本文將介紹「記錄檔 bucket」,這是 Cloud Logging 用來儲存記錄檔資料的容器。其中包含記錄檔儲存空間的位置、加密金鑰管理方式,以及資料保留時間。此外,這項功能也會醒目顯示您可以在何處使用 Cloud Logging 的組織政策或預設資源設定,控管資料夾或機構中新記錄檔儲存空間的位置和加密方式。
關於記錄檔 bucket
根據預設,Cloud Logging 會加密靜態儲存的客戶內容。Logging 儲存在記錄檔 bucket 中的資料會以金鑰加密金鑰進行加密,這個程序稱為「信封式加密」。如要存取記錄資料,必須具備對應的金鑰加密金鑰存取權。這些值預設為 Google-owned and Google-managed encryption keys ,您不必採取任何行動。
貴機構可能需要符合法規、法規遵循或進階加密要求,而預設的靜態資料加密機制無法滿足這些需求。為符合貴機構的需求,您可以自行管理金鑰,而不使用Google-owned and Google-managed encryption keys。
記錄檔 bucket 是具有固定位置的區域資源。 Google Cloud 會管理該基礎架構,確保應用程式在該區域內的可用區提供備援功能。
記錄檔 bucket 儲存資料的保留期限取決於記錄檔 bucket。這份文件包含資料保留相關資訊。
您可以在記錄檔 bucket 中建立記錄檢視畫面。記錄檢視畫面只會提供記錄檔 bucket 中儲存的部分記錄資料存取權。Cloud Logging 會自動為每個記錄檔 bucket 建立一個記錄檢視畫面,方便您存取記錄檔 bucket 中的每個記錄項目。您可以使用 Identity and Access Management (IAM) 控管記錄檢視區的存取權。
如要查詢及查看記錄資料,請使用 Google Cloud 控制台的 Logs Explorer 或可觀測性分析頁面:
您可以在「Logs Explorer」頁面中,排解及分析服務和應用程式的效能問題。您可以查看個別記錄項目,並篩選記錄資料。這個介面提供範圍設定,可讓您依專案、記錄檔 bucket 或記錄檢視搜尋記錄資料。
Observability Analytics 頁面提供 SQL 介面,可讓您對升級為使用 Analytics 的記錄檔 bucket 中儲存的記錄檔資料執行匯總分析。 舉例來說,您可以使用這個介面計算趨勢並繪製圖表。您可以查詢記錄檢視區塊和分析檢視區塊。
詳情請參閱「查詢及查看記錄項目」。
支援機構和資料夾
為協助貴機構滿足法規遵循和法規需求,記錄功能支援組織政策和預設資源設定:
對於機構和資料夾,Cloud Logging 的預設資源設定會指定系統建立的記錄 bucket 位置。此外,他們也會指定所有記錄儲存區的加密金鑰管理方式。
機構政策可以限制新使用者定義的記錄檔儲存空間位置。記錄作業支援組織政策,可指定記錄檔 bucket 的建立區域。
系統建立的記錄檔 bucket
Cloud Logging 會為每個 Google Cloud 專案、帳單帳戶、資料夾或機構建立兩個記錄檔值區,分別命名為 _Required 和 _Default。除非已設定 Cloud Logging 的預設資源設定,否則這些 buckets 會具有Google-owned and Google-managed encryption keys ,且 Cloud Logging 會選取其位置。
您無法刪除系統建立的記錄 bucket。
您可以升級系統建立的記錄檔 bucket,以便使用分析功能。升級後,您就能使用 Observability Analytics 頁面查詢記錄資料, 該頁面支援 SQL。
_Required 記錄檔 bucket
_Required 記錄檔 bucket 會儲存法規遵循或稽核所需的記錄項目。因此,您無法刪除這個記錄檔 bucket,也無法修改這個記錄檔 bucket 中儲存的記錄檔項目。這個記錄檔 bucket 中的記錄檔項目會保留 400 天,您無法變更保留期限。
儲存在資源的 _Required 記錄檔 bucket 中的記錄項目,也來自該資源。也就是說, Google Cloud 專案中的 _Required 記錄檔 bucket 只能儲存該專案產生的記錄項目。
_Required 記錄檔 bucket 會儲存下列類型的記錄項目:
_Default 記錄檔 bucket
_Default 記錄檔值區會儲存未自動儲存在 _Required 記錄檔值區中的記錄檔項目。_Default 記錄檔 bucket 是由系統建立,因此無法刪除。不過,您可以修改要儲存在這個記錄檔 bucket 中的記錄項目。
Cloud Logging 會將記錄項目保留在 _Default 值區 30 天,除非您為該值區設定自訂保留時間。
舉例來說,這個記錄檔 bucket 會儲存:
使用者定義的記錄檔 bucket
您可以在任何Google Cloud 專案中建立使用者定義的記錄檔 bucket。建立使用者定義的記錄檔 bucket 時,請選取位置並設定資料保留期限。您可以選擇提供客戶管理的加密金鑰。
您可以升級使用者定義的記錄檔 bucket,以便使用分析功能。升級後,您就能使用 Observability Analytics 頁面查詢記錄資料, 該頁面支援 SQL。
您可以修改及刪除使用者定義的記錄檔儲存空間。如要避免刪除儲存保留期限內記錄項目的記錄檔 bucket,可以鎖定記錄檔 bucket,防止更新。
控管記錄檔 bucket 的存取權
IAM 權限和角色可控管記錄資料的存取權。舉例來說,您可以執行下列所有操作:
- 授予記錄檔 bucket 的讀取和編輯權限。
- 根據群組成員資格使用標記,授予記錄檔 bucket 的編輯存取權。
- 如要控管記錄項目中特定欄位的存取權,請在記錄檔 bucket 中設定欄位層級存取權。
如要授予記錄檔 bucket 中部分記錄項目的存取權,請在該記錄檔 bucket 中建立記錄檢視畫面。
每個記錄檔 bucket 都有預設記錄檢視畫面,通常會包含記錄檔 bucket 中的所有記錄項目。對於
_Default記錄檔 bucket,預設記錄檢視畫面會排除資料存取記錄項目。
如要授予使用者查看及分析記錄檔項目的權限,通常會授予下列其中一個 IAM 角色:
記錄檢視者 (
roles/logging.viewer) 角色:授予_Requiredbucket 中所有記錄項目的存取權,以及_Defaultbucket 中預設記錄檢視畫面的存取權。私密記錄檢視者 (
roles/logging.privateLogViewer) 角色:授予存取_Required和_Defaultbucket 中所有記錄的權限,包括資料存取權記錄。
如果您在記錄值區中建立使用者定義的記錄值區或記錄檢視畫面,則需要額外權限。如要進一步瞭解角色,請參閱「使用 IAM 控管存取權」。
支援的地區清單
記錄檔值區是區域資源。儲存、建立索引及搜尋記錄項目的基礎架構位於特定地理位置。除了 global、eu 或 us 區域中的記錄檔 bucket 外, Google Cloud 會管理基礎架構,確保應用程式在記錄檔 bucket 所在區域的各個地帶中,都能以備援方式運作。
Cloud Logging 支援下列區域:
全球
| 區域名稱 | 地區說明 |
|---|---|
global |
儲存在世界各地資料中心的記錄。記錄檔可能會移至其他資料中心。與其他 Google Cloud全域性資源不同,Cloud Logging 中的全域記錄檔 bucket 不會提供額外的備援保證,與區域記錄檔 bucket 相比,備援能力並無差異。 |
多區域:加拿大、歐盟和美國
| 區域名稱 | 地區說明 |
|---|---|
ca |
儲存在加拿大境內任何資料中心的記錄檔。 記錄檔可能會移至其他資料中心。不提供額外的備援保證。 |
eu |
儲存在歐盟境內任何資料中心的記錄。記錄檔可能會移至其他資料中心。不提供額外的備援保證。 |
us |
儲存在美國境內任何資料中心的記錄。記錄檔可能會移至其他資料中心。不提供額外的備援保證。 |
非洲
| 區域名稱 | 地區說明 |
|---|---|
africa-south1 |
約翰尼斯堡 |
美洲
| 區域名稱 | 地區說明 |
|---|---|
northamerica-northeast1 |
蒙特婁 |
northamerica-northeast2 |
多倫多 |
northamerica-south1 |
墨西哥 |
southamerica-east1 |
聖保羅 |
southamerica-west1 |
聖地亞哥 |
us-central1 |
愛荷華州 |
us-east1 |
南卡羅來納州 |
us-east4 |
北維吉尼亞 |
us-east5 |
哥倫布 |
us-south1 |
達拉斯 |
us-west1 |
俄勒岡州 |
us-west2 |
洛杉磯 |
us-west3 |
鹽湖城 |
us-west4 |
拉斯維加斯 |
亞太地區
| 區域名稱 | 地區說明 |
|---|---|
asia-east1 |
台灣 |
asia-east2 |
香港 |
asia-northeast1 |
東京 |
asia-northeast2 |
大阪 |
asia-northeast3 |
首爾 |
asia-south1 |
孟買 |
asia-south2 |
德里 |
asia-southeast1 |
新加坡 |
asia-southeast2 |
雅加達 |
asia-southeast3 |
曼谷 |
australia-southeast1 |
雪梨 |
australia-southeast2 |
墨爾本 |
歐洲
| 區域名稱 | 地區說明 |
|---|---|
europe-central2 |
華沙 |
europe-north1 |
芬蘭 |
europe-north2 |
斯德哥爾摩 |
europe-southwest1 |
馬德里 |
europe-west1 |
比利時 |
europe-west2 |
倫敦 |
europe-west3 |
法蘭克福 |
europe-west4 |
荷蘭 |
europe-west6 |
蘇黎世 |
europe-west8 |
米蘭 |
europe-west9 |
巴黎 |
europe-west10 |
柏林 |
europe-west12 |
杜林 |
中東
| 區域名稱 | 地區說明 |
|---|---|
me-central1 |
杜哈 |
me-central2 |
達曼 |
me-west1 |
特拉維夫市 |