Logs regionalisieren

In diesem Dokument wird beschrieben, wie Sie die Senke _Default verwenden können, um Logeinträge an einen Cloud Logging-Bucket in einer bestimmten Region weiterzuleiten. Eine Liste der unterstützten Regionen finden Sie unter Standorte.

Sie können auch einen Standardspeicherort für neue _Default- und _Required-Buckets festlegen, indem Sie Standardeinstellungen für Ihre Organisation oder Ihren Ordner konfigurieren. Weitere Informationen finden Sie unter Standardspeicherort festlegen.

In diesem Leitfaden wird der Prozess beispielhaft anhand der Weiterleitung aller Logs in eine Region erläutert. Dieser Vorgang umfasst folgende Schritte:

1. Erstellen Sie einen Log-Bucket in der dafür vorgesehenen Region zum Speichern der Logs.

2. Leiten Sie die Senke _Default weiter, um die Logs an den neuen Log-Bucket weiterzuleiten.

3. Suchen Sie im Log-Explorer nach Logs.

Übersicht

In Logging sind Log-Buckets regionale Ressourcen. Die Infrastruktur, in der Ihre Logs gespeichert, indexiert und durchsucht werden, befindet sich an einem bestimmten geografischen Standort. Mit Ausnahme von Log-Buckets in den Regionen global, eu oder us verwaltetGoogle Cloud die Infrastruktur so, dass Ihre Anwendungen in den Zonen innerhalb der Region des Log-Buckets redundant verfügbar sind.

Ihre Organisation muss Logdaten möglicherweise in bestimmten Regionen speichern. Einer der Hauptfaktoren bei der Auswahl der Region, in der Logs gespeichert werden, ist die Erfüllung der Anforderungen Ihres Unternehmens in Bezug auf Latenz, Verfügbarkeit oder Compliance. Berücksichtigen Sie bei der Auswahl einer Region für den Logspeicher die Standorte der anderen Google Cloud -Produkte und -Dienste, die Ihre Anwendung verwendet.

Wenn Sie Anforderungen an den Datenstandort haben, aktivieren Sie keine Dienste, die Logdaten abfragen und das Abfrageergebnis an einem global-Standort speichern können. Ein Beispiel für einen solchen Dienst ist Gemini Cloud Assist.

Wichtige Konzepte

Die folgenden wichtigen Konzepte gelten für die Datenregionalität für Logging.

Logrouter-Standorte

Der Logrouter verarbeitet alle Logeinträge, die in die Cloud Logging API geschrieben wurden. Er prüft jeden Logeintrag auf vorhandene Regeln, um zu bestimmen, welche Logeinträge in Logging-Buckets gespeichert werden und welche Logeinträge mithilfe von Senken an unterstützte Ziele weitergeleitet werden. Für die zuverlässige Weiterleitung von Logs speichert der Logrouter die Logs auch temporär, wodurch sie vor temporären Ausfällen in einer Senke geschützt werden.

Der Logrouter verarbeitet Logs in der Region, in der sie empfangen werden. Der Logrouter kann Logs an eine andere Region senden; dies ist abhängig von der Definition einer Senke bzw. davon, ob Logdaten mit einem anderenGoogle Cloud Dienst wie Security Command Center Threat Detection gemeinsam genutzt werden. Senken gelten unabhängig von der Region für alle Logs gleichermaßen.

Log-Bucket-Standorte

Log-Buckets sind die Container in IhremGoogle Cloud Projekt, Abrechnungskonto, Ordner und Ihrer Organisation, in denen Logdaten gespeichert und organisiert werden.

Für jedes Google Cloud Projekt, Rechnungskonto, jeden Ordner und jede Organisation erstellt Logging automatisch die zwei Log-Buckets _Required und _Default, die sich am Standort global befinden. Sie können den Speicherort vorhandener Buckets nicht ändern. Ihre Organisation kann jedoch eine Richtlinie erstellen, in der ein anderer Standardspeicherort für diese Buckets festgelegt wird. Weitere Informationen finden Sie unter Standardeinstellungen für Organisationen und Ordner konfigurieren.

Für jedesGoogle Cloud Projekt können Sie auch benutzerdefinierte Log-Buckets erstellen. Wenn Sie einen benutzerdefinierten Log-Bucket erstellen, können Sie den Standort des Log-Buckets angeben. Nachdem Sie den Log-Bucket erstellt haben, kann der Standort nicht mehr geändert werden. Sie können jedoch einen neuen Bucket erstellen und dann Logeinträge mithilfe von Senken an den neuen Log-Bucket weiterleiten. Informationen zum Festlegen des Standorts für Ihre Buckets finden Sie unter Logs regionalisieren.

Logging unterstützt die gemeinsame Abfrage von Logs aus mehreren Regionen. In diesem Fall werden Abfragen am selben Standort wie die abgefragten Buckets verarbeitet und dann in der Region zusammengefasst, in der die Abfrage empfangen wurde, um die Ergebnisse zurückzugeben.

Die Region eines Log-Buckets wird auf der Seite Logspeicher und in einigen Dialogfeldern angezeigt. Wenn Sie beispielsweise die Seite „Log-Explorer“ aufrufen und mit der Auswahl Bereich eingrenzen Logansichten auflisten, werden auch Regionsinformationen angezeigt. Wenn die Region global ist, werden sowohl die Region als auch der aktuelle Speicherort in einem Format ähnlich wie GLOBAL (US-WEST4) angezeigt.

Hinweis

1. Geben Sie das Google Cloud Projekt an, in dem Ihre Logeinträge gespeichert werden sollen.
2. Geben Sie den Namen und den Speicherort des Log-Buckets an, in dem Ihre Logeinträge gespeichert werden sollen.
3. Legen Sie die Logeinträge fest, die an Ihren Log-Bucket weitergeleitet werden sollen. In diesem Leitfaden werden alle Logs berücksichtigt, die von der _Default Senke weitergeleitet werden.

4. Aktivieren Sie Cloud Shell in der Google Cloud Console.

   Cloud Shell aktivieren

   Unten in der Google Cloud Console wird eine Cloud Shell Sitzung gestartet und eine Eingabeaufforderung angezeigt. Cloud Shell ist eine Shell-Umgebung in der das Google Cloud CLI bereits installiert ist und Werte für Ihr aktuelles Projekt bereits festgelegt sind. Das Initialisieren der Sitzung kann einige Sekunden dauern.

Unterstützte Regionen

Wenn Sie Ihren Log-Bucket erstellen, können Sie auswählen, wo Ihre Logs gespeichert werden sollen. Eine Liste der unterstützten Regionen finden Sie unter Standorte.

Log-Bucket erstellen

In Log-Buckets werden Logeinträge gespeichert. Projekte, Ordner und Organisationen enthalten Logsenken, die Logeinträge an Log-Buckets oder andere Ziele weiterleiten. Wenn das Ziel einer Senke ein Log-Bucket ist, kann sich dieser Log-Bucket in derselben Ressource wie die Logsenke oder in einer anderen Ressource befinden. Weitere Informationen finden Sie unter Log-Buckets konfigurieren.

1. Öffnen Sie eine Shell.

   Wenn Sie beispielsweise die Cloud Shell verwenden möchten, gehen Sie so vor:

   1. Zur Google Cloud Console:

      Zur Google Cloud Console

   2. Klicken Sie in der Symbolleiste auf terminal Cloud Shell aktivieren.

2. Führen Sie in der Shell den gcloud logging buckets create Befehl aus, um einen Log-Bucket zu erstellen. Ersetzen Sie vor dem Ausführen des Beispielbefehls die folgenden Werte:

   • BUCKET_ID: Der Name oder die ID des Log-Buckets.
   • LOCATION: Der Speicherort des Log-Buckets.
   • PROJECT_ID: Die Kennung des Projekts.

   Beispielbefehl:

   gcloud logging buckets create BUCKET_ID \
     --location=LOCATION \
     --project=PROJECT_ID
   

3. Prüfen Sie, ob der Bucket erstellt wurde:

   gcloud logging buckets list --project=PROJECT_ID
   

Nachdem Sie den Log-Bucket erstellt haben, können Sie einige Attribute ändern, z. B. die Beschreibung und den Zeitraum für die Datenaufbewahrung. Verwenden Sie dazu den Befehl gcloud logging buckets update.

Logsenke _Default weiterleiten

Um Logs zu einem Log-Bucket weiterzuleiten, können Sie eine Senke erstellen. Eine Senke enthält einen Filter, der bestimmt, welche Logeinträge über die Senke exportiert werden, sowie ein Ziel. In diesem Leitfaden aktualisieren Sie die vorhandene Senke _Default, um Logeinträge an den im vorherigen Schritt erstellten Log-Bucket weiterzuleiten.

Führen Sie den gcloud logging sinks update Befehl aus, um eine Senke zu aktualisieren. Ersetzen Sie vor dem Ausführen des Beispielbefehls die folgenden Werte:

• _Default: In diesem Beispiel wird das Ziel für die Senke mit dem Namen _Default aktualisiert. Wenn Sie eine andere Senke aktualisieren möchten, ändern Sie den Namen dieser Variablen.
• BUCKET_ID: Der Name oder die ID des Log-Buckets.
• LOCATION: Der Speicherort des Log-Buckets.
• PROJECT_ID: Die Kennung des Projekts.

Beispielbefehl:

gcloud logging sinks update _Default \
  logging.googleapis.com/projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_ID \
  --log-filter='NOT LOG_ID("cloudaudit.googleapis.com/activity") AND NOT
    LOG_ID("externalaudit.googleapis.com/activity") AND NOT
    LOG_ID("cloudaudit.googleapis.com/system_event") AND NOT
    LOG_ID("externalaudit.googleapis.com/system_event") AND NOT
    LOG_ID("cloudaudit.googleapis.com/access_transparency") AND NOT
    LOG_ID("externalaudit.googleapis.com/access_transparency")' \
  --description="Updated the _Default sink to route logs to the LOCATION region"

Logeintrag zum Testen der Senke erstellen

Führen Sie die folgenden Schritte aus, um zu prüfen, ob Sie die Senke ordnungsgemäß aktualisiert haben:

1. Senden Sie mit dem gcloud logging write Befehl eine Testlognachricht an Ihren regionalisierten Bucket. Ersetzen Sie vor dem Ausführen des Beispielbefehls die folgenden Werte:

   • LOG_NAME: Der Name Ihres Logs.
   • BUCKET_ID: Der Name oder die ID des Log-Buckets.
   • PROJECT_ID: Die Kennung des Projekts.

   Beispielbefehl:

   gcloud logging write LOG_NAME "Test to route logs to BUCKET_ID" \
   --project=PROJECT_ID
   

2. Rufen Sie den Logeintrag auf:

   1. Rufen Sie in der Google Cloud Console das Segment und die Seite Segment Log-Explorer auf:

      Zum Log-Explorer

      Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis mit der Zwischenüberschrift Logging aus.

   2. Klicken Sie in der Symbolleiste auf Bereich eingrenzen und wählen Sie dann Aktuelles Projekt aus.

      Der Log-Explorer ist so konfiguriert, dass Logeinträge angezeigt werden, die aus Ihrem Projekt stammen.

   3. Wählen Sie im Bereich Logfeld den Ressourcentyp Global aus.

   4. Der Testlogeintrag wird im Bereich Abfrageergebnisse angezeigt.

Logs in der Google Cloud Console suchen

Wenn Sie die Logeinträge in Ihrem Log-Bucket aufrufen möchten, rufen Sie die Google Cloud Console auf und führen Sie die folgenden Schritte aus:

1. Rufen Sie in der Google Cloud Console das Segment und die Seite Segment Log-Explorer auf:

   Zum Log-Explorer

   Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis mit der Zwischenüberschrift Logging aus.

2. Wählen Sie Bereich eingrenzen aus.

3. Wählen Sie im Bereich Bereich eingrenzen die Option Logansicht aus.

4. Wählen Sie die _AllLogs Ansicht aus, die mit Ihrem BUCKET_NAME verknüpft ist.

5. Klicken Sie auf Übernehmen.

   Der Log-Explorer wird aktualisiert und zeigt die Logs Ihres Buckets an.

   Informationen zur Verwendung des Log-Explorers finden Sie unter Logs mit dem Log-Explorer ansehen.

Nächste Schritte

• An Standorten weltweit verfügbare- Google Cloud Dienste

• Weitere standortbasierte Konzepte (z. B. Zonen), die für andere Google Cloud Dienste gelten

• Lesen Sie die folgenden Whitepaper, die Best Practices für Data Governance enthalten:

  • Logdaten: Eine Schritt-für-Schritt-Anleitung zur Bewältigung häufiger Compliance-Herausforderungen

  • Data Governance: Grundsätze für die Sicherung und Verwaltung von Logs