הגדרת תצוגות יומן בקטגוריית יומנים

במאמר הזה מוסבר איך ליצור ולנהל תצוגות של יומנים בקטגוריות של Cloud Logging. תצוגות היומן מאפשרות לכם לשלוט בפירוט רב בגישה ליומנים בתוך קטגוריות היומנים.

אתם יכולים להגדיר ולנהל את תצוגות היומנים באמצעות Google Cloud המסוף, ה-CLI של gcloud,‏ Terraform או Cloud Logging API.

מידע כללי על מודל האחסון של Logging זמין במאמר סקירה כללית על ניתוב ואחסון.

מידע על תצוגות ביומן

תצוגות יומנים מאפשרות להעניק למשתמש גישה רק לקבוצת משנה של היומנים שמאוחסנים בקטגוריית יומנים. לדוגמה, נניח שאתם מאחסנים את היומנים של הארגון בפרויקט מרכזי. אפשר ליצור תצוגת יומן אחת לכל פרויקט שמוסיף יומנים לקטגוריה ביומן. לאחר מכן תוכלו להעניק לכל משתמש גישה לתצוגת יומן אחת או יותר, וכך להגביל את היומנים שהמשתמשים יכולים לראות.

אפשר ליצור עד 30 תצוגות של יומנים לכל קטגוריה ביומן.

שליטה בגישה לתצוגת יומן

ב-Cloud Logging נעשה שימוש במדיניות IAM כדי לקבוע למי יש גישה לתצוגות יומנים. מדיניות IAM יכולה להתקיים ברמת המשאב, הפרויקט, התיקייה והארגון. ב-Cloud Logging, אפשר ליצור מדיניות IAM לכל תצוגת יומן. כדי לקבוע אם לחשבון משתמש יש הרשאה לבצע פעולה, מערכת IAM מעריכה את כל כללי המדיניות הרלוונטיים, וההערכה הראשונה מתבצעת ברמת המשאב.

לישויות מורשות עם התפקיד roles/logging.viewAccessor בפרויקטGoogle Cloud יש גישה לתצוגות וליומנים בכל קטגוריה ביומן בפרויקט.

כדי לתת לחשבון ראשי גישה רק לתצוגת יומן ספציפית, אפשר לבצע אחת מהפעולות הבאות:

• יוצרים מדיניות IAM לתצוגת היומן, ואז מוסיפים קישור IAM למדיניות הזו שמעניק לחשבון הראשי גישה לתצוגת היומן.

  אם אתם יוצרים מספרים גדולים של תצוגות יומן, מומלץ להשתמש בגישה הזו.

• מקצים לחשבון המשתמש את תפקיד ה-IAM‏ roles/logging.viewAccessor בפרויקט שמכיל את תצוגת היומן, אבל מצרפים תנאי IAM כדי להגביל את ההקצאה לתצוגת היומן הספציפית. אם לא מציינים את התנאי, נותנים לחשבון המשתמש גישה לכל תצוגות היומן. יש מגבלה של 20 קישורי תפקידים בקובץ המדיניות של Google Cloud פרויקט שכוללים את אותו התפקיד ואותו חשבון משתמש, אבל עם ביטויי תנאי שונים.

מידע נוסף זמין בסעיפים הבאים של המסמך הזה:

• איך מעניקים גישה לתצוגת יומן
• רשימה של כל קישורי התפקידים בתצוגת יומן.

תצוגות יומן שנוצרו באופן אוטומטי

‫Cloud Logging יוצר באופן אוטומטי תצוגה מפורטת של _AllLogs לכל קטגוריה ביומן, ותצוגה מפורטת של _Default לקטגוריה ביומן _Default:

• _AllLogs הרשאת צפייה: אפשר לצפות בכל היומנים בקטגוריה ביומן.
• _Default צפייה: אפשר לצפות בכל יומני הביקורת שאינם Data Access בקטגוריית היומנים.

אי אפשר לשנות תצוגות שנוצרות באופן אוטומטי על ידי Cloud Logging, אבל אפשר למחוק את התצוגה _AllLogs.

מסנן תצוגת יומנים

כל תצוגת יומן מכילה מסנן שקובע אילו רשומות יומן יוצגו בתצוגה. המסננים יכולים להשוות בין כל אחד מהערכים הבאים:

• מקור נתונים שמשתמש בפונקציה source. הפונקציה source מחזירה רשומות ביומן ממשאב מסוים בהיררכיה של הארגונים, התיקיות והפרויקטים Google Cloud .

• מזהה יומן באמצעות הפונקציה log_id. הפונקציה log_id מחזירה רשומות ביומן שתואמות לארגומנט LOG_ID שצוין בשדה logName.

• סוג משאב תקין באמצעות ההשוואה resource.type= FIELD_NAME.

מסנן של תצוגת יומן יכול להכיל כמה הצהרות שמחוברות באמצעות אופרטורים לוגיים AND. לדוגמה, המסנן הבא כולל רק רשומות ביומן של Compute Engine stdout מפרויקט Google Cloud בשם myproject:

source("projects/myproject") AND
resource.type = "gce_instance" AND
log_id("stdout")

אפשר גם להחיל את אופרטור השלילה על מקור נתונים, על מזהה יומן או על סוג משאב. לדוגמה, המסנן הבא מחריג את רשומות היומן של Compute Engine stdout מתצוגת היומן:

source("projects/myproject") AND
NOT resource.type = "gce_instance" AND
log_id("stdout")

אפשר להחיל את אופרטור השלילה על מקור נתונים, על מזהה יומן או על סוג משאב. אי אפשר להחיל את האופרטור הזה על משפט מורכב. לדוגמה, לא ניתן להשתמש בהצהרה מהצורה NOT (A AND B). בנוסף, אי אפשר לכלול אופרטורים לוגיים OR במסננים של תצוגת היומן.

פרטים על תחביר הסינון זמינים במאמר בנושא השוואות.

מה ההבדל בין תצוגות של יומנים לבין תצוגות של נתוני Analytics

יש הבדל בין צפיות ביומן לבין תצוגות מפורטות של ניתוח נתונים.

תצוגת יומן בקטגוריית יומנים קובעת אילו רשומות ביומן בקטגוריית היומנים יוצגו לכם. כשמשתמשים ב-Log Analytics, מבנה הנתונים LogEntry קובע את הסכימה של הנתונים שמופיעים בשאילתה.

תצוגת ניתוח מכילה שאילתת SQL על תצוגת יומן אחת או יותר. באמצעות Log Analytics, אפשר לכתוב שאילתות מול תצוגת ניתוח נתונים. מכיוון שיוצר תצוגת הניתוח קובע את הסכימה, אחד מתרחישי השימוש בתצוגות ניתוח הוא המרת נתוני יומן מהפורמט LogEntry לפורמט שמתאים לכם יותר.

לפני שמתחילים

לפני שיוצרים או מעדכנים תצוגת יומן, צריך לבצע את השלבים הבאים:

1. אם עדיין לא עשיתם זאת, צרו מאגר ליומנים בפרויקט המתאים Google Cloud שבו אתם רוצים להגדיר תצוגת יומן בהתאמה אישית.

2. כדי לקבל את ההרשאות שדרושות ליצירה ולניהול של תצוגות יומן ולמתן גישה לתצוגות יומן, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בפרויקט:

   • Logs Configuration Writer (roles/logging.configWriter)
   • כדי להוסיף קישור תפקיד לפרויקט: אדמין IAM בפרויקט (roles/resourcemanager.projectIamAdmin)
   • כדי להוסיף קשירת תפקיד לתצוגת יומן: אדמין של Logging (roles/logging.admin)

   להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

   יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

3. Select the tab for how you plan to use the samples on this page:

   Console

   When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

   gcloud

   In the Google Cloud console, activate Cloud Shell.

   Activate Cloud Shell

   At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

   Terraform

   כדי להשתמש בסביבת פיתוח מקומית בדוגמאות של Terraform שבדף הזה, מתקינים ומפעילים את ה-CLI של gcloud, ואז מגדירים את Application Default Credentials באמצעות פרטי הכניסה של המשתמש.

   התקינו את ה-CLI של Google Cloud.

   אם אתם משתמשים בספק זהויות חיצוני (IdP), קודם אתם צריכים להיכנס ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

   If you're using a local shell, then create local authentication credentials for your user account:

   gcloud auth application-default login

   You don't need to do this if you're using Cloud Shell.

   If an authentication error is returned, and you are using an external identity provider (IdP), confirm that you have signed in to the gcloud CLI with your federated identity.

   למידע נוסף, ראו הגדרת ADC לסביבת פיתוח מקומית במאמרי העזרה בנושא אימות Google Cloud .

   קובעים אילו יומנים רוצים לכלול בתצוגה. משתמשים במידע הזה כדי לציין את המסנן של תצוגת היומן.

   קובעים למי צריכה להיות גישה לתצוגת היומן, ומחליטים אם רוצים להוסיף קישורים למדיניות IAM של תצוגת היומן או של Google Cloud הפרויקט. מידע נוסף זמין במאמר בנושא שליטה בגישה לתצוגת יומן.

   יצירת תצוגת יומן

   אפשר ליצור עד 30 תצוגות של יומנים לכל קטגוריה ביומן.

   המסוף

   כדי ליצור תצוגת יומן:

   1. נכנסים לדף Logs Storage במסוף Google Cloud :

      כניסה אל Logs Storage

      אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שכותרת המשנה שלה היא Logging.

   2. בוחרים את הפרויקט, התיקייה או הארגון שבהם מאוחסנת קטגוריית היומנים.
   3. בחלונית Log buckets, בוחרים את השם של קטגוריית היומנים שרוצים ליצור עבורה תצוגת יומנים.
   4. בדף הפרטים של קטגוריה ביומן, עוברים לחלונית Log views ולוחצים על Create log view.

   5. בדף Define log view, מבצעים את הפעולות הבאות:

      1. מזינים שם לתצוגת היומן. אי אפשר לשנות את השם הזה אחרי שיוצרים את תצוגת היומן. השם מוגבל ל-100 תווים ויכול לכלול רק אותיות, ספרות, קווים תחתונים ומקפים.
      2. מזינים תיאור לתצוגת היומן.
      3. בשדה Build filter, מזינים ביטוי שקובע אילו רשומות ביומן בקטגוריה ביומן ייכללו בתצוגת היומן. מידע על המבנה של השדה הזה זמין בקטע מסנן תצוגת היומן במסמך הזה.

   6. אופציונלי: כדי להוסיף קישור תפקיד למשאב של תצוגת היומן:

      1. לוחצים על המשך ועוברים לדף הגדרת הרשאות.
      2. לוחצים על person_addGrant access.
      3. בקטע Add principals, מרחיבים את התפריט New principals ובוחרים את העיקרון.
      4. בקטע Assign roles, בוחרים את התפקיד Logs View Accessor.
      5. לוחצים על Save.

   7. לוחצים על שמירת התצוגה.

   8. אם לא הענקתם גישה לישויות הראשיות לתצוגת היומן כחלק מתהליך היצירה, צריך לבצע את השלבים בקטע הבא.

   gcloud

   כדי ליצור תצוגת יומן:

   1. מריצים את הפקודה gcloud logging views create.

      לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

      • LOG_VIEW_ID: המזהה של תצוגת היומן, שמוגבל ל-100 תווים ויכול לכלול רק אותיות, ספרות, קווים תחתונים ומקפים.
      • ‫BUCKET_NAME: השם של קטגוריה ביומן.
      • ‫LOCATION: המיקום של מאגר היומנים.
      • ‫FILTER: מסנן שמגדיר את תצוגת היומן. אם לא מציינים ערך בשדה הזה, תצוגת היומן כוללת את כל היומנים. לדוגמה, כדי לסנן לפי יומנים של מכונות וירטואליות ב-Compute Engine, מזינים את המחרוזת "resource.type=gce_instance".
      • ‫DESCRIPTION: תיאור של תצוגת היומן. לדוגמה, אפשר להזין את הערך הבא לתיאור "Compute logs".
      • ‫PROJECT_ID: מזהה הפרויקט. כדי ליצור תצוגת יומן בתיקייה או בארגון, מחליפים את --project ב---folder או ב---organization.

      מריצים את הפקודה gcloud logging views create:

      ‫Linux,‏ macOS או Cloud Shell

      gcloud logging views create LOG_VIEW_ID --bucket=BUCKET_NAME \
       --location=LOCATION --log-filter=FILTER --description=DESCRIPTION \
       --project=PROJECT_ID

      ‏Windows (PowerShell)

      gcloud logging views create LOG_VIEW_ID --bucket=BUCKET_NAME `
       --location=LOCATION --log-filter=FILTER --description=DESCRIPTION `
       --project=PROJECT_ID

      Windows‏ (cmd.exe)

      gcloud logging views create LOG_VIEW_ID --bucket=BUCKET_NAME ^
       --location=LOCATION --log-filter=FILTER --description=DESCRIPTION ^
       --project=PROJECT_ID

      הפקודה הזו לא מספקת תגובה. כדי לאשר את השינויים, אפשר להריץ את הפקודה gcloud logging views list.

   2. נותנים לישויות מורשות גישה לתצוגת היומן. בקטע הבא מוסבר על השלבים האלה.

   Terraform

   כדי ללמוד איך להחיל הגדרות ב-Terraform או להסיר אותן, ראו פקודות בסיסיות ב-Terraform. למידע נוסף, ראו את מאמרי העזרה לספקים של Terraform.

   כדי ליצור תצוגת יומן בפרויקט, בתיקייה או בארגון באמצעות Terraform:

   1. משתמשים במשאב Terraform‏ google_logging_log_view.

      בפקודה, מגדירים את השדות הבאים:

      • ‫name: הגדרה של שם מלא של תצוגת היומן. לדוגמה, בפרויקטים, הפורמט של השדה הזה הוא:

        "projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/view/LOG_VIEW_ID"
        

        בביטוי הקודם, LOCATION הוא המיקום של קטגוריה ביומן.

      • ‫bucket: מגדירים את השם המלא של קטגוריה ביומן. לדוגמה, השדה הזה יכול להיות:

        "projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME"
        

      • ‫filter: המסנן שמתאר אילו רשומות ביומן נכללות בתצוגת היומן.

      • ‫description: תיאור קצר.

   2. נותנים לישויות מורשות גישה לתצוגת היומן. בקטע הבא מוסבר על השלבים האלה.

   הענקת גישה לתצוגת יומן

   כדי להגביל את הגישה של ישות מורשית לתצוגת יומן ספציפית בדלי יומנים שהוגדר על ידי המשתמש, אפשר להשתמש באחת משתי הגישות הבאות:

   • ברמת תצוגת היומן, מוסיפים קישור תפקידים.

   • ברמת הפרויקט, מוסיפים קישור תפקיד מותנה.

   כשיוצרים מספר גדול של תצוגות יומן, מומלץ לשלוט בגישה באמצעות קובץ מדיניות IAM של תצוגת היומן.

   תצוגת יומן: הוספת קישורי תפקידים

   בקטע הזה מוסבר איך להשתמש בקובץ מדיניות IAM לתצוגת יומן כדי לקבוע למי יש גישה לרשומות ביומן בתצוגת היומן הזו. כשמשתמשים בגישה הזו, מוסיפים קישור לקובץ המדיניות של תצוגת היומן. הקישור מעניק לחשבון המשתמש שצוין גישה לתצוגת היומן.

   בקטע הזה מוסבר גם איך לפרט את קישור התפקיד שמופיע בקובץ מדיניות ה-IAM של תצוגת יומן.

   המסוף

   כדי לעדכן את קובץ מדיניות ה-IAM של תצוגת יומן:

   1. נכנסים לדף Logs Storage במסוף Google Cloud :

      כניסה אל Logs Storage

      אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שכותרת המשנה שלה היא Logging.

   2. בוחרים את הפרויקט, התיקייה או הארגון שבהם מאוחסנת קטגוריית היומנים.
   3. בחלונית Log buckets, בוחרים את השם של קטגוריית היומנים שמארחת את תצוגת היומנים.
   4. בדף הפרטים של קטגוריה ביומן, עוברים לחלונית תצוגות יומנים.

   5. בתצוגת היומן, לוחצים על more_vert פעולות בשורה של קובץ מדיניות IAM שרוצים לשנות, ואז בוחרים באפשרות שינוי הרשאות.

      נפתח תפריט נשלף עם ההרשאות שמשויכות לתצוגת היומן.

   6. בתפריט הנפתח של ההרשאות, לוחצים על Add principal.

   7. בקטע Add principals, מרחיבים את התפריט New principals ובוחרים את העיקרון.

   8. בקטע Assign roles, בוחרים את התפקיד Logs View Accessor.

   9. לוחצים על Save.

      התפריט הנפתח של ההרשאות מתעדכן עם ההרשאות החדשות.

      • בקטע בעל הרשאת גישה לתצוגת יומנים (N) מפורטים חשבונות המשתמשים שיש להם הרשאה ברמת הפרויקט לתפקיד 'בעל הרשאת גישה לתצוגת יומנים'. לחשבונות המשתמשים האלה יש גישה לכל תצוגות היומן בפרויקט.

      • בקטעים עם תוויות כמו Logs View Accessor condition:Condition-specific descriptive text (N) מפורטים חשבונות המשתמשים שיש להם הרשאות מותנות ברמת הפרויקט לתפקיד Logs View Accessor. לגורמים האלה יש גישה רק לתצוגת היומן שצוינה בתנאי.

      • בקטע עם התווית Logs View Accessor condition:abcde (N) מפורטים החשבונות הראשיים שיש להם הרשאות ברמת תצוגת היומנים.

      בצילום המסך הבא מוצג תפריט נפתח של הרשאות, שבו לשתי ישויות מורשות יש הרשאות תפקיד ברמת הפרויקט, שמזוהות על ידי סמל הפרויקט, , ולישות מורשית אחת יש הרשאה ברמת הצפייה ביומן:

      

   10. כדי לסגור את התפריט הנפתח, לוחצים על X.

   gcloud

   כדי לעדכן את קובץ מדיניות ה-IAM של תצוגת יומן:

   1. מריצים את הפקודה gcloud logging views add-iam-policy-binding.

      לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

      • LOG_VIEW_ID: המזהה של תצוגת היומן, שמוגבל ל-100 תווים ויכול לכלול רק אותיות, ספרות, קווים תחתונים ומקפים.
      • ‫PRINCIPAL: מזהה של ישות מורשית שרוצים להקצות לה את התפקיד. בדרך כלל, מזהי החשבונות הראשיים מופיעים בפורמט הבא: PRINCIPAL-TYPE:ID. לדוגמה, user:my-user@example.com. רשימה מלאה של הפורמטים האפשריים של PRINCIPAL מופיעה במאמר מזהים של חשבונות משתמשים.
      • ‫BUCKET_NAME: השם של קטגוריה ביומן.
      • ‫LOCATION: המיקום של מאגר היומנים.
      • ‫PROJECT_ID: מזהה הפרויקט. במקרה הצורך, מחליפים את --project ב---folder או ב---organization.

      מריצים את הפקודה gcloud logging views add-iam-policy-binding:

      ‫Linux,‏ macOS או Cloud Shell

      gcloud logging views add-iam-policy-binding LOG_VIEW_ID \
        --member=PRINCIPAL --role='roles/logging.viewAccessor' \
        --bucket=BUCKET_NAME --location=LOCATION \
        --project=PROJECT_ID

      ‏Windows (PowerShell)

      gcloud logging views add-iam-policy-binding LOG_VIEW_ID `
        --member=PRINCIPAL --role='roles/logging.viewAccessor' `
        --bucket=BUCKET_NAME --location=LOCATION `
        --project=PROJECT_ID

      ‏Windows ‏(cmd.exe)

      gcloud logging views add-iam-policy-binding LOG_VIEW_ID ^
        --member=PRINCIPAL --role='roles/logging.viewAccessor' ^
        --bucket=BUCKET_NAME --location=LOCATION ^
        --project=PROJECT_ID

      הדוגמה הבאה ממחישה את התגובה כשמוסיפים קשירה יחידה:

      Updated IAM policy for logging view [projects/PROJECT_ID/locations/global/buckets/BUCKET_NAME/views/LOG_VIEW_ID].
      bindings:
      - members:
        - PRINCIPAL
        role: roles/logging.viewAccessor
      etag: BwYXfSd9-Gw=
      version: 1
      

   2. כדי לוודא שהעדכון בוצע, מריצים את הפקודה gcloud logging views get-iam-policy:

      לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

      • LOG_VIEW_ID: המזהה של תצוגת היומן, שמוגבל ל-100 תווים ויכול לכלול רק אותיות, ספרות, קווים תחתונים ומקפים.
      • ‫BUCKET_NAME: השם של קטגוריה ביומן.
      • ‫LOCATION: המיקום של מאגר היומנים.
      • ‫PROJECT_ID: מזהה הפרויקט. במקרה הצורך, מחליפים את --project ב---folder או ב---organization.

      מריצים את הפקודה gcloud logging views get-iam-policy:

      ‫Linux,‏ macOS או Cloud Shell

      gcloud logging views get-iam-policy LOG_VIEW_ID \
       --bucket=BUCKET_NAME --location=LOCATION \
       --project=PROJECT_ID

      ‏Windows (PowerShell)

      gcloud logging views get-iam-policy LOG_VIEW_ID `
       --bucket=BUCKET_NAME --location=LOCATION `
       --project=PROJECT_ID

      Windows‏ (cmd.exe)

      gcloud logging views get-iam-policy LOG_VIEW_ID ^
       --bucket=BUCKET_NAME --location=LOCATION ^
       --project=PROJECT_ID

      אם תצוגת היומן לא מכילה אף קשירה, התגובה תכיל רק את השדה etag. בדוגמה הבאה מוצגת התגובה כשבתצוגת היומן יש קישור יחיד:

      bindings:
      - members:
        - PRINCIPAL
        role: roles/logging.viewAccessor
      etag: BwYXfSd9-Gw=
      version: 1
      

   Terraform

   כדי ללמוד איך להחיל הגדרות ב-Terraform או להסיר אותן, ראו פקודות בסיסיות ב-Terraform. למידע נוסף, ראו את מאמרי העזרה לספקים של Terraform.

   כדי להקצות שיוכים של IAM לתצוגת יומן באמצעות Terraform, אפשר להשתמש בכמה משאבים שונים:

   • google_logging_log_view_iam_policy
   • google_logging_log_view_iam_binding
   • google_logging_log_view_iam_member

   מידע נוסף זמין במאמר מדיניות IAM עבור LogView ב-Cloud Logging.

   כדי להציג רשימה של שיוכי IAM לתצוגות של יומנים באמצעות Terraform, משתמשים במקור הנתונים google_logging_log_view_iam_policy.

   ‫Google Cloud project: הוספת קישורי תפקידים

   בקטע הזה מוסבר איך להוסיף קישור תפקיד ל Google Cloud פרויקט ואיך להציג את הקישורים שצורפו לפרויקט. כשמשתמשים בגישה הזו, כדי להגביל את הגישה של חשבון משתמש לרשומות ביומן שמאוחסנות בתצוגת יומן ספציפית, צריך להוסיף תנאי IAM למתן ההרשאה.

   המסוף

   כדי להוסיף קישור תפקיד לקובץ מדיניות IAM של פרויקטGoogle Cloud , בפרויקט שבו יצרתם את קטגוריית היומן, מבצעים את הפעולות הבאות:

   1. נכנסים לדף IAM במסוף Google Cloud :

      כניסה לדף IAM

      אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שכותרת המשנה שלה היא IAM & Admin.

      בדף IAM מפורטים כל חשבונות המשתמשים, תפקידי ה-IAM שלהם וכל התנאים שמשויכים לתפקידים האלה ברמת הפרויקט. בדף הזה לא מוצגים תפקידים שמשויכים לקובץ המדיניות של תצוגת יומן.

   2. לוחצים על person_addGrant access.

   3. בשדה New principals, מוסיפים את חשבון האימייל של המשתמש.

   4. בתפריט הנפתח Select a role, בוחרים באפשרות Logs View Accessor.

      התפקיד הזה מעניק למשתמשים גישת קריאה לכל התצוגות. כדי להגביל את הגישה של המשתמשים לתצוגה ספציפית, מוסיפים תנאי שמבוסס על שם המשאב.

      1. לוחצים על הוספת תנאי IAM.

      2. מזינים שם ותיאור לתנאי.

      3. בתפריט הנפתח Condition type בוחרים באפשרות Resource > Name.

      4. בתפריט הנפתח Operator, בוחרים באפשרות is.

      5. בשדה ערך, מזינים את המזהה של תצוגת היומן, כולל הנתיב המלא לתצוגה.

         לדוגמה:

         projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/LOG_VIEW_ID

      6. לוחצים על שמירה כדי להוסיף את התנאי.

   5. לוחצים על שמירה כדי להגדיר את ההרשאות.

   gcloud

   כדי להוסיף קישור תפקיד לקובץ מדיניות IAM של פרויקטGoogle Cloud :

   1. יוצרים קובץ JSON או YAML עם התנאי.

      לדוגמה, אפשר ליצור קובץ בשם condition.yaml עם התוכן הבא:

      expression: "resource.name == \"projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/LOG_VIEW_ID\""
      title: "My title"
      description: "My description"
      

   2. אופציונלי: כדי לוודא שקובץ ה-JSON או ה-YAML מעוצב בצורה תקינה, מריצים את הפקודה הבאה:

      gcloud alpha iam policies lint-condition --condition-from-file=condition.yaml
      

   3. מעדכנים את מדיניות ה-IAM בפרויקט Google Cloud על ידי קריאה לשיטה gcloud projects add-iam-policy-binding.

      לפני שמשתמשים בפקודה הבאה, צריך להחליף את המשתנים הבאים בערכים:

      • ‫PROJECT_ID: מזהה הפרויקט.
      • ‫PRINCIPAL: מזהה של ישות מורשית שרוצים להקצות לה את התפקיד. בדרך כלל, מזהי החשבונות הראשיים מופיעים בפורמט הבא: PRINCIPAL-TYPE:ID. לדוגמה, user:my-user@example.com. רשימה מלאה של הפורמטים האפשריים של PRINCIPAL מופיעה במאמר מזהים של חשבונות משתמשים.

      מריצים את הפקודה gcloud projects add-iam-policy-binding:

      gcloud projects add-iam-policy-binding PROJECT_ID --member=PRINCIPAL --role='roles/logging.viewAccessor' --condition-from-file=condition.yaml
      

      התשובה לפקודה הקודמת כוללת את כל הקשרים בין התפקידים.

      - condition:
          description: My description
          expression: resource.name == "projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/LOG_VIEW_ID"
          title: My title
        members:
        - PRINCIPAL
        role: roles/logging.viewAccessor
      

   4. אופציונלי: כדי להציג את הקשרים בין התפקידים בפרויקט Google Cloud , משתמשים בפקודה gcloud projects get-iam-policy:

      gcloud projects get-iam-policy PROJECT_ID
      

      לפני שמשתמשים בפקודה הבאה, צריך להחליף את המשתנים הבאים בערכים:

      • ‫PROJECT_ID: מזהה הפרויקט.

      התשובה לפקודה הקודמת כוללת את כל הקשרים בין התפקידים.

      - condition:
          description: My description
          expression: resource.name == "projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/LOG_VIEW_ID"
          title: My title
        members:
        - PRINCIPAL
        role: roles/logging.viewAccessor
      

   Terraform

   כדי ללמוד איך להחיל הגדרות ב-Terraform או להסיר אותן, ראו פקודות בסיסיות ב-Terraform. למידע נוסף, ראו את מאמרי העזרה לספקים של Terraform.

   כדי להקצות שיוכים של IAM לפרויקטים באמצעות Terraform, אפשר להשתמש בכמה משאבים שונים:

   • google_project_iam_policy
   • google_project_iam_binding
   • google_project_iam_member

   מידע נוסף זמין במאמר מדיניות IAM לפרויקטים.

   כדי להציג רשימה של שיוכים של IAM לפרויקטים באמצעות Terraform, משתמשים במקור הנתונים google_project_iam_policy.

   הצגת כל קישורי התפקידים בתצוגת יומן

   בדף IAM במסוף Google Cloud מפורטים הקישורים של התפקידים ברמת הפרויקט. בדף הזה לא מופיעים תפקידים שמשויכים למשאבים כמו תצוגות יומן. בקטע הזה מוסבר איך אפשר לראות את כל קישורי התפקידים בתצוגת יומן ספציפית.

   כדי לראות את ההרשאות של IAM שמצורפות לתצוגת יומן, מבצעים את השלבים הבאים.

   1. נכנסים לדף Logs Storage במסוף Google Cloud :

      כניסה אל Logs Storage

      אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שכותרת המשנה שלה היא Logging.

   2. בוחרים את הפרויקט, התיקייה או הארגון שבהם מאוחסנת קטגוריית היומנים.
   3. בחלונית Log buckets, בוחרים את השם של קטגוריית היומנים שמארחת את תצוגת היומנים.
   4. בדף הפרטים של קטגוריה ביומן, עוברים לחלונית תצוגות יומנים.

   5. בתצוגת היומן שבה רוצים לראות את הקשרים בין התפקידים, לוחצים על more_vert פעולות ואז בוחרים באפשרות שינוי הרשאות.

      בתפריט הנפתח של ההרשאות מוצגות כל ההרשאות שמשויכות לתצוגת היומן:

      • בקטע בעל הרשאת גישה לתצוגת יומנים (N) מופיעה רשימה של חשבונות משתמשים עם הרשאות ברמת הפרויקט לתפקיד 'בעל הרשאת גישה לתצוגת יומנים'. לחשבונות המשתמשים האלה יש גישה לכל תצוגות היומן בפרויקט.

      • בקטעים עם תוויות כמו Logs View Accessor condition:Condition-specific descriptive text (N) מפורטים חשבונות המשתמשים שיש להם הרשאות מותנות ברמת הפרויקט לתפקיד Logs View Accessor. לגורמים האלה יש גישה רק לתצוגת היומן שצוינה בתנאי.

      • בקטע עם התווית Logs View Accessor condition:abcde (N) מפורטים החשבונות הראשיים שיש להם הרשאות ברמת תצוגת היומנים.

      בצילום המסך הבא מוצג תפריט נפתח של הרשאות, שבו לשתי ישויות מורשות יש הרשאות תפקיד ברמת הפרויקט, שמזוהות על ידי סמל הפרויקט, , ולישות מורשית אחת יש הרשאה ברמת הצפייה ביומן:

      

   6. כדי לסגור את התפריט הנפתח, לוחצים על X.

   הצגת תצוגות יומנים בקטגוריית יומנים

   המסוף

   1. נכנסים לדף Logs Storage במסוף Google Cloud :

      כניסה אל Logs Storage

      אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שכותרת המשנה שלה היא Logging.

   2. בוחרים את הפרויקט, התיקייה או הארגון שבהם מאוחסנת קטגוריית היומנים.

   3. בחלונית Log buckets, בוחרים את השם של קטגוריית היומנים שמארחת את תצוגת היומנים.

      נפתח דף הפרטים של קטגוריה ביומן. בחלונית Log views (תצוגות יומן) מפורטות תצוגות היומן בקטגוריה ביומן.

   gcloud

   כדי להציג את רשימת תצוגות היומן שנוצרו עבור קטגוריית יומנים, משתמשים בפקודה gcloud logging views list.

   לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

   • ‫BUCKET_NAME: השם של קטגוריה ביומן.
   • ‫LOCATION: המיקום של מאגר היומנים.
   • ‫PROJECT_ID: מזהה הפרויקט. במקרה הצורך, מחליפים את --project ב---folder או ב---organization.

   מריצים את הפקודה gcloud logging views list:

   ‫Linux,‏ macOS או Cloud Shell

   gcloud logging views list \
    --bucket=BUCKET_NAME --location=LOCATION \
    --project=PROJECT_ID

   ‏Windows (PowerShell)

   gcloud logging views list `
    --bucket=BUCKET_NAME --location=LOCATION `
    --project=PROJECT_ID

   Windows‏ (cmd.exe)

   gcloud logging views list ^
    --bucket=BUCKET_NAME --location=LOCATION ^
    --project=PROJECT_ID

   נתוני התגובה הם רשימה של תצוגות יומן. לכל תצוגת יומן, המסנן מוצג יחד עם תאריכי היצירה והעדכון האחרון. אם התאריכים של יצירה ועדכון ריקים, סימן שהתצוגה של היומן נוצרה כש Google Cloud הפרויקט נוצר. בדוגמת הפלט הבאה אפשר לראות שיש שני מזהי תצוגות מפורטות, _AllLogs ו-compute, בקטגוריית היומנים שעליה הופעלה השאילתה:

   VIEW_ID: _AllLogs
   FILTER:
   CREATE_TIME:
   UPDATE_TIME:
   
   VIEW_ID: compute
   FILTER: resource.type="gce_instance"
   CREATE_TIME: 2024-02-20T17:41:17.405162921Z
   UPDATE_TIME: 2024-02-20T17:41:17.405162921Z
   

   Terraform

   אפשר להשתמש ב-Terraform כדי ליצור ולשנות תצוגת יומן. עם זאת, אי אפשר להשתמש ב-Terraform כדי להציג רשימה של תצוגות היומן.

   עדכון תצוגת יומן

   המסוף

   1. נכנסים לדף Logs Storage במסוף Google Cloud :

      כניסה אל Logs Storage

      אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שכותרת המשנה שלה היא Logging.

   2. בוחרים את הפרויקט, התיקייה או הארגון שבהם מאוחסנת קטגוריית היומנים.
   3. בחלונית Log buckets, בוחרים את השם של קטגוריית היומנים שמארחת את תצוגת היומנים.
   4. בדף הפרטים של קטגוריה ביומן, עוברים לחלונית תצוגות יומנים.

   5. בתצוגת היומן שאת הפרטים שלה רוצים לעדכן, לוחצים על more_vert עוד ואז על עריכת התצוגה.

      אפשר לערוך את התיאור ואת המסנן של תצוגת היומן.

   6. כשמסיימים לבצע את השינויים, לוחצים על שמירת התצוגה.

   gcloud

   כדי לעדכן או לשנות תצוגת יומן, משתמשים בפקודה gcloud logging views update. אם אתם לא יודעים את מזהה התצוגה המפורטת, תוכלו לעיין במאמר בנושא הצגת רשימה של תצוגות מפורטות של יומנים.

   לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

   • LOG_VIEW_ID: המזהה של תצוגת היומן, שמוגבל ל-100 תווים ויכול לכלול רק אותיות, ספרות, קווים תחתונים ומקפים.
   • ‫BUCKET_NAME: השם של קטגוריה ביומן.
   • ‫LOCATION: המיקום של מאגר היומנים.
   • ‫FILTER: מסנן שמגדיר את תצוגת היומן. אם לא מציינים ערך בשדה הזה, תצוגת היומן כוללת את כל היומנים. לדוגמה, כדי לסנן לפי יומנים של מכונות וירטואליות ב-Compute Engine, מזינים את המחרוזת "resource.type=gce_instance".
   • ‫DESCRIPTION: תיאור של תצוגת היומן. לדוגמה, אפשר להזין את הערך הבא לתיאור "New description for the log view".
   • ‫PROJECT_ID: מזהה הפרויקט. במקרה הצורך, מחליפים את --project ב---folder או ב---organization.

   מריצים את הפקודה gcloud logging views update:

   ‫Linux,‏ macOS או Cloud Shell

   gcloud logging views update LOG_VIEW_ID \
    --bucket=BUCKET_NAME --location=LOCATION \
    --log-filter=FILTER --description=DESCRIPTION \
    --project=PROJECT_ID

   ‏Windows (PowerShell)

   gcloud logging views update LOG_VIEW_ID `
    --bucket=BUCKET_NAME --location=LOCATION `
    --log-filter=FILTER --description=DESCRIPTION `
    --project=PROJECT_ID

   Windows‏ (cmd.exe)

   gcloud logging views update LOG_VIEW_ID ^
    --bucket=BUCKET_NAME --location=LOCATION ^
    --log-filter=FILTER --description=DESCRIPTION ^
    --project=PROJECT_ID

   הפקודה הזו לא מספקת תגובה. כדי לאשר את השינויים, אפשר להריץ את הפקודה gcloud logging views describe.

   Terraform

   כדי ללמוד איך להחיל הגדרות ב-Terraform או להסיר אותן, ראו פקודות בסיסיות ב-Terraform. למידע נוסף, ראו את מאמרי העזרה לספקים של Terraform.

   כדי לשנות תצוגת יומן בפרויקט, בתיקייה או בארגון באמצעות Terraform, משתמשים במשאב Terraform‏ google_logging_log_view.

   מחיקת תצוגת יומן

   אם אתם לא צריכים יותר תצוגת יומן שיצרתם, אתם יכולים למחוק אותה. עם זאת, לפני שמוחקים תצוגת יומן, מומלץ לוודא שאין הפניה לתצוגת היומן במשאב אחר, כמו שאילתה שנשמרה.

   אי אפשר למחוק את תצוגת היומן _Default בקטגוריה ביומן _Default.

   המסוף

   1. נכנסים לדף Logs Storage במסוף Google Cloud :

      כניסה אל Logs Storage

      אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שכותרת המשנה שלה היא Logging.

   2. בוחרים את הפרויקט, התיקייה או הארגון שבהם מאוחסנת קטגוריית היומנים.
   3. בחלונית Log buckets, בוחרים את השם של קטגוריית היומנים שמארחת את תצוגת היומנים.
   4. בדף הפרטים של קטגוריה ביומן, עוברים לחלונית תצוגות יומנים ומסמנים את תיבת הסימון של תצוגת היומן שרוצים למחוק.
   5. בסרגל הכלים של החלונית Log views, לוחצים על delete Delete view ומשלימים את תיבת הדו-שיח.

   gcloud

   כדי למחוק תצוגת יומן:

   1. מומלץ: בודקים את Google Cloud הפרויקט כדי לוודא שלא נעשה שימוש בתצוגת היומן. כדאי לבדוק את הנקודות הבאות:

      • שאילתות שמופעלות מהדפים Logs Explorer או Log Analytics שנשמרו או שותפו.
      • מרכזי בקרה מותאמים אישית.

   2. משתמשים בפקודה gcloud logging views delete. אם אתם לא יודעים את מזהה התצוגה המפורטת, תוכלו לעיין במאמר בנושא הצגת רשימה של תצוגות מפורטות של יומנים.

      לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

      • LOG_VIEW_ID: המזהה של תצוגת היומן, שמוגבל ל-100 תווים ויכול לכלול רק אותיות, ספרות, קווים תחתונים ומקפים.
      • ‫BUCKET_NAME: השם של קטגוריה ביומן.
      • ‫LOCATION: המיקום של מאגר היומנים.
      • ‫PROJECT_ID: מזהה הפרויקט. במקרה הצורך, מחליפים את --project ב---folder או ב---organization.

      מריצים את הפקודה gcloud logging views delete:

      ‫Linux,‏ macOS או Cloud Shell

      gcloud logging views delete LOG_VIEW_ID \
       --bucket=BUCKET_NAME --location=LOCATION \
       --project=PROJECT_ID

      ‏Windows (PowerShell)

      gcloud logging views delete LOG_VIEW_ID `
       --bucket=BUCKET_NAME --location=LOCATION `
       --project=PROJECT_ID

      Windows‏ (cmd.exe)

      gcloud logging views delete LOG_VIEW_ID ^
       --bucket=BUCKET_NAME --location=LOCATION ^
       --project=PROJECT_ID

      התשובה תאשר את המחיקה. לדוגמה, התגובה הבאה מראה את התגובה למחיקת תצוגת יומן בשם tester:

      Deleted [tester].
      

   Terraform

   כדי ללמוד איך להחיל הגדרות ב-Terraform או להסיר אותן, ראו פקודות בסיסיות ב-Terraform. למידע נוסף, ראו את מאמרי העזרה לספקים של Terraform.

   תיאור של תצוגת יומן

   המסוף

   1. נכנסים לדף Logs Storage במסוף Google Cloud :

      כניסה אל Logs Storage

      אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שכותרת המשנה שלה היא Logging.

   2. בחלונית Log buckets, בוחרים את השם של קטגוריית היומנים שמארחת את תצוגת היומנים.
   3. בדף הפרטים של קטגוריה ביומן, עוברים לחלונית תצוגות יומנים.
   4. בתצוגת היומן שאת הפרטים שלה רוצים לראות, לוחצים על more_vert More ואז על תצוגת עריכה.
   5. כדי לסגור את תיבת הדו-שיח בלי לשמור שינויים, לוחצים על ביטול.

   gcloud

   כדי לאחזר מידע מפורט על תצוגת יומן, משתמשים בפקודה gcloud logging views describe. אם אתם לא יודעים את מזהה התצוגה המפורטת, תוכלו לעיין במאמר בנושא הצגת רשימה של תצוגות מפורטות של יומנים.

   לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

   • LOG_VIEW_ID: המזהה של תצוגת היומן, שמוגבל ל-100 תווים ויכול לכלול רק אותיות, ספרות, קווים תחתונים ומקפים.
   • ‫BUCKET_NAME: השם של קטגוריה ביומן.
   • ‫LOCATION: המיקום של מאגר היומנים.
   • ‫PROJECT_ID: מזהה הפרויקט. במקרה הצורך, מחליפים את --project ב---folder או ב---organization.

   מריצים את הפקודה gcloud logging views describe:

   ‫Linux,‏ macOS או Cloud Shell

   gcloud logging views describe LOG_VIEW_ID \
    --bucket=BUCKET_NAME --location=LOCATION\
    --project=PROJECT_ID

   ‏Windows (PowerShell)

   gcloud logging views describe LOG_VIEW_ID `
    --bucket=BUCKET_NAME --location=LOCATION`
    --project=PROJECT_ID

   Windows‏ (cmd.exe)

   gcloud logging views describe LOG_VIEW_ID ^
    --bucket=BUCKET_NAME --location=LOCATION^
    --project=PROJECT_ID

   התשובה תמיד כוללת את התיאור ואת השם המלא של תצוגת היומן. הוא כולל גם את המסנן, אם שדה המסנן לא ריק. זוהי דוגמה לתגובה:

   createTime: '2024-02-20T17:41:17.405162921Z'
   filter: resource.type="gce_instance"
   name: projects/my-project/locations/global/buckets/my-bucket/views/compute
   updateTime: '2024-02-20T17:41:17.405162921Z'
   

   Terraform

   אפשר להשתמש ב-Terraform כדי ליצור ולשנות תצוגת יומן. עם זאת, אי אפשר להשתמש ב-Terraform כדי להציג את הפרטים של תצוגת יומן.

   צפייה ביומנים שמשויכים לתצוגת יומן

   אפשר להציג את הרשומות ביומן בתצוגת יומן באמצעות הכלי Logs Explorer או באמצעות הדף Log Analytics. כשמשתמשים ב-Log Explorer, צריך להגדיר את ההיקף ולבחור תצוגת יומן. כשמשתמשים בדף Log Analytics, מבצעים שאילתה בתצוגת יומן.

   כדי לשלוח שאילתה ליומן באמצעות Logs Explorer:

   1. במסוף Google Cloud , נכנסים לדף segment Logs Explorer:

      כניסה אל Logs Explorer

      אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שכותרת המשנה שלה היא Logging.

   2. בוחרים את המשאבים שרוצים לחפש בהם רשומות ביומן:

      • בסרגל הכלים, כשמוצגת האפשרות Project logs, מרחיבים את התפריט, בוחרים באפשרות Log view ואז בוחרים את תצוגת היומן שרוצים להריץ עליה שאילתה.

      • אם בסרגל הכלים מוצג משהו כמו 1 log view, מרחיבים את התפריט, בוחרים באפשרות Log view ואז בוחרים את תצוגת היומן או תצוגות היומן שרוצים לשלוח להן שאילתה.

      • אחרת, בסרגל הכלים מוצג הסמל ושם של אוסף תצוגות יומן (log scope), כמו _Default. מרחיבים את התפריט, בוחרים באפשרות Log view ואז בוחרים את תצוגת היומן שרוצים לשלוח לה שאילתה.

   מידע נוסף מופיע במאמר בנושא Logs Explorer.

   המאמרים הבאים

   במאמר הגדרת גישה ברמת השדה מוסבר איך לשלוט בגישה לשדות ספציפיים ברשומה ביומן.

   שליחת משוב