Cloud Logging – Übersicht

In diesem Dokument finden Sie eine Übersicht über Cloud Logging, ein Echtzeit-Log-Verwaltungssystem mit Unterstützung für Speicherung, Suche, Analyse und Monitoring. Cloud Logging erfasst automatisch Logdaten aus Google Cloud Ressourcen. Ihre Anwendungen, lokalen Ressourcen und Ressourcen von anderen Cloud-Anbietern können Logdaten an Cloud Logging senden. Sie können auch Benachrichtigungsrichtlinien konfigurieren, damit Sie von Cloud Monitoring benachrichtigt werden, wenn bestimmte Arten von Ereignissen in Ihren Logdaten gemeldet werden. Aus rechtlichen oder Sicherheitsgründen können Sie festlegen, wo Ihre Logdaten gespeichert werden.

Logdaten aus Ihren Anwendungen und Software von Drittanbietern erfassen

Sie können Logdaten aus Anwendungen erfassen, die Sie schreiben, indem Sie Ihre Anwendung mithilfe einer Clientbibliothek instrumentieren. Es ist jedoch nicht immer erforderlich, Ihre Anwendung zu instrumentieren. Bei einigen Konfigurationen können Sie beispielsweise den Ops-Agent verwenden, um Logdaten, die in stdout oder stderr geschrieben wurden, an Ihr Google Cloud Projekt zu senden.

Sie können auch Logdaten aus Drittanbieteranwendungen wie nginx erfassen, indem Sie den Ops-Agent installieren und ihn dann so konfigurieren, dass Logdaten aus dieser Anwendung in Ihr Google Cloud Projekt geschrieben werden.

Unter Welche Methode verwenden: Logging-Agent oder Clientbibliothek? finden Sie Informationen, die Ihnen bei der Entscheidung helfen können, welcher Ansatz am besten zu Ihren Anforderungen passt.

Logdaten abfragen, ansehen und analysieren

Verwenden Sie die Seiten Log-Explorer oder Observability Analytics der Google Cloud Cloud Console, um Ihre Logdaten anzusehen und zu analysieren:

  • Log-Explorer: Mit dieser Oberfläche können Sie einzelne Logeinträge ansehen und zugehörige Logeinträge suchen und ansehen. Die Oberfläche annotiert auch Logeinträge, wenn sie Teil einer Fehlergruppe, oder wenn Trace-Daten verfügbar sind. Wir empfehlen diese Oberfläche, wenn Sie Fehler in Ihren Diensten und Anwendungen beheben möchten.

  • Observability Analytics: Mit dieser Oberfläche können Sie Ihre Logdaten mit SQL abfragen und Trends und Muster in diesen Daten finden. Sie können beispielsweise die durchschnittliche Latenz für HTTP-Anfragen berechnen, die im Laufe der Zeit an eine bestimmte URL gesendet wurden, und prüfen, ob die Latenz schwankt.

Weitere Informationen finden Sie unter Logdaten abfragen und ansehen.

Logdaten visualisieren und überwachen

Sie können Cloud Logging so konfigurieren, dass Sie benachrichtigt werden, wenn bestimmte Arten von Ereignissen in Ihren Logdaten auftreten. Diese Benachrichtigungen können gesendet werden, wenn ein bestimmtes Muster in einem Logeintrag auftritt oder wenn ein Trend in Ihren Logdaten erkannt wird. Wenn Sie die Fehlerraten Ihrer Google Cloud Dienste sehen möchten, können Sie das vorkonfigurierte Cloud Logging-Dashboard aufrufen.

Wenn Sie benachrichtigt werden möchten, wenn eine bestimmte Nachricht Teil eines Logeintrags ist, z. B. wenn ein kritisches sicherheitsrelevantes Ereignis auftritt, erstellen Sie eine logbasierte Benachrichtigungsrichtlinie. Diese Richtlinien sind nützlich für wichtige, aber seltene Ereignisse wie die folgenden:

  • Ein Ereignis wird in einem Audit-Logeintrag angezeigt. Beispielsweise greift ein Nutzer auf den Sicherheitsschlüssel eines Dienstkontos zu.
  • Ein Logeintrag enthält eine Bereitstellungsnachricht.

Wenn Sie benachrichtigt werden möchten, wenn ein Trend in Ihren Logdaten auftritt, erstellen Sie einen logbasierten Messwert und überwachen Sie ihn mit einer Benachrichtigungsrichtlinie. Ein logbasierter Messwert zählt entweder die Anzahl der Logeinträge, die einem bestimmten Kriterium entsprechen, oder er extrahiert und organisiert Informationen wie Antwortzeiten in Histogrammen. Logbasierte Messwerte sind geeignet, wenn Sie eine der folgenden Aktionen ausführen möchten:

  • Anzahl der Vorkommen einer Nachricht in Ihren Logdaten überwachen, z. B. die Anzahl der Logeinträge, die einen Fehlerstatus aufzeichnen.
  • Trends in Ihren Daten beobachten, z. B. Latenzwerte in Ihren Logdaten. Sie können sich benachrichtigen lassen, wenn sich die Werte auf inakzeptable Weise ändern.
  • Diagramme erstellen, um die aus Ihren Logdaten extrahierten numerischen Daten darzustellen.

Weitere Informationen finden Sie unter Logdaten überwachen.

Logspeicherung und -aufbewahrung

Sie müssen den Speicherort für Logdaten nicht konfigurieren. Standardmäßig werden in Google Cloud Projekten, Rechnungskonten, Ordnern und Organisations ressourcen automatisch die Logdaten gespeichert, die aus der Ressource stammen. Wenn Ihr Google Cloud Projekt beispielsweise eine Compute Engine-Instanz enthält, werden die von Compute Engine generierten Logdaten automatisch gespeichert.

Sie können eine Reihe von Aspekten der Logspeicherung konfigurieren, z. B. welche Logdaten gespeichert und welche verworfen werden und wo die Logdaten gespeichert werden. Weitere Informationen finden Sie unter Logeinträge speichern.

Logeinträge werden für einen bestimmten Zeitraum gespeichert und dann gelöscht. Weitere Informationen finden Sie unter Aufbewahrungsdauer von Logs.

Logweiterleitung

Sie können Logeintinträge an die folgenden Ziele weiterleiten:

  • Google Cloud -Projekt

  • Log-Bucket

  • BigQuery-Dataset
  • Cloud Storage-Bucket
  • Pub/Sub-Thema, das Unterstützung für Drittanbieterintegrationen wie Splunk oder Datadog bietet.

Wenn Logdaten weitergeleitet werden, kann sich das Ziel in einer anderen Ressource befinden als die Quelle der Logdaten. Sie können beispielsweise Logdaten von einem Projekt an einen Log-Bucket weiterleiten, der in einem anderen Projekt gespeichert ist.

Weitere Informationen finden Sie unter Logeinträge weiterleiten.

Logdatenkategorien

Logkategorien sollen Ihnen helfen, die verfügbaren Logging-Informationen zu beschreiben. Die Kategorien schließen sich nicht gegenseitig aus:

  • Plattform-Logeinträge werden von Google Cloud Diensten geschrieben. Diese Logeinträge können Ihnen helfen, Fehler und Probleme zu beheben und die von Ihnen verwendeten Dienste besser Google Cloud zu verstehen.

  • Komponenten-Logeinträge werden von Google Cloud-bereitgestellten Software komponenten generiert, die auf Ihren Systemen ausgeführt werden. GKE bietet beispielsweise Softwarekomponenten, die Nutzer auf ihrer eigenen virtuellen Maschine oder in ihrem eigenen Rechenzentrum ausführen können. Diese Logeinträge werden häufig verwendet, um Nutzersupport zu leisten.

  • Sicherheits-Logeinträge helfen Ihnen bei der Beantwortung der Frage „Wer hat was, wo und wann getan?“:

    • Cloud Audit Logs enthalten Informationen zu administrativen Aktivitäten und Zugriffen in Ihren Google Cloud Ressourcen. Wenn Sie Audit-Logs aktivieren, können Ihre Sicherheits-, Prüf- und Compliance- Teams Daten und Systeme auf mögliche Sicherheitslücken oder externen Datenmissbrauch hin überwachen. Google Cloud Eine Liste der unterstützten Dienste finden Sie unter Google Cloud Dienste mit Audit-Logs.
    • In Access Transparency-Logs werden die Aktionen aufgezeichnet, die von Google Cloud Mitarbeitern beim Zugriff auf Ihre Google Cloud Inhalte ausgeführt wurden. Mit Access Transparency-Logs können Sie die Einhaltung der rechtlichen und behördlichen Auflagen durch Ihre Organisation prüfen. Eine Liste der unterstützten Dienste finden Sie unter Google Cloud Dienste mit Access Transparency-Logs.

Zugriffssteuerung

IAM-Berechtigungen und -Rollen (Identity and Access Management, Identitäts- und Zugriffsverwaltung) steuern den Zugriff auf Log-Buckets. Sie können Hauptkonten vordefinierte Rollen zuweisen oder benutzerdefinierte Rollen erstellen. Weitere Informationen zu erforderlichen Berechtigungen finden Sie unter Zugriffssteuerung.

Preise

Informationen zu den Preisen für Cloud Logging finden Sie auf der Seite Google Cloud Observability-Preise.

Nächste Schritte