Configurare le visualizzazioni dei log in un bucket di log

Questo documento descrive come creare e gestire le visualizzazioni dei log nei bucket Cloud Logging. Le visualizzazioni dei log offrono un controllo avanzato e granulare su chi può accedere ai log all'interno dei bucket di log.

Puoi configurare e gestire le visualizzazioni dei log utilizzando la console Google Cloud , gcloud CLI, Terraform o l'API Cloud Logging.

Per informazioni generali sul modello di archiviazione di Logging, vedi Panoramica su routing e archiviazione.

Informazioni sulle visualizzazioni log

Le visualizzazioni dei log ti consentono di concedere a un utente l'accesso solo a un sottoinsieme dei log archiviati in un bucket di log. Ad esempio, considera uno scenario in cui memorizzi i log della tua organizzazione in un progetto centrale. Potresti creare una visualizzazione log per ogni progetto che contribuisce con i log al bucket di log. Puoi quindi concedere a ogni utente l'accesso a una o più visualizzazioni di log e quindi limitare i log che gli utenti possono visualizzare.

Puoi creare un massimo di 30 visualizzazioni dei log per bucket log.

Controllare l'accesso a una visualizzazione log

Cloud Logging utilizza i criteri IAM per controllare chi ha accesso alle visualizzazioni log. I criteri IAM possono esistere a livello di risorsa, progetto, cartella e organizzazione. Per Cloud Logging, puoi creare un criterio IAM per ogni visualizzazione log. Per determinare se un'entità è autorizzata per un'azione, IAM valuta tutti i criteri applicabili, con la prima valutazione a livello di risorsa.

Le entità con il ruolo di roles/logging.viewAccessor in un progettoGoogle Cloud possono accedere alle visualizzazioni e ai log in qualsiasi bucket di log del progetto.

Per concedere a un'entità l'accesso solo a una visualizzazione dei log specifica, esegui una delle seguenti operazioni:

  • Crea un criterio IAM per la visualizzazione dei log, quindi aggiungi un'associazione IAM a questo criterio che conceda all'entità l'accesso alla visualizzazione dei log.

    Se crei un numero elevato di visualizzazioni dei log, ti consigliamo questo approccio.

  • Concedi all'entità il ruolo IAM roles/logging.viewAccessor sul progetto che contiene la visualizzazione dei log, ma associa una condizione IAM per limitare la concessione alla visualizzazione dei log specifica. Se ometti la condizione, concedi all'entità l'accesso a tutte le visualizzazioni dei log. Esiste un limite di 20 associazioni di ruoli nel file dei criteri per un progetto Google Cloud che includono lo stesso ruolo e lo stesso principal, ma espressioni di condizione diverse.

Per ulteriori informazioni, consulta le seguenti sezioni di questo documento:

Visualizzazioni log create automaticamente

Cloud Logging crea automaticamente una visualizzazione _AllLogs per ogni bucket di log e una visualizzazione _Default per il bucket di log _Default:

  • Visualizzazione _AllLogs: puoi visualizzare tutti i log nel bucket di log.
  • Visualizzazione _Default: puoi visualizzare tutti gli audit log non di accesso ai dati nel bucket di log.

Non puoi modificare le visualizzazioni create automaticamente da Cloud Logging, ma puoi eliminare la visualizzazione _AllLogs.

Filtro visualizzazione di log

Ogni visualizzazione dei log contiene un filtro che determina quali voci di log sono visibili nella visualizzazione. I filtri possono contenere operatori logici AND e NOT; tuttavia, non possono includere operatori logici OR. I filtri possono confrontare uno qualsiasi dei seguenti valori:

  • Un'origine dati che utilizza la funzione source. La funzione source restituisce le voci di log di una risorsa specifica nella gerarchia di organizzazioni, cartelle e progetti. Google Cloud

  • Un ID log che utilizza la funzione log_id. La funzione log_id restituisce le voci di log che corrispondono all'argomento LOG_ID specificato dal campo logName.

  • Un tipo di risorsa valido che utilizza il confronto resource.type= FIELD_NAME.

Ad esempio, il seguente filtro acquisisce le voci di log di Compute Engine stdout di un progetto Google Cloud denominato myproject:

source("projects/myproject") AND resource.type = "gce_instance" AND log_id("stdout")

Per informazioni dettagliate sulla sintassi di filtro, vedi Confronti.

Differenza tra le visualizzazioni dei log e le visualizzazioni di Analytics

Le visualizzazioni dei log e le visualizzazioni di Analytics sono diverse.

Una visualizzazione di log in un bucket di log controlla quali voci di log nel bucket di log puoi visualizzare. Quando utilizzi Log Analytics, la struttura dei dati LogEntry determina lo schema dei dati che interroghi.

Una vista di analisi contiene una query SQL su una o più viste dei log. Utilizzando Analisi dei log, puoi scrivere query su una visualizzazione Analytics. Poiché il creatore di una vista Analytics determina lo schema, un caso d'uso delle viste Analytics è la trasformazione dei dati di log dal formato LogEntry in un formato più adatto alle tue esigenze.

Prima di iniziare

Prima di creare o aggiornare una visualizzazione log, completa i seguenti passaggi:

  1. Se non l'hai ancora fatto, nel Google Cloud progetto appropriato, crea un bucket Logging per cui vuoi configurare una visualizzazione log personalizzata.

  2. Per ottenere le autorizzazioni necessarie per creare e gestire visualizzazioni log e per concedere l'accesso alle visualizzazioni log, chiedi all'amministratore di concederti i seguenti ruoli IAM sul progetto:

    Per saperne di più sulla concessione dei ruoli, consulta Gestisci l'accesso a progetti, cartelle e organizzazioni.

    Potresti anche riuscire a ottenere le autorizzazioni richieste tramite i ruoli personalizzati o altri ruoli predefiniti.

  3. Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

      In the Google Cloud console, activate Cloud Shell.

      Activate Cloud Shell

      At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

      Terraform

      Per utilizzare gli esempi di Terraform in questa pagina in un ambiente di sviluppo locale, installa e inizializza gcloud CLI, quindi configura le Credenziali predefinite dell'applicazione con le tue credenziali utente.

      1. Install the Google Cloud CLI.

      2. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

      3. To initialize the gcloud CLI, run the following command: 

        gcloud init

      4. If you're using a local shell, then create local authentication credentials for your user account: 

        gcloud auth application-default login

        You don't need to do this if you're using Cloud Shell.

        If an authentication error is returned, and you are using an external identity provider (IdP), confirm that you have signed in to the gcloud CLI with your federated identity.

      Per saperne di più, consulta Configura ADC per un ambiente di sviluppo locale nella documentazione sull'autenticazione Google Cloud .

    1. Determina quali log vuoi includere nella visualizzazione. Utilizza queste informazioni per specificare il filtro della visualizzazione dei log.

    2. Determina chi deve avere accesso alla visualizzazione log e se vuoi aggiungere binding al criterio IAM della visualizzazione log o al progetto. Google Cloud Per saperne di più, vedi Controllare l'accesso a una visualizzazione dei log.

      3. Creare una visualizzazione log

      Puoi creare un massimo di 30 visualizzazioni dei log per bucket log.

      Console

      Per creare una visualizzazione log:

      1. Nella console Google Cloud , vai alla pagina Archiviazione dei log:

        Vai ad Archiviazione dei log

        Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

      2. Seleziona il progetto, la cartella o l'organizzazione che contiene il bucket di log.
      3. Nel riquadro Bucket di log, seleziona il nome del bucket di log su cui vuoi creare una visualizzazione log.
      4. Nella pagina dei dettagli del bucket dei log, vai al riquadro Visualizzazioni log e poi fai clic su Crea visualizzazione log.

      5. Nella pagina Definisci visualizzazione di log, completa quanto segue:

        1. Inserisci un nome per la visualizzazione dei log. Non puoi modificare questo nome dopo la creazione della visualizzazione log. Il nome è limitato a 100 caratteri e può includere solo lettere, cifre, trattini bassi e trattini.
        2. Inserisci una descrizione per la visualizzazione dei log.
        3. Nel campo Crea filtro, inserisci un'espressione che determini quali voci di log nel bucket di log sono incluse nella visualizzazione di log. Per informazioni sulla struttura di questo campo, consulta la sezione Filtro della visualizzazione log di questo documento.

      6. (Facoltativo) Per aggiungere un'associazione di ruoli alla risorsa di visualizzazione dei log:

        1. Fai clic su Continua e vai alla pagina Imposta autorizzazioni.
        2. Fai clic su Concedi l'accesso.
        3. Nella sezione Aggiungi entità, espandi il menu Nuove entità e poi seleziona un'entità.
        4. Nella sezione Assegna i ruoli, seleziona il ruolo Log View Accessor.
        5. Fai clic su Salva.

      7. Fai clic su Salva visualizzazione.

      8. Se non hai concesso ai principal l'accesso alla visualizzazione dei log durante il flusso di creazione, completa i passaggi nella sezione seguente.

      gcloud

      Per creare una visualizzazione log:

      1. Esegui il comando gcloud logging views create.

        Prima di utilizzare i dati dei comandi riportati di seguito, apporta le seguenti sostituzioni:

        • LOG_VIEW_ID: l'identificatore della visualizzazione dei log, che è limitato a 100 caratteri e può includere solo lettere, cifre, trattini bassi e trattini.
        • BUCKET_NAME: il nome del bucket dei log.
        • LOCATION: La posizione del bucket dei log.
        • FILTER: un filtro che definisce la visualizzazione dei log. Se è vuoto, la visualizzazione di log include tutti i log. Ad esempio, per filtrare in base ai log delle istanze VM di Compute Engine, inserisci "resource.type=gce_instance".
        • DESCRIPTION: una descrizione della visualizzazione di log. Ad esempio, potresti inserire quanto segue per la descrizione "Compute logs".
        • PROJECT_ID: l'identificatore del progetto. Per creare una visualizzazione log in una cartella o un'organizzazione, sostituisci --project con --folder o --organization.

        Esegui il comando gcloud logging views create:

        Linux, macOS o Cloud Shell

        gcloud logging views create LOG_VIEW_ID --bucket=BUCKET_NAME \
 --location=LOCATION --log-filter=FILTER --description=DESCRIPTION \
 --project=PROJECT_ID

        Windows (PowerShell)

        gcloud logging views create LOG_VIEW_ID --bucket=BUCKET_NAME `
 --location=LOCATION --log-filter=FILTER --description=DESCRIPTION `
 --project=PROJECT_ID

        Windows (cmd.exe)

        gcloud logging views create LOG_VIEW_ID --bucket=BUCKET_NAME ^
 --location=LOCATION --log-filter=FILTER --description=DESCRIPTION ^
 --project=PROJECT_ID

        Questo comando non fornisce una risposta. Per confermare le modifiche, puoi eseguire il comando gcloud logging views list.

      2. Concedi alle entità l'accesso alla visualizzazione dei log. La sezione seguente contiene informazioni su questi passaggi.

      Terraform

      Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base. Per saperne di più, consulta la documentazione di riferimento del fornitore Terraform.

      Per creare una visualizzazione log in un progetto, una cartella o un'organizzazione utilizzando Terraform, segui questi passaggi:

      1. Utilizza la risorsa Terraform google_logging_log_view.

        Nel comando, imposta i seguenti campi:

        • name: imposta il nome completo della visualizzazione log. Ad esempio, per i progetti, il formato di questo campo è:

          "projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/view/LOG_VIEW_ID"

          Nell'espressione precedente, LOCATION è la posizione del bucket dei log.

        • bucket: impostato sul nome completo del bucket dei log. Ad esempio, questo campo potrebbe essere:

          "projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME"

        • filter: il filtro che descrive quali voci di log sono incluse nella visualizzazione log.

        • description: una breve descrizione.

      2. Concedi alle entità l'accesso alla visualizzazione dei log. La sezione seguente contiene informazioni su questi passaggi.

      Concedere l'accesso a una visualizzazione dei log

      Per limitare un principal a una visualizzazione dei log specifica in un bucket di log definito dall'utente, puoi utilizzare due approcci:

      Quando crei un numero elevato di visualizzazioni log, ti consigliamo di controllare l'accesso utilizzando il file delle norme IAM della visualizzazione log.

      Visualizzazione log: aggiungi associazioni di ruolo

      Questa sezione descrive come utilizzare il file dei criteri IAM per una visualizzazione log per controllare chi ha accesso alle voci di log in quella visualizzazione log. Quando utilizzi questo approccio, aggiungi un'associazione al file di criteri della visualizzazione di log, l'associazione concede all'entità specificata l'accesso alla visualizzazione di log.

      Questa sezione descrive anche come elencare l'associazione di ruoli contenuta nel file dei criteri IAM per una visualizzazione dei log.

      Console

      Per aggiornare il file dei criteri IAM di una visualizzazione log:

      1. Nella console Google Cloud , vai alla pagina Archiviazione dei log:

        Vai ad Archiviazione dei log

        Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

      2. Seleziona il progetto, la cartella o l'organizzazione che contiene il bucket di log.
      3. Nel riquadro Bucket di log, seleziona il nome del bucket di log che ospita la visualizzazione dei log.
      4. Nella pagina dei dettagli del bucket dei log, vai al riquadro Visualizzazioni log.

      5. Per la visualizzazione dei log il cui file di norme IAM vuoi modificare, fai clic su Azioni e poi seleziona Modifica autorizzazioni.

        Si apre il riquadro a comparsa delle autorizzazioni, che mostra quelle associate alla visualizzazione dei log.

      6. Nel menu a discesa delle autorizzazioni, fai clic su Aggiungi entità.

      7. Nella sezione Aggiungi entità, espandi il menu Nuove entità e seleziona un'entità.

      8. Nella sezione Assegna i ruoli, seleziona il ruolo Log View Accessor.

      9. Fai clic su Salva.

        Il riquadro delle autorizzazioni viene aggiornato con le nuove autorizzazioni.

        • La sezione etichettata Log View Accessor (N) elenca le entità con concessioni a livello di progetto del ruolo Log View Accessor. Queste entità hanno accesso a tutte le visualizzazioni dei log nel progetto.

        • Le sezioni etichettate come Condizione di accesso alla visualizzazione dei log:testo descrittivo specifico per la condizione (N) elencano le entità che hanno concessioni condizionali a livello di progetto del ruolo Accesso alla visualizzazione dei log. Queste entità hanno accesso solo alla visualizzazione dei log specificata dalla condizione.

        • La sezione etichettata come Condizione di accesso alla visualizzazione dei log:abcde (N) elenca le entità che dispongono di concessioni a livello di visualizzazione dei log.

        Lo screenshot seguente mostra un riquadro a comparsa delle autorizzazioni in cui due entità hanno concessioni di ruolo a livello di progetto, identificate dall'icona del progetto, , e un'entità ha una concessione a livello di visualizzazione log:

        Illustrazione del riquadro a comparsa delle autorizzazioni.

      10. Per chiudere il riquadro, fai clic su X.

      gcloud

      Per aggiornare il file dei criteri IAM di una visualizzazione log:

      1. Esegui il comando gcloud logging views add-iam-policy-binding.

        Prima di utilizzare i dati dei comandi riportati di seguito, apporta le seguenti sostituzioni:

        • LOG_VIEW_ID: l'identificatore della visualizzazione dei log, che è limitato a 100 caratteri e può includere solo lettere, cifre, trattini bassi e trattini.
        • PRINCIPAL: un identificatore per l'entità a cui vuoi concedere il ruolo. Gli identificatori dell'entità in genere hanno il seguente formato: PRINCIPAL-TYPE:ID. Ad esempio: user:my-user@example.com. Per un elenco completo dei formati che PRINCIPAL può avere, consulta Identificatori principali.
        • BUCKET_NAME: il nome del bucket dei log.
        • LOCATION: La posizione del bucket dei log.
        • PROJECT_ID: l'identificatore del progetto. Se necessario, sostituisci --project con --folder o --organization.

        Esegui il comando gcloud logging views add-iam-policy-binding:

        Linux, macOS o Cloud Shell

        gcloud logging views add-iam-policy-binding LOG_VIEW_ID \
  --member=PRINCIPAL --role='roles/logging.viewAccessor' \
  --bucket=BUCKET_NAME --location=LOCATION \
  --project=PROJECT_ID

        Windows (PowerShell)

        gcloud logging views add-iam-policy-binding LOG_VIEW_ID `
  --member=PRINCIPAL --role='roles/logging.viewAccessor' `
  --bucket=BUCKET_NAME --location=LOCATION `
  --project=PROJECT_ID

        Windows (cmd.exe)

        gcloud logging views add-iam-policy-binding LOG_VIEW_ID ^
  --member=PRINCIPAL --role='roles/logging.viewAccessor' ^
  --bucket=BUCKET_NAME --location=LOCATION ^
  --project=PROJECT_ID

        Di seguito è illustrata la risposta quando viene aggiunto un singolo binding: 

        Updated IAM policy for logging view [projects/PROJECT_ID/locations/global/buckets/BUCKET_NAME/views/LOG_VIEW_ID].
bindings:
- members:
  - PRINCIPAL
  role: roles/logging.viewAccessor
etag: BwYXfSd9-Gw=
version: 1

      2. Per verificare l'aggiornamento, esegui il comando gcloud logging views get-iam-policy:

        Prima di utilizzare i dati dei comandi riportati di seguito, apporta le seguenti sostituzioni:

        • LOG_VIEW_ID: l'identificatore della visualizzazione dei log, che è limitato a 100 caratteri e può includere solo lettere, cifre, trattini bassi e trattini.
        • BUCKET_NAME: il nome del bucket dei log.
        • LOCATION: La posizione del bucket dei log.
        • PROJECT_ID: l'identificatore del progetto. Se necessario, sostituisci --project con --folder o --organization.

        Esegui il comando gcloud logging views get-iam-policy:

        Linux, macOS o Cloud Shell

        gcloud logging views get-iam-policy LOG_VIEW_ID \
 --bucket=BUCKET_NAME --location=LOCATION \
 --project=PROJECT_ID

        Windows (PowerShell)

        gcloud logging views get-iam-policy LOG_VIEW_ID `
 --bucket=BUCKET_NAME --location=LOCATION `
 --project=PROJECT_ID

        Windows (cmd.exe)

        gcloud logging views get-iam-policy LOG_VIEW_ID ^
 --bucket=BUCKET_NAME --location=LOCATION ^
 --project=PROJECT_ID

        Quando una visualizzazione di log non contiene associazioni, la risposta contiene solo un campo etag. Di seguito è illustrata la risposta quando una visualizzazione dei log contiene un singolo binding: 

        bindings:
- members:
  - PRINCIPAL
  role: roles/logging.viewAccessor
etag: BwYXfSd9-Gw=
version: 1

      Terraform

      Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base. Per saperne di più, consulta la documentazione di riferimento del fornitore Terraform.

      Per eseguire il provisioning delle associazioni IAM per una visualizzazione di log utilizzando Terraform, sono disponibili diverse risorse:

      • google_logging_log_view_iam_policy
      • google_logging_log_view_iam_binding
      • google_logging_log_view_iam_member

      Per saperne di più, consulta Policy IAM per LogView di Cloud Logging.

      Per elencare le associazioni IAM per le visualizzazioni dei log utilizzando Terraform, utilizza l'origine dati google_logging_log_view_iam_policy.

      Google Cloud project: Add role bindings

      Questa sezione descrive come aggiungere un'associazione di ruoli a un progetto e come elencare le associazioni collegate a un progetto. Google Cloud Quando utilizzi questo approccio, per limitare l'accesso di un'entità alle voci di log archiviate in una visualizzazione log specifica, devi aggiungere una condizione IAM alla concessione.

      Console

      Per aggiungere un'associazione di ruolo al file dei criteri IAM di un progettoGoogle Cloud , nel progetto in cui hai creato il bucket dei log, procedi nel seguente modo:

      1. Nella console Google Cloud , vai alla pagina IAM:

        Vai a IAM

        Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo IAM e amministrazione.

        La pagina IAM elenca tutte le entità, i relativi ruoli IAM e le eventuali condizioni associate a questi ruoli, che vengono applicati a livello di progetto. Questa pagina non mostra le associazioni di ruoli allegate al file delle norme di una visualizzazione log.

      2. Fai clic su Concedi l'accesso.

      3. Nel campo Nuove entità, aggiungi l'account email dell'utente.

      4. Nel menu a discesa Seleziona un ruolo, seleziona Logs View Accessor.

        Questo ruolo fornisce agli utenti l'accesso in lettura a tutte le visualizzazioni. Per limitare l'accesso degli utenti a una visualizzazione specifica, aggiungi una condizione in base al nome della risorsa.

        1. Fai clic su Aggiungi condizione IAM.

        2. Inserisci un Titolo e una Descrizione per la condizione.

        3. Nel menu a discesa Tipo di condizione, seleziona Risorsa > Nome.

        4. Nel menu a discesa Operatore, seleziona è.

        5. Nel campo Valore, inserisci l'ID della visualizzazione log, incluso il percorso completo della visualizzazione.

          Ad esempio:

          projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/LOG_VIEW_ID

        6. Fai clic su Salva per aggiungere la condizione.

      5. Fai clic su Salva per impostare le autorizzazioni.

      gcloud

      Per aggiungere un'associazione di ruoli al file della policy IAM di un progettoGoogle Cloud , completa i seguenti passaggi:

      1. Crea un file JSON o YAML con la tua condizione.

        Ad esempio, potresti creare un file denominato condition.yaml con il seguente contenuto:

        expression: "resource.name == \"projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/LOG_VIEW_ID\""
title: "My title"
description: "My description"

      2. (Facoltativo) Per verificare che il file JSON o YAML sia formattato correttamente, esegui questo comando:

        gcloud alpha iam policies lint-condition --condition-from-file=condition.yaml

      3. Aggiorna la policy IAM del progetto Google Cloud chiamando il metodo gcloud projects add-iam-policy-binding.

        Prima di utilizzare il comando seguente, esegui le seguenti sostituzioni:

        • PROJECT_ID: l'identificatore del progetto.
        • PRINCIPAL: un identificatore per l'entità a cui vuoi concedere il ruolo. Gli identificatori dell'entità in genere hanno il seguente formato: PRINCIPAL-TYPE:ID. Ad esempio: user:my-user@example.com. Per un elenco completo dei formati che PRINCIPAL può avere, consulta Identificatori principali.

        Esegui il comando gcloud projects add-iam-policy-binding:

        gcloud projects add-iam-policy-binding PROJECT_ID --member=PRINCIPAL --role='roles/logging.viewAccessor' --condition-from-file=condition.yaml

        La risposta al comando precedente include tutti i binding dei ruoli.

        - condition:
    description: My description
    expression: resource.name == "projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/LOG_VIEW_ID"
    title: My title
  members:
  - PRINCIPAL
  role: roles/logging.viewAccessor

      4. (Facoltativo) Per elencare le associazioni di ruoli in un progetto Google Cloud , utilizza il comando gcloud projects get-iam-policy:

        gcloud projects get-iam-policy PROJECT_ID

        Prima di utilizzare il comando seguente, esegui le seguenti sostituzioni:

        • PROJECT_ID: l'identificatore del progetto.

        La risposta al comando precedente include tutti i binding dei ruoli.

        - condition:
    description: My description
    expression: resource.name == "projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/LOG_VIEW_ID"
    title: My title
  members:
  - PRINCIPAL
  role: roles/logging.viewAccessor

      Terraform

      Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base. Per saperne di più, consulta la documentazione di riferimento del fornitore Terraform.

      Per eseguire il provisioning delle associazioni IAM per i progetti utilizzando Terraform, sono disponibili diverse risorse:

      • google_project_iam_policy
      • google_project_iam_binding
      • google_project_iam_member

      Per maggiori informazioni, consulta la pagina Norme IAM per i progetti.

      Per elencare le associazioni IAM per i progetti utilizzando Terraform, utilizza l'origine dati google_project_iam_policy.

      Elenca tutte le associazioni di ruoli per una visualizzazione log

      La pagina IAM della console Google Cloud elenca i binding dei ruoli a livello di progetto. Questa pagina non elenca le associazioni di ruoli associate a risorse come le visualizzazioni dei log. Questa sezione descrive come visualizzare tutti i binding dei ruoli per una visualizzazione log specifica.

      Per elencare i binding IAM collegati a una visualizzazione log, completa i seguenti passaggi.

      1. Nella console Google Cloud , vai alla pagina Archiviazione dei log:

        Vai ad Archiviazione dei log

        Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

      2. Seleziona il progetto, la cartella o l'organizzazione che contiene il bucket di log.
      3. Nel riquadro Bucket di log, seleziona il nome del bucket di log che ospita la visualizzazione dei log.
      4. Nella pagina dei dettagli del bucket dei log, vai al riquadro Visualizzazioni log.

      5. Per la visualizzazione dei log di cui vuoi visualizzare le associazioni di ruoli, fai clic su Azioni e poi seleziona Modifica autorizzazioni.

        Il riquadro a comparsa delle autorizzazioni mostra tutte le autorizzazioni associate alla visualizzazione dei log:

        • La sezione etichettata Log View Accessor (N) elenca le entità con concessioni a livello di progetto del ruolo Log View Accessor. Queste entità hanno accesso a tutte le visualizzazioni dei log nel progetto.

        • Le sezioni etichettate come Condizione di accesso alla visualizzazione dei log:testo descrittivo specifico per la condizione (N) elencano le entità che hanno concessioni condizionali a livello di progetto del ruolo Accesso alla visualizzazione dei log. Queste entità hanno accesso solo alla visualizzazione dei log specificata dalla condizione.

        • La sezione etichettata come Condizione di accesso alla visualizzazione dei log:abcde (N) elenca le entità che dispongono di concessioni a livello di visualizzazione dei log.

        Lo screenshot seguente mostra un riquadro a comparsa delle autorizzazioni in cui due entità hanno concessioni di ruolo a livello di progetto, identificate dall'icona del progetto, , e un'entità ha una concessione a livello di visualizzazione log:

        Illustrazione del riquadro a comparsa delle autorizzazioni.

      6. Per chiudere il riquadro, fai clic su X.

      Elenca le visualizzazioni dei log in un bucket di log

      Console

      1. Nella console Google Cloud , vai alla pagina Archiviazione dei log:

        Vai ad Archiviazione dei log

        Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

      2. Seleziona il progetto, la cartella o l'organizzazione che contiene il bucket di log.

      3. Nel riquadro Bucket di log, seleziona il nome del bucket di log che ospita la visualizzazione dei log.

        Si apre la pagina dei dettagli del bucket di log. Il riquadro Visualizzazioni di log elenca le visualizzazioni di log nel bucket di log.

      gcloud

      Per elencare le visualizzazioni dei log create per un bucket di log, utilizza il comando gcloud logging views list.

      Prima di utilizzare i dati dei comandi riportati di seguito, apporta le seguenti sostituzioni:

      • BUCKET_NAME: il nome del bucket dei log.
      • LOCATION: La posizione del bucket dei log.
      • PROJECT_ID: l'identificatore del progetto. Se necessario, sostituisci --project con --folder o --organization.

      Esegui il comando gcloud logging views list:

      Linux, macOS o Cloud Shell

      gcloud logging views list \
 --bucket=BUCKET_NAME --location=LOCATION \
 --project=PROJECT_ID

      Windows (PowerShell)

      gcloud logging views list `
 --bucket=BUCKET_NAME --location=LOCATION `
 --project=PROJECT_ID

      Windows (cmd.exe)

      gcloud logging views list ^
 --bucket=BUCKET_NAME --location=LOCATION ^
 --project=PROJECT_ID

      I dati di risposta sono un elenco di visualizzazioni di log. Per ogni visualizzazione log, il filtro viene mostrato insieme alle date di creazione e ultimo aggiornamento. Quando le date di creazione e aggiornamento sono vuote, la visualizzazione dei log è stata creata quando è stato creato il progetto. Google Cloud Il seguente output di esempio mostra che nel bucket di log su cui è stata eseguita la query sono presenti due ID vista, _AllLogs e compute: 

      VIEW_ID: _AllLogs
FILTER:
CREATE_TIME:
UPDATE_TIME:

VIEW_ID: compute
FILTER: resource.type="gce_instance"
CREATE_TIME: 2024-02-20T17:41:17.405162921Z
UPDATE_TIME: 2024-02-20T17:41:17.405162921Z

      Terraform

      Puoi utilizzare Terraform per creare e modificare una visualizzazione log. Tuttavia, non puoi utilizzare Terraform per elencare le visualizzazioni dei log.

      Aggiorna una visualizzazione dei log

      Console

      1. Nella console Google Cloud , vai alla pagina Archiviazione dei log:

        Vai ad Archiviazione dei log

        Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

      2. Seleziona il progetto, la cartella o l'organizzazione che contiene il bucket di log.
      3. Nel riquadro Bucket di log, seleziona il nome del bucket di log che ospita la visualizzazione dei log.
      4. Nella pagina dei dettagli del bucket dei log, vai al riquadro Visualizzazioni log.

      5. Nella visualizzazione dei log di cui vuoi aggiornare i dettagli, fai clic su Altro, quindi su Modifica visualizzazione.

        Puoi modificare la descrizione e il filtro per la visualizzazione dei log.

      6. Al termine delle modifiche, fai clic su Salva visualizzazione.

      gcloud

      Per aggiornare o modificare una visualizzazione log, utilizza il comando gcloud logging views update. Se non conosci l'ID vista, consulta Elenca le visualizzazioni dei log.

      Prima di utilizzare i dati dei comandi riportati di seguito, apporta le seguenti sostituzioni:

      • LOG_VIEW_ID: l'identificatore della visualizzazione dei log, che è limitato a 100 caratteri e può includere solo lettere, cifre, trattini bassi e trattini.
      • BUCKET_NAME: il nome del bucket dei log.
      • LOCATION: La posizione del bucket dei log.
      • FILTER: un filtro che definisce la visualizzazione dei log. Se è vuoto, la visualizzazione di log include tutti i log. Ad esempio, per filtrare in base ai log delle istanze VM di Compute Engine, inserisci "resource.type=gce_instance".
      • DESCRIPTION: una descrizione della visualizzazione di log. Ad esempio, potresti inserire quanto segue per la descrizione "New description for the log view".
      • PROJECT_ID: l'identificatore del progetto. Se necessario, sostituisci --project con --folder o --organization.

      Esegui il comando gcloud logging views update:

      Linux, macOS o Cloud Shell

      gcloud logging views update LOG_VIEW_ID \
 --bucket=BUCKET_NAME --location=LOCATION \
 --log-filter=FILTER --description=DESCRIPTION \
 --project=PROJECT_ID

      Windows (PowerShell)

      gcloud logging views update LOG_VIEW_ID `
 --bucket=BUCKET_NAME --location=LOCATION `
 --log-filter=FILTER --description=DESCRIPTION `
 --project=PROJECT_ID

      Windows (cmd.exe)

      gcloud logging views update LOG_VIEW_ID ^
 --bucket=BUCKET_NAME --location=LOCATION ^
 --log-filter=FILTER --description=DESCRIPTION ^
 --project=PROJECT_ID

      Questo comando non fornisce una risposta. Per confermare le modifiche, puoi eseguire il comando gcloud logging views describe.

      Terraform

      Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base. Per saperne di più, consulta la documentazione di riferimento del fornitore Terraform.

      Per modificare una visualizzazione log in un progetto, una cartella o un'organizzazione utilizzando Terraform, utilizza la risorsa Terraform google_logging_log_view.

      Eliminare una visualizzazione di log

      Quando non hai più bisogno di una visualizzazione dei log che hai creato, puoi eliminarla. Tuttavia, prima di eliminare una visualizzazione log, ti consigliamo di verificare che non venga fatto riferimento alla visualizzazione log da un'altra risorsa, ad esempio una query salvata.

      Non puoi eliminare la visualizzazione di log _Default nel bucket di log _Default.

      Console

      1. Nella console Google Cloud , vai alla pagina Archiviazione dei log:

        Vai ad Archiviazione dei log

        Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

      2. Seleziona il progetto, la cartella o l'organizzazione che contiene il bucket di log.
      3. Nel riquadro Bucket di log, seleziona il nome del bucket di log che ospita la visualizzazione dei log.
      4. Nella pagina dei dettagli del bucket dei log, vai al riquadro Visualizzazioni log e seleziona la casella di controllo della visualizzazione log che vuoi eliminare.
      5. Nella barra degli strumenti del riquadro Visualizzazioni log, fai clic su Elimina visualizzazione e poi completa la finestra di dialogo.

      gcloud

      Per eliminare una visualizzazione log:

      1. Consigliato: esamina il tuo Google Cloud progetto per assicurarti che la visualizzazione dei log non venga utilizzata come riferimento. Valuta la possibilità di esaminare quanto segue:

        • Query eseguite dalle pagine Esplora log o Analisi dei log che sono state salvate o condivise.
        • Dashboard personalizzate.

      2. Utilizza il comando gcloud logging views delete. Se non conosci l'ID vista, consulta Elenca le visualizzazioni dei log.

        Prima di utilizzare i dati dei comandi riportati di seguito, apporta le seguenti sostituzioni:

        • LOG_VIEW_ID: l'identificatore della visualizzazione dei log, che è limitato a 100 caratteri e può includere solo lettere, cifre, trattini bassi e trattini.
        • BUCKET_NAME: il nome del bucket dei log.
        • LOCATION: La posizione del bucket dei log.
        • PROJECT_ID: l'identificatore del progetto. Se necessario, sostituisci --project con --folder o --organization.

        Esegui il comando gcloud logging views delete:

        Linux, macOS o Cloud Shell

        gcloud logging views delete LOG_VIEW_ID \
 --bucket=BUCKET_NAME --location=LOCATION \
 --project=PROJECT_ID

        Windows (PowerShell)

        gcloud logging views delete LOG_VIEW_ID `
 --bucket=BUCKET_NAME --location=LOCATION `
 --project=PROJECT_ID

        Windows (cmd.exe)

        gcloud logging views delete LOG_VIEW_ID ^
 --bucket=BUCKET_NAME --location=LOCATION ^
 --project=PROJECT_ID

        La risposta conferma l'eliminazione. Ad esempio, di seguito è riportata la risposta all'eliminazione di una visualizzazione log denominata tester: 

        Deleted [tester].

      Terraform

      Per scoprire come applicare o rimuovere una configurazione Terraform, consulta Comandi Terraform di base. Per saperne di più, consulta la documentazione di riferimento del fornitore Terraform.

      Descrivi una visualizzazione di log

      Console

      1. Nella console Google Cloud , vai alla pagina Archiviazione dei log:

        Vai ad Archiviazione dei log

        Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

      2. Nel riquadro Bucket di log, seleziona il nome del bucket di log che ospita la visualizzazione dei log.
      3. Nella pagina dei dettagli del bucket dei log, vai al riquadro Visualizzazioni log.
      4. Nella visualizzazione del log di cui vuoi visualizzare i dettagli, fai clic su Altro e poi su Modifica visualizzazione.
      5. Per chiudere la finestra di dialogo senza salvare le modifiche, fai clic su Annulla.

      gcloud

      Per recuperare informazioni dettagliate su una visualizzazione log, utilizza il comando gcloud logging views describe. Se non conosci l'ID vista, consulta Elenca le visualizzazioni dei log.

      Prima di utilizzare i dati dei comandi riportati di seguito, apporta le seguenti sostituzioni:

      • LOG_VIEW_ID: l'identificatore della visualizzazione dei log, che è limitato a 100 caratteri e può includere solo lettere, cifre, trattini bassi e trattini.
      • BUCKET_NAME: il nome del bucket dei log.
      • LOCATION: La posizione del bucket dei log.
      • PROJECT_ID: l'identificatore del progetto. Se necessario, sostituisci --project con --folder o --organization.

      Esegui il comando gcloud logging views describe:

      Linux, macOS o Cloud Shell

      gcloud logging views describe LOG_VIEW_ID \
 --bucket=BUCKET_NAME --location=LOCATION\
 --project=PROJECT_ID

      Windows (PowerShell)

      gcloud logging views describe LOG_VIEW_ID `
 --bucket=BUCKET_NAME --location=LOCATION`
 --project=PROJECT_ID

      Windows (cmd.exe)

      gcloud logging views describe LOG_VIEW_ID ^
 --bucket=BUCKET_NAME --location=LOCATION^
 --project=PROJECT_ID

      La risposta include sempre la descrizione e il nome completo della visualizzazione log. Include anche il filtro, quando il campo del filtro non è vuoto. Di seguito è riportato un esempio di risposta: 

      createTime: '2024-02-20T17:41:17.405162921Z'
filter: resource.type="gce_instance"
name: projects/my-project/locations/global/buckets/my-bucket/views/compute
updateTime: '2024-02-20T17:41:17.405162921Z'

      Terraform

      Puoi utilizzare Terraform per creare e modificare una visualizzazione log. Tuttavia, non puoi utilizzare Terraform per visualizzare i dettagli di una visualizzazione log.

      Visualizzare i log associati a una visualizzazione log

      Puoi visualizzare le voci di log in una visualizzazione dei log utilizzando Esplora log o la pagina Analisi dei log. Quando utilizzi Esplora log, devi configurare l'ambito e selezionare una visualizzazione di log. Quando utilizzi la pagina Analisi dei log, esegui una query su una visualizzazione log.

      Per eseguire query su una visualizzazione log utilizzando Esplora log:

      1. Nella Google Cloud console, vai alla pagina Esplora log:

        Vai a Esplora log

        Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

      2. Seleziona le risorse in cui cercare le voci di log:

        • Quando nella barra degli strumenti viene visualizzato Log del progetto, espandi il menu, seleziona Visualizzazione log e poi la visualizzazione log che vuoi interrogare.

        • Quando la barra degli strumenti mostra un messaggio simile a 1 visualizzazione di log, espandi il menu, seleziona Visualizzazione di log e poi seleziona la visualizzazione di log o le visualizzazioni di log per cui vuoi eseguire la query.

        • In caso contrario, la barra degli strumenti mostra un'icona e il nome di un ambito dei log, ad esempio _Default. Espandi il menu, seleziona Visualizzazione log e poi seleziona la visualizzazione log per cui vuoi eseguire la query.

      Per saperne di più, consulta la documentazione di Esplora log.

      Passaggi successivi

      Per scoprire come controllare l'accesso a campi specifici in una voce di log, consulta Configurare l'accesso a livello di campo.