로그 버킷에 로그 뷰 구성

이 문서에서는 Cloud Logging 버킷에서 로그 뷰를 만들고 관리하는 방법을 설명합니다. 로그 뷰를 사용하면 로그 버킷 내 로그에 액세스할 수 있는 사용자를 더욱 세분화하여 제어할 수 있습니다.

Google Cloud 콘솔, gcloud CLI, Terraform 또는 Cloud Logging API를 사용하여 로그 보기를 구성하고 관리할 수 있습니다.

Logging 스토리지 모델에 대한 일반적인 정보는 라우팅 및 스토리지 개요를 참조하세요.

로그 뷰 정보

로그 뷰를 사용하면 로그 버킷에 저장된 로그의 하위 집합에 대해서만 사용자에게 액세스 권한을 부여할 수 있습니다. 예를 들어 중앙 프로젝트의 조직 로그를 저장하는 시나리오를 가정해 보겠습니다. 로그 버킷에 로그를 제공하는 각 프로젝트에 대해 하나의 로그 뷰를 생성할 수 있습니다. 그런 다음 각 사용자에게 로그 뷰 하나 이상에 대한 액세스 권한을 부여하여 사용자가 볼 수 있는 로그를 제한할 수 있습니다.

로그 버킷당 최대 30개의 로그 뷰를 만들 수 있습니다.

로그 뷰에 대한 액세스 제어

Cloud Logging은 IAM 정책을 사용하여 로그 뷰에 액세스할 수 있는 사용자를 제어합니다. IAM 정책은 리소스, 프로젝트, 폴더, 조직 수준에서 존재할 수 있습니다. Cloud Logging의 경우 로그 뷰마다 IAM 정책을 만들 수 있습니다. 주 구성원에게 작업이 승인되었는지 여부를 확인하기 위해 IAM은 리소스 수준에서 첫 번째 평가를 수행하여 적용 가능한 모든 정책을 평가합니다.

Google Cloud 프로젝트에 대한 roles/logging.viewAccessor 역할이 있는 주 구성원은 프로젝트의 모든 로그 버킷에 있는 뷰와 로그에 액세스할 수 있습니다.

주 구성원에게 특정 로그 뷰에 대한 액세스 권한만 부여하려면 다음 중 하나를 수행합니다.

  • 로그 뷰에 대한 IAM 정책을 만든 후 주 구성원에 로그 뷰에 대한 액세스 권한을 부여하는 IAM 바인딩을 해당 정책에 추가합니다.

    로그 뷰를 대량으로 만드는 경우에 이 방법을 사용하는 것이 좋습니다.

  • 로그 뷰가 포함된 프로젝트에 대한 roles/logging.viewAccessor IAM 역할을 주 구성원에게 부여하되 IAM 조건을 연결하여 해당 로그 뷰에 대한 권한 부여를 제한합니다. 조건을 생략하면 주 구성원에게 모든 로그 뷰에 대한 액세스 권한이 부여됩니다. Google Cloud 프로젝트의 정책 파일에는 같은 역할과 같은 주 구성원이 있지만 조건 표현식이 다른 역할 바인딩이 20개로 제한됩니다.

자세한 내용은 이 문서의 다음 섹션을 참고하세요.

자동으로 생성된 로그 뷰

Cloud Logging은 모든 로그 버킷에 대한 _AllLogs 뷰와 _Default 로그 버킷에 대한 _Default 뷰를 자동으로 만듭니다.

  • _AllLogs 뷰: 로그 버킷의 모든 로그를 볼 수 있습니다.
  • _Default 뷰: 로그 버킷의 모든 비 데이터 액세스 감사 로그를 볼 수 있습니다.

Cloud Logging에서 자동으로 만든 뷰를 수정할 수 없지만 _AllLogs 뷰를 삭제할 수는 있습니다.

로그 뷰 필터

각 로그 뷰에는 뷰에 표시되는 로그 항목을 결정하는 필터가 포함되어 있습니다. 필터에 논리적 ANDNOT 연산자를 포함할 수 있지만 논리적 OR 연산자는 포함할 수 없습니다. 필터로 다음 값을 비교할 수 있습니다.

  • source 함수를 사용하는 데이터 소스. source 함수는 조직, 폴더, Google Cloud 프로젝트 계층 구조의 특정 리소스에서 로그 항목을 반환합니다.

  • log_id 함수를 사용하는 로그 ID. log_id 함수는 logName 필드에서 지정된 LOG_ID 인수와 일치하는 로그 항목을 반환합니다.

  • resource.type=FIELD_NAME 비교를 사용하는 유효한 리소스 유형.

예를 들어 다음 필터는 myproject라는 Google Cloud 프로젝트에서 Compute Engine stdout 로그 항목을 캡처합니다.

source("projects/myproject") AND resource.type = "gce_instance" AND log_id("stdout")

필터링 문법에 대한 자세한 내용은 비교를 참조하세요.

로그 보기와 분석 보기의 차이점

로그 보기와 분석 보기는 다릅니다.

로그 버킷의 로그 뷰는 로그 버킷에서 볼 수 있는 로그 항목을 제어합니다. 로그 애널리틱스를 사용하면 LogEntry 데이터 구조에 따라 쿼리하는 데이터의 스키마가 결정됩니다.

분석 뷰에는 하나 이상의 로그 뷰에 대한 SQL 쿼리가 포함되어 있습니다. 로그 애널리틱스를 사용하면 분석 보기에 대한 쿼리를 작성할 수 있습니다. 분석 뷰의 작성자가 스키마를 결정하므로 분석 뷰의 한 가지 사용 사례는 로그 데이터를 LogEntry 형식에서 더 적합한 형식으로 변환하는 것입니다.

시작하기 전에

로그 뷰를 만들거나 업데이트하기 전에 다음 단계를 완료합니다.

  1. 아직 수행하지 않았으면 적절한 Google Cloud 프로젝트에서 커스텀 로그 뷰를 구성할 Logging 버킷을 만듭니다.

  2. 로그 뷰를 만들고 관리하는 데 필요한 권한을 얻고 로그 뷰에 대한 액세스 권한을 부여하려면 관리자에게 프로젝트에 대한 다음 IAM 역할을 부여해 달라고 요청하세요.

    역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.

    커스텀 역할이나 다른 사전 정의된 역할을 통해 필요한 권한을 얻을 수도 있습니다.

  3. Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

    Terraform

    로컬 개발 환경에서 이 페이지의 Terraform 샘플을 사용하려면 gcloud CLI를 설치 및 초기화한 다음 사용자 인증 정보로 애플리케이션 기본 사용자 인증 정보를 설정하세요.

    1. Install the Google Cloud CLI.

    2. To initialize the gcloud CLI, run the following command: 

      gcloud init

    3. If you're using a local shell, then create local authentication credentials for your user account: 

      gcloud auth application-default login

      You don't need to do this if you're using Cloud Shell.

    자세한 내용은 Google Cloud 인증 문서의 로컬 개발 환경의 ADC 설정을 참조하세요.

  4. 보기에 포함할 로그를 결정합니다. 이 정보를 사용하여 로그 뷰의 필터를 지정합니다.

  5. 로그 뷰에 액세스할 수 있는 사용자와 로그 뷰나 Google Cloud 프로젝트의 IAM 정책에 바인딩을 추가할지 여부를 결정합니다. 자세한 내용은 로그 뷰에 대한 액세스 제어를 참조하세요.

로그 뷰 만들기

로그 버킷당 최대 30개의 로그 뷰를 만들 수 있습니다.

콘솔

로그 뷰를 만들려면 다음 단계를 따르세요.

  1. Google Cloud 콘솔에서 로그 스토리지 페이지로 이동합니다.

    로그 스토리지로 이동

    검색창을 사용하여 이 페이지를 찾은 경우 부제목이 Logging인 결과를 선택합니다.

  2. 로그 버킷을 저장하는 프로젝트, 폴더 또는 조직을 선택합니다.
  3. 로그 버킷 창에서 로그 보기를 만들려는 로그 버킷의 이름을 선택합니다.
  4. 로그 버킷의 세부정보 페이지에서 로그 뷰 창으로 이동한 다음 로그 뷰 만들기를 클릭합니다.

  5. 로그 보기 정의 페이지에서 다음을 완료합니다.

    1. 로그 보기의 이름을 입력합니다. 로그 뷰가 생성된 후에는 이 이름을 변경할 수 없습니다. 이름은 100자(영문 기준)로 제한되며 문자, 숫자, 밑줄, 하이픈만 포함할 수 있습니다.
    2. 로그 뷰에 대한 설명을 입력합니다.
    3. 필터 빌드 필드에 로그 버킷의 로그 항목 중 로그 뷰에 포함할 항목을 결정하는 표현식을 입력합니다. 이 필드의 구조에 관한 자세한 내용은 이 문서의 로그 뷰 필터 섹션을 참고하세요.

  6. 선택사항: 로그 뷰 리소스에 역할 바인딩을 추가하려면 다음 단계를 따르세요.

    1. 계속을 클릭하고 권한 설정 페이지로 이동합니다.
    2. 액세스 권한 부여를 클릭합니다.
    3. 주 구성원 추가 섹션에서 새 주 구성원 메뉴를 펼친 다음 주 구성원을 선택합니다.
    4. 역할 할당 섹션에서 로그 뷰 접근자 역할을 선택합니다.
    5. 저장을 클릭합니다.

  7. 뷰 저장을 클릭합니다.

  8. 만들기 흐름의 일부로 주 구성원에게 로그 뷰에 대한 액세스 권한을 부여하지 않은 경우 다음 섹션의 단계를 완료하세요.

gcloud

로그 뷰를 만들려면 다음 단계를 따르세요.

  1. gcloud logging views create 명령어를 실행합니다.

    아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

    • LOG_VIEW_ID: 로그 뷰의 식별자로, 100자(영문 기준)로 제한되며 문자, 숫자, 밑줄, 하이픈만 포함할 수 있습니다.
    • BUCKET_NAME: 로그 버킷의 이름
    • LOCATION: 로그 버킷의 위치
    • FILTER: 로그 뷰를 정의하는 필터. 비어 있으면 로그 뷰에 모든 로그가 포함됩니다. 예를 들어 Compute Engine VM 인스턴스 로그로 필터링하려면 "resource.type=gce_instance"를 입력합니다.
    • DESCRIPTION: 로그 뷰에 대한 설명. 예를 들어 "Compute logs" 설명에 대해 다음을 입력할 수 있습니다.
    • PROJECT_ID: 프로젝트 식별자 폴더 또는 조직에서 로그 뷰를 만들려면 --project--folder 또는 --organization로 바꿉니다.

    gcloud logging views create 명령어를 실행합니다.

    Linux, macOS 또는 Cloud Shell

    gcloud logging views create LOG_VIEW_ID --bucket=BUCKET_NAME \
 --location=LOCATION --log-filter=FILTER --description=DESCRIPTION \
 --project=PROJECT_ID

    Windows(PowerShell)

    gcloud logging views create LOG_VIEW_ID --bucket=BUCKET_NAME `
 --location=LOCATION --log-filter=FILTER --description=DESCRIPTION `
 --project=PROJECT_ID

    Windows(cmd.exe)

    gcloud logging views create LOG_VIEW_ID --bucket=BUCKET_NAME ^
 --location=LOCATION --log-filter=FILTER --description=DESCRIPTION ^
 --project=PROJECT_ID

    이 명령어에서는 응답을 제공하지 않습니다. 변경사항을 확인하려면 gcloud logging views list 명령어를 실행하면 됩니다.

  2. 주 구성원에게 로그 뷰에 대한 액세스 권한을 부여합니다. 다음 섹션에는 이러한 단계에 관한 정보가 포함되어 있습니다.

Terraform

Terraform 구성을 적용하거나 삭제하는 방법은 기본 Terraform 명령어를 참조하세요. 자세한 내용은 Terraform 제공업체 참고 문서를 확인하세요.

Terraform을 사용하여 프로젝트, 폴더 또는 조직에 로그 보기를 만들려면 다음 단계를 따르세요.

  1. Terraform 리소스 google_logging_log_view를 사용합니다.

    명령어에서 다음 필드를 설정합니다.

    • name: 로그 뷰의 정규화된 이름으로 설정합니다. 예를 들어 프로젝트의 경우 이 필드 형식은 다음과 같습니다.

      "projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/view/LOG_VIEW_ID"

      이전 표현식에서 LOCATION은 로그 버킷의 위치입니다.

    • bucket: 로그 버킷의 정규화된 이름으로 설정합니다. 예를 들어 이 필드는 다음과 같을 수 있습니다.

      "projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME"

    • filter: 로그 뷰에 포함되는 로그 항목을 설명하는 필터입니다.

    • description: 간단한 설명입니다.

  2. 주 구성원에게 로그 뷰에 대한 액세스 권한을 부여합니다. 다음 섹션에는 이러한 단계에 관한 정보가 포함되어 있습니다.

로그 뷰에 대한 액세스 권한 부여

주 구성원을 사용자 정의 로그 버킷의 특정 로그 뷰로 제한하기 위해 사용할 수 있는 두 가지 접근 방법이 있습니다.

로그 뷰를 대량으로 만들 때는 로그 뷰의 IAM 정책 파일을 사용하여 액세스를 제어하는 것이 좋습니다.

로그 뷰: 역할 바인딩 추가

이 섹션에서는 로그 뷰에 대한 IAM 정책 파일을 사용하여 해당 로그 뷰의 로그 항목에 액세스할 수 있는 사용자를 제어하는 방법을 설명합니다. 이 방법을 사용하는 경우 바인딩을 로그 뷰의 정책 파일에 추가하며 해당 바인딩에서 지정된 주 구성원에게 로그 뷰에 대한 액세스 권한을 부여합니다.

이 섹션에서는 로그 뷰의 IAM 정책 파일에 포함된 역할 결합을 나열하는 방법도 설명합니다.

콘솔

로그 뷰의 IAM 정책 파일을 업데이트하려면 다음 단계를 따르세요.

  1. Google Cloud 콘솔에서 로그 스토리지 페이지로 이동합니다.

    로그 스토리지로 이동

    검색창을 사용하여 이 페이지를 찾은 경우 부제목이 Logging인 결과를 선택합니다.

  2. 로그 버킷을 저장하는 프로젝트, 폴더 또는 조직을 선택합니다.
  3. 로그 버킷 창에서 로그 뷰를 호스팅하는 로그 버킷의 이름을 선택합니다.
  4. 로그 버킷의 세부정보 페이지에서 로그 뷰 창으로 이동합니다.

  5. IAM 정책 파일을 수정하려는 로그 보기에서 작업을 클릭한 다음 권한 조정을 선택합니다.

    권한 플라이아웃이 열리고 로그 뷰와 연결된 권한이 표시됩니다.

  6. 권한 플라이아웃에서 주 구성원 추가를 클릭합니다.

  7. 주 구성원 추가 섹션에서 새 주 구성원 메뉴를 펼친 다음 주 구성원을 선택합니다.

  8. 역할 할당 섹션에서 로그 뷰 접근자 역할을 선택합니다.

  9. 저장을 클릭합니다.

    권한 플라이아웃이 새 권한으로 업데이트됩니다.

    • 로그 뷰 접근자 (N) 섹션에는 로그 뷰 접근자 역할의 프로젝트 수준 부여를 받은 주 구성원이 나열됩니다. 이러한 주 구성원은 프로젝트의 모든 로그 보기에 액세스할 수 있습니다.

    • 로그 뷰 액세스자 조건:조건별 설명 텍스트 (N)와 같이 라벨이 지정된 섹션에는 로그 뷰 액세스자 역할의 조건부 프로젝트 수준 부여를 받은 주 구성원이 나열됩니다. 이러한 주 구성원은 조건에 지정된 로그 뷰에만 액세스할 수 있습니다.

    • 로그 뷰 접근자 조건:abcde (N)과 같이 라벨이 지정된 섹션에는 로그 뷰 수준 부여를 받은 주 구성원이 나열됩니다.

    다음 스크린샷은 두 명의 주 구성원에게 프로젝트 수준 역할 부여(프로젝트 아이콘 으로 식별됨)가 있고 한 명의 주 구성원에게 로그 보기 수준 부여가 있는 권한 플라이아웃을 보여줍니다.

    권한 플라이아웃을 보여주는 그림

  10. 플라이아웃을 닫으려면 X를 클릭합니다.

gcloud

로그 뷰의 IAM 정책 파일을 업데이트하려면 다음 단계를 따르세요.

  1. gcloud logging views add-iam-policy-binding 명령어를 실행합니다.

    아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

    • LOG_VIEW_ID: 로그 뷰의 식별자로, 100자(영문 기준)로 제한되며 문자, 숫자, 밑줄, 하이픈만 포함할 수 있습니다.
    • PRINCIPAL: 역할을 부여할 주 구성원의 식별자입니다. 주 구성원 식별자는 일반적으로 PRINCIPAL-TYPE:ID 형식입니다. 예를 들면 user:my-user@example.com입니다. PRINCIPAL 형식 전체 목록은 주 구성원 식별자를 참조하세요.
    • BUCKET_NAME: 로그 버킷의 이름
    • LOCATION: 로그 버킷의 위치
    • PROJECT_ID: 프로젝트 식별자 필요한 경우 --project--folder 또는 --organization로 바꿉니다.

    gcloud logging views add-iam-policy-binding 명령어를 실행합니다.

    Linux, macOS 또는 Cloud Shell

    gcloud logging views add-iam-policy-binding LOG_VIEW_ID \
  --member=PRINCIPAL --role='roles/logging.viewAccessor' \
  --bucket=BUCKET_NAME --location=LOCATION \
  --project=PROJECT_ID

    Windows(PowerShell)

    gcloud logging views add-iam-policy-binding LOG_VIEW_ID `
  --member=PRINCIPAL --role='roles/logging.viewAccessor' `
  --bucket=BUCKET_NAME --location=LOCATION `
  --project=PROJECT_ID

    Windows(cmd.exe)

    gcloud logging views add-iam-policy-binding LOG_VIEW_ID ^
  --member=PRINCIPAL --role='roles/logging.viewAccessor' ^
  --bucket=BUCKET_NAME --location=LOCATION ^
  --project=PROJECT_ID

    다음에서는 단일 바인딩이 추가될 때의 응답을 보여줍니다. 

    Updated IAM policy for logging view [projects/PROJECT_ID/locations/global/buckets/BUCKET_NAME/views/LOG_VIEW_ID].
bindings:
- members:
  - PRINCIPAL
  role: roles/logging.viewAccessor
etag: BwYXfSd9-Gw=
version: 1

  2. 업데이트를 확인하려면 gcloud logging views get-iam-policy 명령어를 실행합니다.

    아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

    • LOG_VIEW_ID: 로그 뷰의 식별자로, 100자(영문 기준)로 제한되며 문자, 숫자, 밑줄, 하이픈만 포함할 수 있습니다.
    • BUCKET_NAME: 로그 버킷의 이름
    • LOCATION: 로그 버킷의 위치
    • PROJECT_ID: 프로젝트 식별자 필요한 경우 --project--folder 또는 --organization로 바꿉니다.

    gcloud logging views get-iam-policy 명령어를 실행합니다.

    Linux, macOS 또는 Cloud Shell

    gcloud logging views get-iam-policy LOG_VIEW_ID \
 --bucket=BUCKET_NAME --location=LOCATION \
 --project=PROJECT_ID

    Windows(PowerShell)

    gcloud logging views get-iam-policy LOG_VIEW_ID `
 --bucket=BUCKET_NAME --location=LOCATION `
 --project=PROJECT_ID

    Windows(cmd.exe)

    gcloud logging views get-iam-policy LOG_VIEW_ID ^
 --bucket=BUCKET_NAME --location=LOCATION ^
 --project=PROJECT_ID

    로그 뷰에 바인딩이 포함되어 있지 않으면 응답에 etag 필드만 포함됩니다. 다음에서 로그 뷰에 단일 바인딩이 포함된 경우의 응답을 보여줍니다. 

    bindings:
- members:
  - PRINCIPAL
  role: roles/logging.viewAccessor
etag: BwYXfSd9-Gw=
version: 1

Terraform

Terraform 구성을 적용하거나 삭제하는 방법은 기본 Terraform 명령어를 참조하세요. 자세한 내용은 Terraform 제공업체 참고 문서를 확인하세요.

Terraform을 사용하여 로그 뷰의 IAM 연결을 프로비저닝하려면 다양한 리소스를 사용하면 됩니다.

  • google_logging_log_view_iam_policy
  • google_logging_log_view_iam_binding
  • google_logging_log_view_iam_member

자세한 내용은 Cloud Logging LogView의 IAM 정책을 참조하세요.

Terraform을 사용하여 로그 뷰의 IAM 연결을 나열하려면 google_logging_log_view_iam_policy 데이터 소스를 사용합니다.

Google Cloud 프로젝트: 역할 바인딩 추가

이 섹션에서는 역할 바인딩을 Google Cloud 프로젝트에 추가하는 방법과 프로젝트에 연결된 바인딩을 나열하는 방법을 설명합니다. 이 접근 방식을 사용하는 경우 주 구성원이 특정 로그 뷰에 저장된 로그 항목에 액세스할 수 있도록 제한하려면 부여에 IAM 조건을 추가해야 합니다.

콘솔

역할 바인딩을 Google Cloud 프로젝트의 IAM 정책 파일에 추가하려면 로그 버킷을 만든 프로젝트에서 다음을 실행합니다.

  1. Google Cloud 콘솔에서 IAM 페이지로 이동합니다.

    IAM으로 이동합니다.

    검색창을 사용하여 이 페이지를 찾은 경우 부제목이 IAM 및 관리자인 결과를 선택합니다.

    IAM 페이지에는 프로젝트 수준에서 적용되는 모든 주 구성원, IAM 역할, 이러한 역할에 연결된 조건이 나열됩니다. 이 페이지에는 로그 뷰의 정책 파일에 연결된 역할 바인딩이 표시되지 않습니다.

  2. 액세스 권한 부여를 클릭합니다.

  3. 새 주 구성원 필드에 사용자의 이메일 계정을 추가합니다.

  4. 역할 선택 드롭다운 메뉴에서 로그 뷰 접근자를 선택합니다.

    이 역할은 사용자에게 모든 보기에 대한 읽기 액세스 권한을 제공합니다. 특정 보기에 대한 사용자 액세스를 제한하려면 리소스 이름을 기준으로 조건을 추가합니다.

    1. IAM 조건 추가를 클릭합니다.

    2. 조건의 제목설명을 입력합니다.

    3. 조건 유형 드롭다운 메뉴에서 리소스 > 이름을 선택합니다.

    4. 연산자 드롭다운 메뉴에서 일치를 선택합니다.

    5. 필드에 뷰의 전체 경로를 포함한 로그 뷰의 ID를 입력합니다.

      예를 들면 다음과 같습니다.

      projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/LOG_VIEW_ID

    6. 저장을 클릭하여 조건을 추가합니다.

  5. 저장을 클릭하여 권한을 설정합니다.

gcloud

역할 바인딩을 Google Cloud 프로젝트의 IAM 정책 파일에 추가하려면 다음 단계를 완료하세요.

  1. 조건에 따라 JSON 또는 yaml 파일을 만듭니다.

    예를 들어 다음 콘텐츠가 포함된 condition.yaml 파일을 만들 수 있습니다.

    expression: "resource.name == \"projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/LOG_VIEW_ID\""
title: "My title"
description: "My description"

  2. 선택사항: JSON 또는 yaml 파일의 형식이 올바른지 확인하려면 다음 명령어를 실행합니다.

    gcloud alpha iam policies lint-condition --condition-from-file=condition.yaml

  3. gcloud projects add-iam-policy-binding 메서드를 호출하여 Google Cloud 프로젝트의 IAM 정책을 업데이트합니다.

    다음 명령어를 사용하기 전에 다음을 바꿉니다.

    • PROJECT_ID: 프로젝트 식별자
    • PRINCIPAL: 역할을 부여할 주 구성원의 식별자. 주 구성원 식별자는 일반적으로 PRINCIPAL-TYPE:ID 형식입니다. 예를 들면 user:my-user@example.com입니다. PRINCIPAL 형식 전체 목록은 주 구성원 식별자를 참조하세요.

    gcloud projects add-iam-policy-binding 명령어를 실행합니다.

    gcloud projects add-iam-policy-binding PROJECT_ID --member=PRINCIPAL --role='roles/logging.viewAccessor' --condition-from-file=condition.yaml

    이전 명령어에 대한 응답에는 모든 역할 바인딩이 포함됩니다.

    - condition:
    description: My description
    expression: resource.name == "projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/LOG_VIEW_ID"
    title: My title
  members:
  - PRINCIPAL
  role: roles/logging.viewAccessor

  4. 선택사항: Google Cloud 프로젝트의 역할 바인딩을 나열하려면 gcloud projects get-iam-policy 명령어를 사용합니다.

    gcloud projects get-iam-policy PROJECT_ID

    다음 명령어를 사용하기 전에 다음을 바꿉니다.

    • PROJECT_ID: 프로젝트 식별자

    이전 명령어에 대한 응답에는 모든 역할 바인딩이 포함됩니다.

    - condition:
    description: My description
    expression: resource.name == "projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/LOG_VIEW_ID"
    title: My title
  members:
  - PRINCIPAL
  role: roles/logging.viewAccessor

Terraform

Terraform 구성을 적용하거나 삭제하는 방법은 기본 Terraform 명령어를 참조하세요. 자세한 내용은 Terraform 제공업체 참고 문서를 확인하세요.

Terraform을 사용하여 프로젝트의 IAM 연결을 프로비저닝하려면 다양한 리소스를 사용하면 됩니다.

  • google_project_iam_policy
  • google_project_iam_binding
  • google_project_iam_member

자세한 내용은 프로젝트의 IAM 정책을 참조하세요.

Terraform을 사용하여 프로젝트의 IAM 연결을 나열하려면 google_project_iam_policy 데이터 소스를 사용합니다.

로그 뷰의 모든 역할 바인딩 나열

Google Cloud 콘솔의 IAM 페이지에는 프로젝트 수준 역할 바인딩이 표시됩니다. 이 페이지에는 로그 뷰와 같은 리소스에 연결된 역할 바인딩은 표시되지 않습니다. 이 섹션에서는 특정 로그 뷰의 모든 역할 바인딩을 보는 방법을 설명합니다.

로그 뷰에 연결된 IAM 바인딩을 나열하려면 다음 단계를 완료합니다.

  1. Google Cloud 콘솔에서 로그 스토리지 페이지로 이동합니다.

    로그 스토리지로 이동

    검색창을 사용하여 이 페이지를 찾은 경우 부제목이 Logging인 결과를 선택합니다.

  2. 로그 버킷을 저장하는 프로젝트, 폴더 또는 조직을 선택합니다.
  3. 로그 버킷 창에서 로그 뷰를 호스팅하는 로그 버킷의 이름을 선택합니다.
  4. 로그 버킷의 세부정보 페이지에서 로그 뷰 창으로 이동합니다.

  5. 역할 바인딩을 보려는 로그 뷰에서 작업을 클릭한 다음 권한 조정을 선택합니다.

    권한 플라이아웃에는 로그 보기와 연결된 모든 권한이 표시됩니다.

    • 로그 뷰 접근자 (N) 섹션에는 로그 뷰 접근자 역할의 프로젝트 수준 부여를 받은 주 구성원이 나열됩니다. 이러한 주 구성원은 프로젝트의 모든 로그 보기에 액세스할 수 있습니다.

    • 로그 뷰 액세스자 조건:조건별 설명 텍스트 (N)와 같이 라벨이 지정된 섹션에는 로그 뷰 액세스자 역할의 조건부 프로젝트 수준 부여를 받은 주 구성원이 나열됩니다. 이러한 주 구성원은 조건에 지정된 로그 뷰에만 액세스할 수 있습니다.

    • 로그 뷰 접근자 조건:abcde (N)과 같이 라벨이 지정된 섹션에는 로그 뷰 수준 부여를 받은 주 구성원이 나열됩니다.

    다음 스크린샷은 두 명의 주 구성원에게 프로젝트 수준 역할 부여(프로젝트 아이콘 으로 식별됨)가 있고 한 명의 주 구성원에게 로그 보기 수준 부여가 있는 권한 플라이아웃을 보여줍니다.

    권한 플라이아웃을 보여주는 그림

  6. 플라이아웃을 닫으려면 X를 클릭합니다.

로그 버킷의 로그 뷰 나열

콘솔

  1. Google Cloud 콘솔에서 로그 스토리지 페이지로 이동합니다.

    로그 스토리지로 이동

    검색창을 사용하여 이 페이지를 찾은 경우 부제목이 Logging인 결과를 선택합니다.

  2. 로그 버킷을 저장하는 프로젝트, 폴더 또는 조직을 선택합니다.

  3. 로그 버킷 창에서 로그 뷰를 호스팅하는 로그 버킷의 이름을 선택합니다.

    로그 버킷의 세부정보 페이지가 열립니다. 로그 뷰 창에는 로그 버킷의 로그 뷰가 표시됩니다.

gcloud

로그 버킷에 생성된 로그 뷰를 나열하려면 gcloud logging views list 명령어를 사용합니다.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

  • BUCKET_NAME: 로그 버킷의 이름
  • LOCATION: 로그 버킷의 위치
  • PROJECT_ID: 프로젝트 식별자 필요한 경우 --project--folder 또는 --organization로 바꿉니다.

gcloud logging views list 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud logging views list \
 --bucket=BUCKET_NAME --location=LOCATION \
 --project=PROJECT_ID

Windows(PowerShell)

gcloud logging views list `
 --bucket=BUCKET_NAME --location=LOCATION `
 --project=PROJECT_ID

Windows(cmd.exe)

gcloud logging views list ^
 --bucket=BUCKET_NAME --location=LOCATION ^
 --project=PROJECT_ID

응답 데이터는 로그 뷰 목록입니다. 로그 뷰마다 필터 생성 날짜 및 최종 업데이트 날짜와 함께 필터가 표시됩니다. 생성 날짜와 업데이트 날짜가 비어 있으면 Google Cloud 프로젝트가 생성될 때 로그 뷰가 생성된 것입니다. 다음 예시 출력은 쿼리된 로그 버킷에 두 개의 뷰 ID(_AllLogscompute)가 있음을 보여줍니다. 

VIEW_ID: _AllLogs
FILTER:
CREATE_TIME:
UPDATE_TIME:

VIEW_ID: compute
FILTER: resource.type="gce_instance"
CREATE_TIME: 2024-02-20T17:41:17.405162921Z
UPDATE_TIME: 2024-02-20T17:41:17.405162921Z

Terraform

Terraform을 사용하여 로그 보기를 만들고 수정할 수 있습니다. 하지만 Terraform을 사용하여 로그 뷰를 나열할 수는 없습니다.

로그 뷰 업데이트

콘솔

  1. Google Cloud 콘솔에서 로그 스토리지 페이지로 이동합니다.

    로그 스토리지로 이동

    검색창을 사용하여 이 페이지를 찾은 경우 부제목이 Logging인 결과를 선택합니다.

  2. 로그 버킷을 저장하는 프로젝트, 폴더 또는 조직을 선택합니다.
  3. 로그 버킷 창에서 로그 뷰를 호스팅하는 로그 버킷의 이름을 선택합니다.
  4. 로그 버킷의 세부정보 페이지에서 로그 뷰 창으로 이동합니다.

  5. 세부정보를 업데이트할 로그 보기에서 더보기를 클릭한 다음 보기 수정을 클릭합니다.

    로그 보기의 설명과 필터를 수정할 수 있습니다.

  6. 변경이 완료되면 뷰 저장을 클릭합니다.

gcloud

로그 뷰를 업데이트하거나 수정하려면 gcloud logging views update 명령어를 사용합니다. 뷰 ID를 모르면 로그 뷰 나열을 참조하세요.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

  • LOG_VIEW_ID: 로그 뷰의 식별자로, 100자(영문 기준)로 제한되며 문자, 숫자, 밑줄, 하이픈만 포함할 수 있습니다.
  • BUCKET_NAME: 로그 버킷의 이름
  • LOCATION: 로그 버킷의 위치
  • FILTER: 로그 뷰를 정의하는 필터. 비어 있으면 로그 뷰에 모든 로그가 포함됩니다. 예를 들어 Compute Engine VM 인스턴스 로그로 필터링하려면 "resource.type=gce_instance"를 입력합니다.
  • DESCRIPTION: 로그 뷰에 대한 설명. 예를 들어 "New description for the log view" 설명에 대해 다음을 입력할 수 있습니다.
  • PROJECT_ID: 프로젝트 식별자 필요한 경우 --project--folder 또는 --organization로 바꿉니다.

gcloud logging views update 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud logging views update LOG_VIEW_ID \
 --bucket=BUCKET_NAME --location=LOCATION \
 --log-filter=FILTER --description=DESCRIPTION \
 --project=PROJECT_ID

Windows(PowerShell)

gcloud logging views update LOG_VIEW_ID `
 --bucket=BUCKET_NAME --location=LOCATION `
 --log-filter=FILTER --description=DESCRIPTION `
 --project=PROJECT_ID

Windows(cmd.exe)

gcloud logging views update LOG_VIEW_ID ^
 --bucket=BUCKET_NAME --location=LOCATION ^
 --log-filter=FILTER --description=DESCRIPTION ^
 --project=PROJECT_ID

이 명령어에서는 응답을 제공하지 않습니다. 변경사항을 확인하려면 gcloud logging views describe 명령어를 실행하면 됩니다.

Terraform

Terraform 구성을 적용하거나 삭제하는 방법은 기본 Terraform 명령어를 참조하세요. 자세한 내용은 Terraform 제공업체 참고 문서를 확인하세요.

Terraform을 사용하여 프로젝트, 폴더 또는 조직의 로그 보기를 수정하려면 Terraform 리소스 google_logging_log_view를 사용합니다.

로그 뷰 삭제

만든 로그 뷰가 더 이상 필요하지 않으면 삭제할 수 있습니다. 하지만 로그 뷰를 삭제하기 전에 저장된 쿼리와 같은 다른 리소스에서 로그 뷰를 참조하고 있지 않은지 확인하는 것이 좋습니다.

_Default 로그 버킷의 _Default 로그 뷰는 삭제할 수 없습니다.

콘솔

  1. Google Cloud 콘솔에서 로그 스토리지 페이지로 이동합니다.

    로그 스토리지로 이동

    검색창을 사용하여 이 페이지를 찾은 경우 부제목이 Logging인 결과를 선택합니다.

  2. 로그 버킷을 저장하는 프로젝트, 폴더 또는 조직을 선택합니다.
  3. 로그 버킷 창에서 로그 뷰를 호스팅하는 로그 버킷의 이름을 선택합니다.
  4. 로그 버킷의 세부정보 페이지에서 로그 뷰 창으로 이동한 후 삭제하려는 로그 뷰의 체크박스를 선택합니다.
  5. 로그 뷰 창의 툴바에서 뷰 삭제를 클릭한 후 대화상자를 완료합니다.

gcloud

로그 뷰를 삭제하려면 다음을 수행합니다.

  1. 권장: Google Cloud 프로젝트를 검토하여 로그 뷰가 참조되지 않는지 확인합니다. 다음을 살펴보세요.

    • 저장되거나 공유된 로그 탐색기 또는 로그 애널리틱스 페이지에서 실행되는 쿼리입니다.
    • 커스텀 대시보드

  2. gcloud logging views delete 명령어를 사용합니다. 뷰 ID를 모르면 로그 뷰 나열을 참조하세요.

    아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

    • LOG_VIEW_ID: 로그 뷰의 식별자로, 100자(영문 기준)로 제한되며 문자, 숫자, 밑줄, 하이픈만 포함할 수 있습니다.
    • BUCKET_NAME: 로그 버킷의 이름
    • LOCATION: 로그 버킷의 위치
    • PROJECT_ID: 프로젝트 식별자 필요한 경우 --project--folder 또는 --organization로 바꿉니다.

    gcloud logging views delete 명령어를 실행합니다.

    Linux, macOS 또는 Cloud Shell

    gcloud logging views delete LOG_VIEW_ID \
 --bucket=BUCKET_NAME --location=LOCATION \
 --project=PROJECT_ID

    Windows(PowerShell)

    gcloud logging views delete LOG_VIEW_ID `
 --bucket=BUCKET_NAME --location=LOCATION `
 --project=PROJECT_ID

    Windows(cmd.exe)

    gcloud logging views delete LOG_VIEW_ID ^
 --bucket=BUCKET_NAME --location=LOCATION ^
 --project=PROJECT_ID

    응답으로 삭제를 확인합니다. 예를 들어 다음에서는 tester 로그 뷰 삭제에 대한 응답을 보여줍니다. 

    Deleted [tester].

Terraform

Terraform 구성을 적용하거나 삭제하는 방법은 기본 Terraform 명령어를 참조하세요. 자세한 내용은 Terraform 제공업체 참고 문서를 확인하세요.

로그 뷰 설명

콘솔

  1. Google Cloud 콘솔에서 로그 스토리지 페이지로 이동합니다.

    로그 스토리지로 이동

    검색창을 사용하여 이 페이지를 찾은 경우 부제목이 Logging인 결과를 선택합니다.

  2. 로그 버킷 창에서 로그 뷰를 호스팅하는 로그 버킷의 이름을 선택합니다.
  3. 로그 버킷의 세부정보 페이지에서 로그 뷰 창으로 이동합니다.
  4. 세부정보를 보려는 로그 보기에서 더보기를 클릭한 다음 보기 수정을 클릭합니다.
  5. 변경사항을 저장하지 않고 대화상자를 닫으려면 취소를 클릭합니다.

gcloud

로그 뷰에 대한 자세한 정보를 검색하려면 gcloud logging views describe 명령어를 사용합니다. 뷰 ID를 모르면 로그 뷰 나열을 참조하세요.

아래의 명령어 데이터를 사용하기 전에 다음을 바꿉니다.

  • LOG_VIEW_ID: 로그 뷰의 식별자로, 100자(영문 기준)로 제한되며 문자, 숫자, 밑줄, 하이픈만 포함할 수 있습니다.
  • BUCKET_NAME: 로그 버킷의 이름
  • LOCATION: 로그 버킷의 위치
  • PROJECT_ID: 프로젝트 식별자 필요한 경우 --project--folder 또는 --organization로 바꿉니다.

gcloud logging views describe 명령어를 실행합니다.

Linux, macOS 또는 Cloud Shell

gcloud logging views describe LOG_VIEW_ID \
 --bucket=BUCKET_NAME --location=LOCATION\
 --project=PROJECT_ID

Windows(PowerShell)

gcloud logging views describe LOG_VIEW_ID `
 --bucket=BUCKET_NAME --location=LOCATION`
 --project=PROJECT_ID

Windows(cmd.exe)

gcloud logging views describe LOG_VIEW_ID ^
 --bucket=BUCKET_NAME --location=LOCATION^
 --project=PROJECT_ID

응답에는 항상 로그 뷰에 대한 설명과 정규화된 이름이 포함됩니다. 필터 필드가 비어 있지 않으면 필터도 포함됩니다. 다음은 샘플 응답입니다. 

createTime: '2024-02-20T17:41:17.405162921Z'
filter: resource.type="gce_instance"
name: projects/my-project/locations/global/buckets/my-bucket/views/compute
updateTime: '2024-02-20T17:41:17.405162921Z'

Terraform

Terraform을 사용하여 로그 보기를 만들고 수정할 수 있습니다. 하지만 Terraform을 사용하여 로그 뷰의 세부정보를 표시할 수는 없습니다.

로그 뷰와 연결된 로그 보기

로그 탐색기 또는 로그 애널리틱스 페이지를 사용하여 로그 보기에 로그 항목을 표시할 수 있습니다. 로그 탐색기를 사용하려면 범위를 구성하고 로그 뷰를 선택해야 합니다. 로그 애널리틱스 페이지를 사용하면 로그 뷰를 쿼리합니다.

로그 탐색기를 사용하여 로그 보기를 쿼리하려면 다음 단계를 따르세요.

  1. Google Cloud 콘솔에서 로그 탐색기 페이지로 이동합니다.

    로그 탐색기로 이동

    검색창을 사용하여 이 페이지를 찾은 경우 부제목이 Logging인 결과를 선택합니다.

  2. 로그 항목을 검색한 리소스를 선택합니다.

    • 툴바에 프로젝트 로그가 표시되면 메뉴를 펼치고 로그 뷰를 선택한 다음 쿼리할 로그 뷰를 선택합니다.

    • 툴바에 로그 뷰 1개와 같은 내용이 표시되면 메뉴를 펼치고 로그 뷰를 선택한 다음 쿼리할 로그 뷰를 선택합니다.

    • 그렇지 않으면 툴바에 아이콘과 로그 범위의 이름(예: _Default)이 표시됩니다. 메뉴를 펼치고 로그 뷰를 선택한 다음 쿼리할 로그 뷰를 선택합니다.

자세한 내용은 로그 탐색기 문서를 참조하세요.

다음 단계

로그 항목의 특정 필드에 대한 액세스를 제어하는 방법은 필드 수준 액세스 구성을 참고하기