汇总和存储组织的日志

本文档介绍了如何管理由 （非拦截功能）包含在 Google Cloud 组织中， 汇总接收器。

您可以将聚合接收器配置为拦截或非拦截。 具体取决于您是想要控制在哪些日志中查询日志 通过子资源中的接收器进行路由。在本教程中，您将创建 用于将组织的审核日志路由到 Google Cloud 项目。然后，在 Google Cloud 项目中， 用于将汇总审核日志路由到日志存储桶的日志接收器。

如需详细了解聚合接收器，请参阅整理组织级和文件夹级日志并将其路由到支持的目标位置。

在本教程中，您将执行以下步骤：

1. 首先，在存储桶中创建日志存储桶和日志接收器 您要在其中存储汇总日志的 Google Cloud 项目。

2. 接下来，您将在组织级别创建非拦截汇总接收器， 将日志路由到 Google Cloud 项目。

3. 接下来，您需要配置对新日志存储桶的日志视图的读取权限。

4. 最后，您可以在“日志浏览器”页面中查询和查看日志。

准备工作

确保以下几点：

• 如需获取创建日志存储分区和汇总日志接收器所需的权限， 请让管理员授予您 以下 IAM 角色：

  • Logs Configuration Writer (roles/logging.configWriter) 针对项目
  • Logs Configuration Writer (roles/logging.configWriter) 针对您的组织

  如需详细了解如何授予角色，请参阅管理访问权限。

  您也可以通过自定义角色或其他预定义角色来获取所需的权限。

• 如需获取向主账号授予角色所需的权限， 请让管理员授予您 项目的 Owner (roles/owner) IAM 角色。

• 如果您使用 VPC Service Controls，则必须添加一个 到服务边界的入站流量规则如需详细了解 VPC Service Controls 限制，请参阅 汇总接收器和 VPC Service Controls 限制。

创建日志存储桶

日志存储桶用于存储从其他 Google Cloud 项目、文件夹或组织路由的日志。如需了解详情，请参阅 配置日志存储分区。

要在 Google Cloud 项目中创建 汇总日志，请完成以下步骤：

1. 转到 Google Cloud 控制台：

   前往 Google Cloud 控制台

2. 在 Cloud Shell 终端中，运行 gcloud logging buckets create 命令。

   在运行以下命令之前，请执行以下操作： 替换项：

   • BUCKET_NAME：日志存储桶的名称。
   • LOCATION：日志存储桶的位置。
   • PROJECT_ID：要在其中创建 日志存储桶。

   执行 gcloud logging buckets create 命令：

    gcloud logging buckets create BUCKET_NAME \
      --location=LOCATION --project=PROJECT_ID
   

3. 验证是否已创建日志存储桶：

   gcloud logging buckets list --project=PROJECT_ID
   

4. 可选：设置存储桶中日志的保留期限。本示例将存储分区中存储的日志的保留期限延长至 365 天：

   gcloud logging buckets update BUCKET_NAME \
     --location=LOCATION --project=PROJECT_ID \
     --retention-days=365
   

创建项目级日志接收器

您可以通过创建接收器将日志条目路由到日志存储桶。一个接收器包含 包含过滤器、可选的排除过滤器和目标位置。在本课中， 则目标位置就是新的日志存储桶。 如需详细了解接收器，请参阅 将日志路由到支持的目标位置。

如需创建接收器以将日志条目路由到您刚刚创建的日志存储桶，请执行以下操作： 进行以下替换并运行 gcloud logging sinks create 命令：

• PROJECT_LEVEL_SINK_NAME：项目级的名称 日志接收器。

• SINK_DESTINATION：将日志路由到的日志存储桶。通过 日志存储桶的目标路径格式如下：

  logging.googleapis.com/projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME
  

• PROJECT_ID：要在其中创建 日志接收器。将此标志设置为您创建该日志的项目 存储桶。

• 添加以下标志：

  • --log-filter：使用此标记设置 与日志匹配的过滤条件 列出您想要添加到接收器中的条目在本教程中，过滤器为 设置为选择所有审核日志条目。如果您没有设置过滤器 您的 Google Cloud 项目中的日志会路由到目标位置。
  • --description：使用此标志来描述接收器的用途或用例。

  执行以下命令：

  gcloud logging sinks create PROJECT_LEVEL_SINK_NAME SINK_DESTINATION
  --project=PROJECT_ID
  --log-filter='logName:cloudaudit.googleapis.com' \
  --description="Audit logs from my organization" \
  

创建汇总接收器

汇总接收器通过 将组织或文件夹复制到目标位置

在本教程中，您将创建一个非拦截聚合接收器。这个 意味着汇总接收器路由的每个日志条目也会同时 生成日志条目的资源中的接收器。例如， 源自某个项目的审核日志由汇总接收器和 接收器。因此，您可以在一个 Pod 内存储多个 日志条目数量。

您可以创建拦截接收器。如需了解详情，请参阅 整理和路由组织级和文件夹级日志以支持目标位置。

在组织级层设置接收器

创建非拦截且路由日志的汇总接收器 将条目添加到项目中，请完成以下步骤：

1. 运行 gcloud logging sinks create 命令。

   在运行以下命令之前，请执行以下操作： 替换项：

   • SINK_NAME：日志接收器的名称。
   • PROJECT_ID：存储日志存储桶的项目的标识符。
   • ORGANIZATION_ID：组织的标识符。

   执行 gcloud logging sinks create 命令：

   gcloud logging sinks create SINK_NAME \
   logging.googleapis.com/projects/PROJECT_ID  \
     --log-filter='logName:cloudaudit.googleapis.com' \
     --description="Audit logs from my organization" \
     --organization=ORGANIZATION_ID \
     --include-children
   

   --include-children 标志非常重要，它会允许包含来自组织中所有 Google Cloud 项目的日志。如需了解详情，请参阅整理组织级日志并���其路由到支持的目标位置。

2. 验证接收器是否已创建：

   gcloud logging sinks list --organization=ORGANIZATION_ID
   

3. 获取服务账号的名称：

   gcloud logging sinks describe SINK_NAME --organization=ORGANIZATION_ID
   

   输出类似于以下内容：

   writerIdentity: serviceAccount:o1234567890-ORGANIZATION_ID@gcp-sa-logging.iam.gserviceaccount.com
   

4. 将 serviceAccount 字段的值复制到剪贴板。

授予对接收器的访问权限

创建汇总接收器后，您必须为该接收器授予权限 将日志写入您设置为目标位置的项目。您可以授予 使用 Google Cloud 控制台 或者修改 Identity and Access Management (IAM) 政策， 设置目标位置权限。

如需向接收器授予写入日志的权限，请执行以下操作：

1. 在 Google Cloud 控制台中，进入 IAM 页面：

   前往 IAM

   如果您使用搜索栏查找此页面，请选择子标题为 IAM 和管理的结果。

2. 选择包含您的日志存储桶的 Google Cloud 项目。

3. 点击 person_add 授予访问权限。

4. 在新的服务账号字段中，添加不包含 serviceAccount: 前缀。

5. 在选择角色菜单中，选择 Logs Writer。

6. 点击保存。

生成日志以协助接收器验证

如需验证聚合接收器是否已正确配置，请尝试 以下：

1. 生成应路由到您的日志存储桶的审核日志。

   • 如果您的组织中有多个 Google Cloud 项目，那么 那么您可能就有足够的审核日志流量 请创建任意广告素材以进行验证转到下一步。

   • 否则，请转到其他项目，创建 Compute Engine 虚拟机 实例，然后删除您创建的实例。 创建、启动和删除虚拟机时，系统会写入审核日志。

2. 请按照 在“日志浏览器”页面中查看日志 审核日志。请务必选择 _AllLogs 视图。

配置对日志存储桶的日志视图的读取权限

当您创建日志存储桶时，Cloud Logging 会自动创建���个 名为 _AllLogs 的日志视图。 此视图包含日志存储桶中存储的每个日志条目。

如需限制主账号只能访问特定日志条目，请创建 然后执行以下某项操作：

• 向其授予 roles/logging.viewAccessor 角色以及 限制向日志视图授予的 IAM 条件。

• 针对与日志视图关联的 IAM 政策 授予主账号访问权限我们建议您在创建 大量日志视图。

如需详细了解这两种方法，请参阅 控制对日志视图的访问权限。

在以下步骤中，您将向主账号授予 roles/logging.viewAccessor 以及 IAM 条件 用于将授权授予名为 _AllLogs 的视图：

1. 在 Google Cloud 控制台中，进入 IAM 页面：

   前往 IAM

   如果您使用搜索栏查找此页面，请选择子标题为 IAM 和管理的结果。

   确保已选择用于汇总日志的 Google Cloud 项目。

2. 点击 person_addAdd。

3. 在新的主账号字段中，添加主账号。

4. 在选择角色菜单中，选择日志视图访问器。

5. 将 IAM 条件添加到该绑定：

   1. 点击添加条件，输入标题和说明。
   2. 在条件类型菜单中，滚动到资源，然后 选择名称。
   3. 在运算符菜单中，选择结尾为。

   4. 在值字段中，输入日志视图的全名：

      locations/LOCATION/buckets/BUCKET_NAME/views/_AllLogs
      

   5. 点击保存以保存条件。

6. 点击保存以保存该绑定。

在“日志浏览器”页面中查看日志

如需查看日志存储桶中的日志，请执行以下操作：

1. 在 Google Cloud 控制台中，转到 Logs Explorer 页面。

   前往 Logs Explorer

   如果您使用搜索栏查找此页面，请选择子标题为 Logging 的结果。

2. 选择优化范围。

3. 在优化范围面板上，选择按存储确定范围。

4. 选择要查看其日志条目的日志视图或日志视图。 例如，如需查看所有日志，请选择名为 _AllLogs 的视图。

5. 点击应用。

   Logs Explorer 会刷新，以显示日志存储桶中的日志。

   如需了解如何使用日志浏览器，请参阅 使用日志浏览器。