l'identificatore della visualizzazione dei log, che è limitato a 100 caratteri e può includere solo lettere, cifre, trattini bassi e trattini.
    • BUCKET_NAME: il nome del bucket di log.
    • LOCATION: la posizione del bucket di log.
    • FILTER: un filtro che definisce la visualizzazione dei log. Se è vuota, la visualizzazione dei log include tutti i log. Ad esempio, per filtrare in base ai log delle istanze VM di Compute Engine, inserisci "resource.type=gce_instance".
    • DESCRIPTION: una descrizione della visualizzazione del log. Ad esempio, potresti inserire quanto segue per la descrizione "Compute logs".
    • PROJECT_ID: l'identificatore del progetto. Per creare una visualizzazione dei log in una cartella o un'organizzazione, sostituisci --project con --folder o --organization.

    Esegui il comando gcloud logging views create:

    Linux, macOS o Cloud Shell

    gcloud logging views create LOG_VIEW_ID --bucket=BUCKET_NAME \
 --location=LOCATION --log-filter=FILTER --description=DESCRIPTION \
 --project=PROJECT_ID

    Windows (PowerShell)

    gcloud logging views create LOG_VIEW_ID --bucket=BUCKET_NAME `
 --location=LOCATION --log-filter=FILTER --description=DESCRIPTION `
 --project=PROJECT_ID

    Windows (cmd.exe)

    gcloud logging views create LOG_VIEW_ID --bucket=BUCKET_NAME ^
 --location=LOCATION --log-filter=FILTER --description=DESCRIPTION ^
 --project=PROJECT_ID

    Questo comando non fornisce una risposta. Per confermare le modifiche, puoi eseguire il comando gcloud logging views list.

  2. Concedi alle entità l'accesso alla visualizzazione dei log. La sezione seguente contiene informazioni su questi passaggi.

Terraform

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base. Per ulteriori informazioni, consulta la Terraform documentazione di riferimento del provider.

Per creare una visualizzazione dei log in un progetto, in una cartella o in un'organizzazione utilizzando Terraform, procedi nel seguente modo:

  1. Utilizza la risorsa Terraform google_logging_log_view.

    Nel comando, imposta i seguenti campi:

    • name: imposta il nome completo della visualizzazione dei log. Ad esempio, per i progetti, il formato di questo campo è:

      "projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/view/LOG_VIEW_ID"

      Nell'espressione precedente, LOCATION è la posizione del bucket dei log.

    • bucket: impostato sul nome completo del bucket dei log. Ad esempio, questo campo potrebbe essere:

      "projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME"

    • filter: il filtro che descrive le voci di log incluse nella visualizzazione dei log.

    • description: una breve descrizione.

  2. Concedi alle entità l'accesso alla visualizzazione dei log. La sezione seguente contiene informazioni su questi passaggi.

Concedere l'accesso a una visualizzazione dei log

Per limitare un principale a una visualizzazione dei log specifica in un bucket dei log definito dall'utente, puoi utilizzare due approcci:

Quando crei un numero elevato di visualizzazioni dei log, ti consigliamo di controllare l'accesso utilizzando il file delle norme IAM della visualizzazione dei log.

Visualizzazione log: aggiungi associazioni di ruolo

Questa sezione descrive come utilizzare il file di criteri IAM per una visualizzazione log per controllare chi ha accesso alle voci del log in quella visualizzazione. Quando utilizzi questo approccio, aggiungi un'associazione al file di criteri della visualizzazione di log, che concede all'entità specificata l'accesso alla visualizzazione di log.

Questa sezione descrive anche come elencare l'associazione del ruolo contenuta nel file del criterio IAM per una visualizzazione dei log.

Console

Per aggiornare il file del criterio IAM di una visualizzazione dei log:

  1. Nella console Google Cloud, vai alla pagina Archiviazione dei log:

    Vai ad Archiviazione dei log

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

  2. Seleziona il progetto, la cartella o l'organizzazione in cui è archiviato il bucket di log.
  3. Nel riquadro Bucket di log, seleziona il nome del bucket di log che ospita la visualizzazione dei log.
  4. Nella pagina dei dettagli del bucket dei log, vai al riquadro Visualizzazioni log.

  5. Per la visualizzazione dei log di cui vuoi modificare il file del criterio IAM, fai clic su Azioni e poi seleziona Modifica autorizzazioni.

    Viene visualizzato il riquadro popup delle autorizzazioni, che mostra le autorizzazioni associate alla visualizzazione dei log.

  6. Nel riquadro popup delle autorizzazioni, fai clic su Aggiungi entità.

  7. Nella sezione Aggiungi entità, espandi il menu Nuove entità e poi seleziona un'entità.

  8. Nella sezione Assegna i ruoli, seleziona il ruolo Log View Accessor.

  9. Fai clic su Salva.

    Il popup delle autorizzazioni si aggiorna con le nuove autorizzazioni.

    • La sezione Accesso alla visualizzazione dei log (N) elenca le entità con concessioni a livello di progetto del ruolo Accesso alla visualizzazione dei log. Queste entità hanno accesso a tutte le visualizzazioni dei log nel progetto.

    • Le sezioni con etichette come Logs View Accessor condition:Condition-specific descriptive text (N) elencano le entità che dispongono di concessioni condizionali a livello di progetto del ruolo Logs View Accessor. Queste entità hanno accesso solo alla visualizzazione dei log specificata dalla condizione.

    • La sezione etichettata come Logs View Accessor condition:abcde (N) elenca le entità che dispongono di autorizzazioni a livello di visualizzazione dei log.

    Lo screenshot seguente mostra un riquadro popup delle autorizzazioni in cui due entità hanno concessioni di ruoli a livello di progetto, identificate dall'icona del progetto , e un'entità ha una concessione a livello di visualizzazione dei log:

    Illustrazione del popup delle autorizzazioni.

  10. Per chiudere il menu a scomparsa, fai clic su X.

gcloud

Per aggiornare il file del criterio IAM di una visualizzazione dei log:

  1. Esegui il comando gcloud logging views add-iam-policy-binding.

    Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

    • LOG_VIEW_ID: l'identificatore della visualizzazione dei log, che è limitato a 100 caratteri e può includere solo lettere, cifre, trattini bassi e trattini.
    • PRINCIPAL: un identificatore per l'entità a cui vuoi concedere il ruolo. Gli identificatori principali hanno in genere la seguente forma: PRINCIPAL-TYPE:ID. Ad esempio: user:my-user@example.com. Per un elenco completo dei formati che PRINCIPAL può avere, consulta Identificatori principali.
    • BUCKET_NAME: il nome del bucket di log.
    • LOCATION: la posizione del bucket di log.
    • PROJECT_ID: l'identificatore del progetto. Se necessario, sostituisci --project con --folder o --organization.

    Esegui il comando gcloud logging views add-iam-policy-binding:

    Linux, macOS o Cloud Shell

    gcloud logging views add-iam-policy-binding LOG_VIEW_ID \
  --member=PRINCIPAL --role='roles/logging.viewAccessor' \
  --bucket=BUCKET_NAME --location=LOCATION \
  --project=PROJECT_ID

    Windows (PowerShell)

    gcloud logging views add-iam-policy-binding LOG_VIEW_ID `
  --member=PRINCIPAL --role='roles/logging.viewAccessor' `
  --bucket=BUCKET_NAME --location=LOCATION `
  --project=PROJECT_ID

    Windows (cmd.exe)

    gcloud logging views add-iam-policy-binding LOG_VIEW_ID ^
  --member=PRINCIPAL --role='roles/logging.viewAccessor' ^
  --bucket=BUCKET_NAME --location=LOCATION ^
  --project=PROJECT_ID

    Di seguito è riportata la risposta quando viene aggiunta una singola associazione: 

    Updated IAM policy for logging view [projects/PROJECT_ID/locations/global/buckets/BUCKET_NAME/views/LOG_VIEW_ID].
bindings:
- members:
  - PRINCIPAL
  role: roles/logging.viewAccessor
etag: BwYXfSd9-Gw=
version: 1

  2. Per verificare l'aggiornamento, esegui il comando gcloud logging views get-iam-policy:

    Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

    • LOG_VIEW_ID: l'identificatore della visualizzazione dei log, che è limitato a 100 caratteri e può includere solo lettere, cifre, trattini bassi e trattini.
    • BUCKET_NAME: il nome del bucket di log.
    • LOCATION: la posizione del bucket di log.
    • PROJECT_ID: l'identificatore del progetto. Se necessario, sostituisci --project con --folder o --organization.

    Esegui il comando gcloud logging views get-iam-policy:

    Linux, macOS o Cloud Shell

    gcloud logging views get-iam-policy LOG_VIEW_ID \
 --bucket=BUCKET_NAME --location=LOCATION \
 --project=PROJECT_ID

    Windows (PowerShell)

    gcloud logging views get-iam-policy LOG_VIEW_ID `
 --bucket=BUCKET_NAME --location=LOCATION `
 --project=PROJECT_ID

    Windows (cmd.exe)

    gcloud logging views get-iam-policy LOG_VIEW_ID ^
 --bucket=BUCKET_NAME --location=LOCATION ^
 --project=PROJECT_ID

    Quando una visualizzazione di log non contiene associazioni, la risposta contiene solo un campo etag. Di seguito è illustrata la risposta quando una visualizzazione dei log contiene una singola associazione: 

    bindings:
- members:
  - PRINCIPAL
  role: roles/logging.viewAccessor
etag: BwYXfSd9-Gw=
version: 1

Terraform

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base. Per ulteriori informazioni, consulta la Terraform documentazione di riferimento del provider.

Per eseguire il provisioning delle associazioni IAM per una visualizzazione di log utilizzando Terraform, sono disponibili diverse risorse:

  • google_logging_log_view_iam_policy
  • google_logging_log_view_iam_binding
  • google_logging_log_view_iam_member

Per ulteriori informazioni, consulta Criteri IAM per LogView di Cloud Logging.

Per elencare le associazioni IAM per le visualizzazioni dei log utilizzando Terraform, utilizza l'origine dati google_logging_log_view_iam_policy.

Progetto Google Cloud: aggiungi associazioni di ruoli

Questa sezione descrive come aggiungere un'associazione di ruolo a un progetto Google Cloud e come elencare le associazioni associate a un progetto. Quando utilizzi questo approccio, per limitare un'entità ad avere accesso alle voci di log archiviate in una visualizzazione log specifica, devi aggiungere una condizione IAM alla concessione.

Console

Per aggiungere un'associazione di ruolo al file dei criteri IAM di un progetto Google Cloud, nel progetto in cui hai creato il bucket di log, procedi nel seguente modo:

  1. Nella console Google Cloud, vai alla pagina IAM:

    Vai a IAM

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo IAM e amministrazione.

    La pagina IAM elenca tutti i principali, i relativi ruoli IAM e eventuali condizioni associate a questi ruoli che vengono applicati a livello di progetto. Questa pagina non mostra le associazioni di ruoli allegate al file delle norme di una visualizzazione dei log.

  2. Fai clic su Concedi accesso.

  3. Nel campo Nuove entità, aggiungi l'account email dell'utente.

  4. Nel menu a discesa Seleziona un ruolo, seleziona Accesso alla visualizzazione dei log.

    Questo ruolo fornisce agli utenti l'accesso in lettura a tutte le visualizzazioni. Per limitare l'accesso degli utenti a una visualizzazione specifica, aggiungi una condizione in base al nome della risorsa.

    1. Fai clic su Aggiungi condizione IAM.

    2. Inserisci un Titolo e una Descrizione per la condizione.

    3. Nel menu a discesa Tipo di condizione, seleziona Risorsa > Nome.

    4. Nel menu a discesa Operatore, seleziona è.

    5. Nel campo Valore, inserisci l'ID della visualizzazione dei log, incluso il percorso completo della visualizzazione.

      Ad esempio:

      projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/LOG_VIEW_ID

    6. Fai clic su Salva per aggiungere la condizione.

  5. Fai clic su Salva per impostare le autorizzazioni.

gcloud

Per aggiungere un'associazione di ruolo al file del criterio IAM di un progetto Google Cloud, completa i seguenti passaggi:

  1. Crea un file JSON o YAML con la condizione.

    Ad esempio, potresti creare un file denominato condition.yaml con i seguenti contenuti:

    expression: "resource.name == \"projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/LOG_VIEW_ID\""
title: "My title"
description: "My description"

  2. (Facoltativo) Per verificare che il file JSON o YAML sia formattato correttamente, esegui il seguente comando:

    gcloud alpha iam policies lint-condition --condition-from-file=condition.yaml

  3. Aggiorna il criterio IAM nel progetto Google Cloud chiamando il metodo gcloud projects add-iam-policy-binding.

    Prima di utilizzare il seguente comando, effettua le seguenti sostituzioni:

    • PROJECT_ID: l'identificatore del progetto.
    • PRINCIPAL: un identificatore per l'entità a cui vuoi concedere il ruolo. Gli identificatori principali hanno in genere la seguente forma: PRINCIPAL-TYPE:ID. Ad esempio: user:my-user@example.com. Per un elenco completo dei formati che PRINCIPAL può avere, consulta Identificatori principali.

    Esegui il comando gcloud projects add-iam-policy-binding:

    gcloud projects add-iam-policy-binding PROJECT_ID --member=PRINCIPAL --role='roles/logging.viewAccessor' --condition-from-file=condition.yaml

    La risposta al comando precedente include tutte le associazioni di ruoli.

    - condition:
    description: My description
    expression: resource.name == "projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/LOG_VIEW_ID"
    title: My title
  members:
  - PRINCIPAL
  role: roles/logging.viewAccessor

  4. (Facoltativo) Per elencare le associazioni di ruoli in un progetto Google Cloud, utilizza il comando gcloud projects get-iam-policy:

    gcloud projects get-iam-policy PROJECT_ID

    Prima di utilizzare il seguente comando, effettua le seguenti sostituzioni:

    • PROJECT_ID: l'identificatore del progetto.

    La risposta al comando precedente include tutte le associazioni di ruoli.

    - condition:
    description: My description
    expression: resource.name == "projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/LOG_VIEW_ID"
    title: My title
  members:
  - PRINCIPAL
  role: roles/logging.viewAccessor

Terraform

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base. Per ulteriori informazioni, consulta la Terraform documentazione di riferimento del provider.

Per eseguire il provisioning delle associazioni IAM per i progetti utilizzando Terraform, sono disponibili diverse risorse:

  • google_project_iam_policy
  • google_project_iam_binding
  • google_project_iam_member

Per ulteriori informazioni, consulta Norme IAM per i progetti.

Per elencare le associazioni IAM per i progetti utilizzando Terraform, utilizza l'origine dati google_project_iam_policy.

Elenca tutte le associazioni di ruoli per una visualizzazione dei log

La pagina IAM della console Google Cloud elenca le associazioni di ruoli a livello di progetto. Questa pagina non elenca le associazioni di ruoli associate alle risorse, come le visualizzazioni dei log. Questa sezione descrive come visualizzare tutte le associazioni di ruoli per una visualizzazione dei log specifica.

Per elencare le associazioni IAM associate a una visualizzazione dei log, completa i seguenti passaggi.

  1. Nella console Google Cloud, vai alla pagina Archiviazione dei log:

    Vai ad Archiviazione dei log

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

  2. Seleziona il progetto, la cartella o l'organizzazione in cui è archiviato il bucket di log.
  3. Nel riquadro Bucket di log, seleziona il nome del bucket di log che ospita la visualizzazione dei log.
  4. Nella pagina dei dettagli del bucket dei log, vai al riquadro Visualizzazioni log.

  5. Per la visualizzazione dei log di cui vuoi visualizzare le associazioni di ruolo, fai clic su Azioni e poi seleziona Modifica autorizzazioni.

    Il riquadro popup delle autorizzazioni mostra tutte le autorizzazioni associate alla visualizzazione dei log:

    • La sezione Accesso alla visualizzazione dei log (N) elenca le entità con concessioni a livello di progetto del ruolo Accesso alla visualizzazione dei log. Queste entità hanno accesso a tutte le visualizzazioni dei log nel progetto.

    • Le sezioni con etichette come Logs View Accessor condition:Condition-specific descriptive text (N) elencano le entità che dispongono di concessioni condizionali a livello di progetto del ruolo Logs View Accessor. Queste entità hanno accesso solo alla visualizzazione dei log specificata dalla condizione.

    • La sezione etichettata come Logs View Accessor condition:abcde (N) elenca le entità che dispongono di autorizzazioni a livello di visualizzazione dei log.

    Lo screenshot seguente mostra un riquadro popup delle autorizzazioni in cui due entità hanno concessioni di ruoli a livello di progetto, identificate dall'icona del progetto , e un'entità ha una concessione a livello di visualizzazione dei log:

    Illustrazione del popup delle autorizzazioni.

  6. Per chiudere il menu a scomparsa, fai clic su X.

Elenca le visualizzazioni dei log in un bucket di log

Console

  1. Nella console Google Cloud, vai alla pagina Archiviazione dei log:

    Vai ad Archiviazione dei log

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

  2. Seleziona il progetto, la cartella o l'organizzazione in cui è archiviato il bucket di log.

  3. Nel riquadro Bucket di log, seleziona il nome del bucket di log che ospita la visualizzazione dei log.

    Viene visualizzata la pagina dei dettagli del bucket di log. Il riquadro Visualizzazioni di log elenca le visualizzazioni di log nel bucket di log.

gcloud

Per elencare le visualizzazioni dei log create per un bucket dei log, utilizza il comando gcloud logging views list.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • BUCKET_NAME: il nome del bucket di log.
  • LOCATION: la posizione del bucket di log.
  • PROJECT_ID: l'identificatore del progetto. Se necessario, sostituisci --project con --folder o --organization.

Esegui il comando gcloud logging views list:

Linux, macOS o Cloud Shell

gcloud logging views list \
 --bucket=BUCKET_NAME --location=LOCATION \
 --project=PROJECT_ID

Windows (PowerShell)

gcloud logging views list `
 --bucket=BUCKET_NAME --location=LOCATION `
 --project=PROJECT_ID

Windows (cmd.exe)

gcloud logging views list ^
 --bucket=BUCKET_NAME --location=LOCATION ^
 --project=PROJECT_ID

I dati di risposta sono un elenco di visualizzazioni di log. Per ogni visualizzazione dei log, il filtro viene mostrato insieme alle date di creazione e dell'ultimo aggiornamento. Quando le date di creazione e aggiornamento sono vuote, la visualizzazione dei log è stata creata al momento della creazione del progetto Google Cloud. Il seguente esempio di output mostra che esistono due ID visualizzazione, _AllLogs e compute, nel bucket di log su cui è stata eseguita la query: 

VIEW_ID: _AllLogs
FILTER:
CREATE_TIME:
UPDATE_TIME:

VIEW_ID: compute
FILTER: resource.type="gce_instance"
CREATE_TIME: 2024-02-20T17:41:17.405162921Z
UPDATE_TIME: 2024-02-20T17:41:17.405162921Z

Terraform

Puoi utilizzare Terraform per creare e modificare una visualizzazione dei log. Tuttavia, non puoi utilizzare Terraform per elencare le visualizzazioni dei log.

Aggiornare una visualizzazione di log

Console

  1. Nella console Google Cloud, vai alla pagina Archiviazione dei log:

    Vai ad Archiviazione dei log

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

  2. Seleziona il progetto, la cartella o l'organizzazione in cui è archiviato il bucket di log.
  3. Nel riquadro Bucket di log, seleziona il nome del bucket di log che ospita la visualizzazione dei log.
  4. Nella pagina dei dettagli del bucket dei log, vai al riquadro Visualizzazioni log.

  5. Nella visualizzazione del log di cui vuoi aggiornare i dettagli, fai clic su Altro e poi su Modifica visualizzazione.

    Puoi modificare la descrizione e il filtro per la visualizzazione dei log.

  6. Al termine, fai clic su Salva vista.

gcloud

Per aggiornare o modificare una visualizzazione dei log, utilizza il comando gcloud logging views update. Se non conosci l'ID vista, consulta Elenco delle visualizzazioni dei log.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • LOG_VIEW_ID: l'identificatore della visualizzazione dei log, che è limitato a 100 caratteri e può includere solo lettere, cifre, trattini bassi e trattini.
  • BUCKET_NAME: il nome del bucket di log.
  • LOCATION: la posizione del bucket di log.
  • FILTER: un filtro che definisce la visualizzazione dei log. Se è vuota, la visualizzazione dei log include tutti i log. Ad esempio, per filtrare in base ai log delle istanze VM di Compute Engine, inserisci "resource.type=gce_instance".
  • DESCRIPTION: una descrizione della visualizzazione del log. Ad esempio, potresti inserire quanto segue per la descrizione "New description for the log view".
  • PROJECT_ID: l'identificatore del progetto. Se necessario, sostituisci --project con --folder o --organization.

Esegui il comando gcloud logging views update:

Linux, macOS o Cloud Shell

gcloud logging views update LOG_VIEW_ID \
 --bucket=BUCKET_NAME --location=LOCATION \
 --log-filter=FILTER --description=DESCRIPTION \
 --project=PROJECT_ID

Windows (PowerShell)

gcloud logging views update LOG_VIEW_ID `
 --bucket=BUCKET_NAME --location=LOCATION `
 --log-filter=FILTER --description=DESCRIPTION `
 --project=PROJECT_ID

Windows (cmd.exe)

gcloud logging views update LOG_VIEW_ID ^
 --bucket=BUCKET_NAME --location=LOCATION ^
 --log-filter=FILTER --description=DESCRIPTION ^
 --project=PROJECT_ID

Questo comando non fornisce una risposta. Per confermare le modifiche, puoi eseguire il comando gcloud logging views describe.

Terraform

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base. Per ulteriori informazioni, consulta la Terraform documentazione di riferimento del provider.

Per modificare una visualizzazione dei log in un progetto, una cartella o un'organizzazione utilizzando Terraform, utilizza la risorsa Terraform google_logging_log_view.

Eliminare una visualizzazione di log

Quando una visualizzazione dei log che hai creato non ti serve più, puoi eliminarla. Tuttavia, prima di eliminare una visualizzazione log, ti consigliamo di verificare che non sia richiamata da un'altra risorsa, ad esempio una query salvata.

Non puoi eliminare la visualizzazione dei log _Default nel bucket di log _Default.

Console

  1. Nella console Google Cloud, vai alla pagina Archiviazione dei log:

    Vai ad Archiviazione dei log

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

  2. Seleziona il progetto, la cartella o l'organizzazione in cui è archiviato il bucket di log.
  3. Nel riquadro Bucket di log, seleziona il nome del bucket di log che ospita la visualizzazione dei log.
  4. Nella pagina dei dettagli del bucket dei log, vai al riquadro Visualizzazioni log e poi seleziona la casella di controllo della visualizzazione log che vuoi eliminare.
  5. Nella barra degli strumenti del riquadro Visualizzazioni log, fai clic su Elimina visualizzazione e poi completa la finestra di dialogo.

gcloud

Per eliminare una visualizzazione dei log:

  1. Consiglio: esamina il tuo progetto Google Cloud per assicurarti che non venga fatto riferimento alla visualizzazione dei log. Valuta la possibilità di esaminare quanto segue:

    • Le query vengono eseguite dalle pagine Esplora log o Analisi dei log salvate o condivise.
    • Dashboard personalizzate.

  2. Utilizza il comando gcloud logging views delete. Se non conosci l'ID vista, consulta Elenca le visualizzazioni dei log.

    Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

    • LOG_VIEW_ID: l'identificatore della visualizzazione dei log, che è limitato a 100 caratteri e può includere solo lettere, cifre, trattini bassi e trattini.
    • BUCKET_NAME: il nome del bucket di log.
    • LOCATION: la posizione del bucket di log.
    • PROJECT_ID: l'identificatore del progetto. Se necessario, sostituisci --project con --folder o --organization.

    Esegui il comando gcloud logging views delete:

    Linux, macOS o Cloud Shell

    gcloud logging views delete LOG_VIEW_ID \
 --bucket=BUCKET_NAME --location=LOCATION \
 --project=PROJECT_ID

    Windows (PowerShell)

    gcloud logging views delete LOG_VIEW_ID `
 --bucket=BUCKET_NAME --location=LOCATION `
 --project=PROJECT_ID

    Windows (cmd.exe)

    gcloud logging views delete LOG_VIEW_ID ^
 --bucket=BUCKET_NAME --location=LOCATION ^
 --project=PROJECT_ID

    La risposta conferma l'eliminazione. Ad esempio, di seguito è riportata la risposta all'eliminazione di una visualizzazione di log denominata tester: 

    Deleted [tester].

Terraform

Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base. Per ulteriori informazioni, consulta la Terraform documentazione di riferimento del provider.

Descrivi una visualizzazione di log

Console

  1. Nella console Google Cloud, vai alla pagina Archiviazione dei log:

    Vai ad Archiviazione dei log

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

  2. Nel riquadro Bucket di log, seleziona il nome del bucket di log che ospita la visualizzazione dei log.
  3. Nella pagina dei dettagli del bucket dei log, vai al riquadro Visualizzazioni log.
  4. Nella visualizzazione del log di cui vuoi visualizzare i dettagli, fai clic su Altro e poi su Modifica visualizzazione.
  5. Per chiudere la finestra di dialogo senza salvare le modifiche, fai clic su Annulla.

gcloud

Per recuperare informazioni dettagliate su una visualizzazione dei log, utilizza il comando gcloud logging views describe. Se non conosci l'ID vista, consulta Elenco delle visualizzazioni dei log.

Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

  • LOG_VIEW_ID: l'identificatore della visualizzazione dei log, che è limitato a 100 caratteri e può includere solo lettere, cifre, trattini bassi e trattini.
  • BUCKET_NAME: il nome del bucket di log.
  • LOCATION: la posizione del bucket di log.
  • PROJECT_ID: l'identificatore del progetto. Se necessario, sostituisci --project con --folder o --organization.

Esegui il comando gcloud logging views describe:

Linux, macOS o Cloud Shell

gcloud logging views describe LOG_VIEW_ID \
 --bucket=BUCKET_NAME --location=LOCATION\
 --project=PROJECT_ID

Windows (PowerShell)

gcloud logging views describe LOG_VIEW_ID `
 --bucket=BUCKET_NAME --location=LOCATION`
 --project=PROJECT_ID

Windows (cmd.exe)

gcloud logging views describe LOG_VIEW_ID ^
 --bucket=BUCKET_NAME --location=LOCATION^
 --project=PROJECT_ID

La risposta include sempre la descrizione e il nome completo della visualizzazione dei log. Include anche il filtro, se il campo del filtro non è vuoto. Di seguito è riportata un'esempio di risposta: 

createTime: '2024-02-20T17:41:17.405162921Z'
filter: resource.type="gce_instance"
name: projects/my-project/locations/global/buckets/my-bucket/views/compute
updateTime: '2024-02-20T17:41:17.405162921Z'

Terraform

Puoi utilizzare Terraform per creare e modificare una visualizzazione dei log. Tuttavia, non puoi utilizzare Terraform per visualizzare i dettagli di una visualizzazione dei log.

Visualizzare i log associati a una visualizzazione dei log

Puoi visualizzare le voci di log in una visualizzazione dei log utilizzando Esplora log o la pagina Analisi dei log. Quando utilizzi Esplora log, devi configurare l'ambito e selezionare una visualizzazione di log. Quando utilizzi la pagina Analisi dei log, esegui una query su una visualizzazione dei log.

Per eseguire query su una visualizzazione dei log utilizzando Esplora log, segui questi passaggi:

  1. Nella console Google Cloud, vai alla pagina Esplora log:

    Vai a Esplora log

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

  2. Seleziona le risorse in cui cercare le voci di log:

    • Quando nella barra degli strumenti viene visualizzato Log del progetto, espandi il menu, seleziona Visualizzazione log e poi la visualizzazione log per cui vuoi eseguire una query.

    • Quando nella barra degli strumenti viene visualizzato un messaggio simile a 1 visualizzazione di log, espandi il menu, seleziona Visualizzazione di log e poi seleziona la visualizzazione o le visualizzazioni di log per cui vuoi eseguire una query.

    • In caso contrario, la barra degli strumenti mostra un'icona e il nome di un ambito di log, ad esempio _Predefinito. Espandi il menu, seleziona Visualizzazione log e poi seleziona la visualizzazione del log per cui vuoi eseguire una query.

Per ulteriori informazioni, consulta la documentazione di Logs Explorer.

Passaggi successivi

Per scoprire come controllare l'accesso a campi specifici in una voce di log, consulta Configurare l'accesso a livello di campo.