In diesem Dokument wird beschrieben, wie Sie Cloud Logging-Buckets mit der Trusted Cloud -Konsole, der Google Cloud CLI und der Logging API erstellen und verwalten.
Außerdem enthält sie Anleitungen zum Erstellen und Verwalten von Log-Buckets aufTrusted Cloud -Projektebene. Sie können keine Log-Buckets auf Ordner- oder Organisationsebene erstellen. Cloud Logging erstellt jedoch automatisch die Log-Buckets _Default und _Required auf Ordner- und Organisationsebene für Sie.
Eine konzeptionelle Übersicht über Buckets finden Sie unter Routing und Speicherübersicht: Log-Buckets.
In diesem Dokument wird nicht beschrieben, wie Sie einen Log-Bucket erstellen, der einen vom Kunden verwalteten Verschlüsselungsschlüssel (Customer-Managed Encryption Key, CMEK) verwendet. Wenn Sie sich für dieses Thema interessieren, lesen Sie den Abschnitt CMEK für die Logspeicherung konfigurieren.
Hinweise
Gehen Sie für einen Einstieg in Buckets folgendermaßen vor:
- Konfigurieren Sie Ihr Trusted Cloud -Projekt:
-
Verify that billing is enabled for your Trusted Cloud project.
-
Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Logs Configuration Writer (
roles/logging.configWriter) für Ihr Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Erstellen, Aktualisieren und Verknüpfen eines Log-Buckets benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Eine vollständige Liste der Berechtigungen und Rollen finden Sie unter Zugriffssteuerung mit IAM.
-
- Machen Sie sich mit den unterstützten Regionen vertraut, in denen Sie Ihre Logs speichern können.
-
Select the tab for how you plan to use the samples on this page:
Console
When you use the Trusted Cloud console to access Trusted Cloud by S3NS services and APIs, you don't need to set up authentication.
gcloud
Installieren Sie die Google Cloud CLI und melden Sie sich dann mit Ihrer föderierten Identität in der gcloud CLI an. Nach der Anmeldung initialisieren Sie die Google Cloud CLI mit folgendem Befehl:
gcloud initREST
Wenn Sie die REST API-Beispiele auf dieser Seite in einer lokalen Entwicklungsumgebung verwenden möchten, nutzen Sie die Anmeldedaten, die Sie der gcloud CLI bereitstellen.
Installieren Sie die Google Cloud CLI und melden Sie sich dann mit Ihrer föderierten Identität in der gcloud CLI an. Nach der Anmeldung initialisieren Sie die Google Cloud CLI mit folgendem Befehl:
gcloud initWeitere Informationen finden Sie in der Dokumentation zur Trusted Cloud -Authentifizierung unter Für die Verwendung von REST authentifizieren.
- Wenn Sie die Google Cloud CLI oder die Cloud Logging API zum Erstellen oder Verwalten Ihrer Log-Buckets verwenden möchten, sollten Sie die Formatierungsanforderungen für
LogBucketkennen.Bucket erstellen
Sie können maximal 100 Buckets proTrusted Cloud -Projekt erstellen.
So erstellen Sie einen benutzerdefinierten Log-Bucket für Ihr Trusted Cloud -Projekt:
Trusted Cloud console
So erstellen Sie einen Log-Bucket in Ihrem Trusted Cloud -Projekt:
-
Rufen Sie in der Trusted Cloud Console die Seite Logspeicher auf:
Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Logging ist.
Klicken Sie auf Log-Bucket erstellen.
Geben Sie unter Name einen Namen und unter Beschreibung eine Beschreibung für den Bucket ein.
Optional: Wenn Sie die Region für die Speicherung Ihrer Logs auswählen möchten, klicken Sie auf das Menü Log-Bucket-Region auswählen und wählen Sie eine Region aus. Wenn Sie keine Region auswählen, wird die Region
globalverwendet. Das bedeutet, dass sich die Logs in einer beliebigen unterstützten Region befinden können.Klicken Sie auf Bucket erstellen.
Es kann einen Moment dauern, bis diese Schritte abgeschlossen sind.
gcloud
Führen Sie den Befehl
gcloud logging buckets createaus, um einen Log-Bucket zu erstellen:gcloud logging buckets create BUCKET_ID --location=LOCATION
Wenn Sie zum Beispiel einen Bucket mit der BUCKET_ID
my-bucketin der Regionglobalerstellen möchten, würde Ihr Befehl so aussehen:gcloud logging buckets create my-bucket --location global --description "My first bucket"
REST
Verwenden Sie zum Erstellen eines Buckets die Methode
projects.locations.buckets.create. Bereiten Sie die Argumente für die Methode so vor:Legen Sie den Parameter
parentauf die Ressource fest, in der der Bucket erstellt werden soll:projects/PROJECT_ID/locations/LOCATIONDie Variable LOCATION bezieht sich auf die Region, in der Ihre Logs gespeichert werden sollen.
Wenn Sie beispielsweise einen Bucket für das Projekt
my-projectin der Regionglobalerstellen möchten, sieht der Parameterparentso aus:projects/my-project/locations/globalLegen Sie den Parameter
bucketIdfest, z. B.my-bucket.Rufen Sie die synchrone Methode
projects.locations.buckets.createauf, um den Bucket zu erstellen.
Nachdem Sie einen Bucket erstellt haben, erstellen Sie eine Senke, um Logeinträge an den Bucket weiterzuleiten, und konfigurieren Sie Logansichten, um zu bestimmen, wer auf die Logs in dem neuen Bucket zugreifen kann und auf welche Logs sie Zugriff haben.
Buckets verwalten
In diesem Abschnitt wird beschrieben, wie Sie Ihre Log-Buckets mit der Google Cloud CLI oder der Trusted Cloud -Konsole verwalten.
Bucket aktualisieren
So aktualisieren Sie die Eigenschaften Ihres Buckets, z. B. die Beschreibung:Trusted Cloud console
So aktualisieren Sie die Eigenschaften Ihres Buckets:
-
Rufen Sie in der Trusted Cloud Console die Seite Logspeicher auf:
Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Logging ist.
Klicken Sie für den Bucket, den Sie aktualisieren möchten, auf more_vert Mehr.
Klicken Sie auf Bucket bearbeiten.
Bearbeiten Sie den Bucket nach Bedarf.
Klicken Sie auf Bucket aktualisieren.
gcloud
Führen Sie zum Aktualisieren der Eigenschaften Ihres Buckets den Befehl
gcloud logging buckets updateaus:gcloud logging buckets update BUCKET_ID --location=LOCATION UPDATED_ATTRIBUTES
Beispiel:
gcloud logging buckets update my-bucket --location=global --description "Updated description"
REST
Verwenden Sie zum Aktualisieren der Eigenschaften Ihres Buckets
projects.locations.buckets.patchin der Logging API.Bucket sperren
Wenn Sie einen Bucket vor Aktualisierungen sperren, wird auch die Aufbewahrungsrichtlinie des Buckets gesperrt. Nachdem eine Aufbewahrungsrichtlinie gesperrt wurde, können Sie den Bucket erst löschen, wenn die Aufbewahrungsdauer für jeden Logeintrag im Bucket abgelaufen ist. Wenn Sie verhindern möchten, dass ein Projekt, das einen gesperrten Log-Bucket enthält, versehentlich gelöscht wird, fügen Sie dem Projekt eine Sperre hinzu. Weitere Informationen finden Sie unter Projekte mit Sperren schützen.
Wenn Sie verhindern möchten, dass ein Log-Bucket aktualisiert oder gelöscht wird, sperren Sie den Bucket. So sperren Sie den Bucket:
Trusted Cloud console
Die Trusted Cloud Console unterstützt das Sperren eines Log-Buckets nicht.
gcloud
Führen Sie zum Sperren des Buckets den Befehl
gcloud logging buckets updatemit dem Flag--lockedaus:gcloud logging buckets update BUCKET_ID --location=LOCATION --locked
Beispiel:
gcloud logging buckets update my-bucket --location=global --locked
REST
Verwenden Sie
projects.locations.buckets.patchin der Logging API, um die Attribute Ihres Buckets zu sperren. Setzen Sie den Parameterlockedauftrue.Buckets auflisten
So listen Sie die mit einem Trusted Cloud -Projekt verknüpften Log-Buckets auf und rufen Details z. B. zu Aufbewahrungseinstellungen auf:
Trusted Cloud console
Rufen Sie in der Trusted Cloud Console die Seite Logspeicher auf:
Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Logging ist.
In der Tabelle Log-Buckets werden die Buckets aufgeführt, die dem aktuellenTrusted Cloud -Projekt zugeordnet sind.
In der Tabelle sind die folgenden Attribute für jeden Log-Bucket aufgeführt:
- Name: Der Name des Log-Buckets.
- Beschreibung: Die Beschreibung des Buckets.
- Aufbewahrungsdauer: Wie viel Tage lang die Daten des Buckets von Cloud Logging gespeichert werden.
- Region: Der geografische Ort, an dem die Daten des Buckets gespeichert sind.
- Status: Gibt an, ob der Bucket gesperrt oder nicht gesperrt ist.
Wenn ein Bucket zum Löschen durch Cloud Logging ansteht, wird sein Tabelleneintrag mit dem warning-Symbol Warnung versehen.
gcloud
Führen Sie den Befehl
gcloud logging buckets listaus:gcloud logging buckets list
Für die Log-Buckets werden die folgenden Attribute angezeigt:
LOCATIONist die Region, in der die Daten des Buckets gespeichert werden.BUCKET_ID: Der Name des Log-Buckets.RETENTION_DAYS: Wie viel Tage lang die Daten des Buckets von Cloud Logging gespeichert werden.LIFECYCLE_STATE: Gibt an, ob der Bucket von Cloud Logging gelöscht werden soll.LOCKED: Gibt an, ob der Bucket gesperrt oder nicht gesperrt ist.CREATE_TIME: Ein Zeitstempel, der angibt, wann der Bucket erstellt wurde.UPDATE_TIME: Ein Zeitstempel, der angibt, wann der Bucket zuletzt geändert wurde.
Sie können auch die Attribute für nur einen Bucket aufrufen. Um beispielsweise die Details für den Log-Bucket
_Defaultin der Regionglobalaufzurufen, führen Sie den Befehlgcloud logging buckets describeaus:gcloud logging buckets describe _Default --location=global
REST
Verwenden Sie
projects.locations.buckets.listin der Logging API, um die mit einem Trusted Cloud -Projekt verknüpften Log-Buckets aufzulisten.Details eines Buckets anzeigen lassen
So rufen Sie die Details eines einzelnen Log-Buckets auf:
Trusted Cloud console
Rufen Sie in der Trusted Cloud Console die Seite Logspeicher auf:
Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Logging ist.
Klicken Sie für den Log-Bucket auf more_vert Mehr und wählen Sie dann Bucket-Details ansehen aus.
Im Dialogfeld sind die folgenden Attribute für den Log-Bucket aufgeführt:
- Name: Der Name des Log-Buckets.
- Beschreibung: Die Beschreibung des Log-Buckets.
- Aufbewahrungsdauer: Wie viel Tage lang die Daten des Buckets von Cloud Logging gespeichert werden.
- Region: Der geografische Ort, an dem die Daten des Buckets gespeichert sind.
gcloud
Führen Sie den Befehl
gcloud logging buckets describeaus.Mit dem folgenden Befehl werden beispielsweise die Details des Buckets
_Defaultausgegeben:gcloud logging buckets describe _Default --location=global
Für den Log-Bucket werden die folgenden Attribute angezeigt:
createTime: Ein Zeitstempel, der angibt, wann der Bucket erstellt wurde.description: Die Beschreibung des Log-Buckets.lifecycleState: Gibt an, ob der Bucket von Cloud Logging gelöscht werden soll.name: Der Name des Log-Buckets.retentionDays: Wie viel Tage lang die Daten des Buckets von Cloud Logging gespeichert werden.updateTime: Ein Zeitstempel, der angibt, wann der Bucket zuletzt geändert wurde.
REST
Wenn Sie die Details eines einzelnen Log-Buckets aufrufen möchten, verwenden Sie
projects.locations.buckets.getin der Logging API.Buckets löschen
Sie können Log-Buckets löschen, die eine der folgenden Bedingungen erfüllen:
- Der Log-Bucket ist entsperrt.
- Der Log-Bucket ist gesperrt und alle Logeinträge im Log-Bucket haben die Aufbewahrungsdauer des Buckets erfüllt.
Sie können einen Log-Bucket, der vor Aktualisierungen gesperrt ist, nicht löschen, wenn in diesem Log-Bucket Logeinträge gespeichert sind, die die Aufbewahrungsdauer des Buckets noch nicht erreicht haben.
Nachdem Sie den Löschbefehl ausgegeben haben, wechselt der Log-Bucket in den Status
DELETE_REQUESTEDund verbleibt 7 Tage lang in diesem Status. Während dieses Zeitraums werden die Logs weiterhin von Logging an den Log-Bucket weitergeleitet. Sie können das Routing von Logs an den Log-Bucket beenden, indem Sie die Logsenken löschen oder ändern, die Logeinträge an den Bucket weiterleiten.Sie können keinen neuen Log-Bucket mit demselben Namen wie ein Log-Bucket im Status
DELETE_REQUESTEDerstellen.So löschen Sie einen Log-Bucket:
Trusted Cloud console
So löschen Sie einen Log-Bucket:
-
Rufen Sie in der Trusted Cloud Console die Seite Logspeicher auf:
Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Logging ist.
Suchen Sie den Bucket, den Sie löschen möchten, und klicken Sie auf das more_vertDreipunkt-Menü.
Klicken Sie auf Bucket löschen.
Klicken Sie im Bestätigungsfeld auf Löschen.
Auf der Seite Logspeicher wird der Hinweis angezeigt, dass der Löschvorgang des Buckets aussteht. Der Bucket mit allen darin enthaltenen Logs wird dann nach sieben Tagen gelöscht.
gcloud
Führen Sie den Befehl
gcloud logging buckets deleteaus, um einen Log-Bucket zu löschen:gcloud logging buckets delete BUCKET_ID --location=LOCATION
Sie können einen Log-Bucket nicht löschen, wenn er mit einem BigQuery-Dataset verknüpft ist:
- Führen Sie den Befehl
gcloud logging links listaus, um die mit einem Log-Bucket verknüpften Links aufzulisten. - Führen Sie den Befehl
gcloud logging links deleteaus, um ein verknüpftes Dataset zu löschen.
REST
Verwenden Sie
projects.locations.buckets.deletein der Logging API, um einen Bucket zu löschen.Gelöschten Bucket wiederherstellen
Sie können einen Log-Bucket mit dem Status "Ausstehend" wiederherstellen oder den Löschvorgang aufheben. So stellen Sie einen Log-Bucket wieder her:
Trusted Cloud console
So stellen Sie einen Log-Bucket wieder her, dessen Löschvorgang aussteht:
-
Rufen Sie in der Trusted Cloud Console die Seite Logspeicher auf:
Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Logging ist.
Klicken Sie für den Bucket, den Sie wiederherstellen möchten, auf more_vert Mehr und wählen Sie dann Gelöschten Bucket wiederherstellen aus.
Klicken Sie im Bestätigungsfeld auf Wiederherstellen.
Auf der Seite Logspeicher wird dann die Anzeige für den ausstehenden Löschvorgang aus dem Log-Bucket entfernt.
gcloud
Wenn Sie einen Log-Bucket wiederherstellen möchten, dessen Löschvorgang aussteht, führen Sie den Befehl
gcloud logging buckets undeleteaus:gcloud logging buckets undelete BUCKET_ID --location=LOCATION
REST
Verwenden Sie
projects.locations.buckets.undeletein der Logging API, um einen Bucket wiederherzustellen, dessen Löschvorgang aussteht.In einen Bucket schreiben
Sie schreiben Logs nicht direkt in einen Log-Bucket. Stattdessen schreiben Sie Logs in dieTrusted Cloud -Ressource: ein Trusted Cloud Projekt, einen Ordner oder eine Organisation. Die Senken in der übergeordneten Ressource leiten dann die Logs an Ziele weiter, einschließlich Log-Buckets. Eine Senke leitet Logs an ein Log-Bucket-Ziel weiter, wenn die Logs mit dem Filter der Senke übereinstimmen und die Senke berechtigt ist, die Logs an den Log-Bucket weiterzuleiten.
Aus einem Bucket lesen
Jeder Log-Bucket verfügt über eine Reihe von Logansichten. Zum Lesen von Logs aus einem Log-Bucket benötigen Sie Zugriff auf eine Logansicht des Log-Buckets. Mit Logansichten können Sie einem Nutzer Zugriff auf nur eine Teilmenge der in einem Log-Bucket gespeicherten Logs gewähren. Informationen zum Konfigurieren von Logansichten und zum Gewähren des Zugriffs auf bestimmte Logansichten finden Sie unter Logansichten für einen Log-Bucket konfigurieren.
So lesen Sie Logs aus einem Log-Bucket:
Trusted Cloud console
-
Rufen Sie in der Trusted Cloud Console die Seite Log-Explorer auf:
Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Logging ist.
Wenn Sie anpassen möchten, welche Logs im Log-Explorer angezeigt werden, klicken Sie auf Bereich verfeinern und wählen Sie eine Option aus. Sie können sich beispielsweise Logs ansehen, die in einem Projekt oder in einer Logansicht gespeichert sind.
Klicken Sie auf Übernehmen. Der Bereich Abfrageergebnisse wird mit Logs neu geladen, die der ausgewählten Option entsprechen.
Weitere Informationen finden Sie unter Log-Explorer – Übersicht: Bereich eingrenzen.
gcloud
Verwenden Sie den Befehl
gcloud logging readund fügen Sie einLOG_FILTERhinzu, um Daten aus einem Log-Bucket zu lesen:gcloud logging read LOG_FILTER --bucket=BUCKET_ID --location=LOCATION --view=LOG_VIEW_ID
REST
Verwenden Sie die Methode entries.list, um Logs aus einem Log-Bucket zu lesen. Legen Sie
resourceNamesfest, um den entsprechenden Bucket und die entsprechende Logansicht anzugeben, und legen Siefilterfest, um Daten auszuwählen.Ausführliche Informationen zur Filtersyntax finden Sie unter Logging-Abfragesprache.
Häufige Probleme beheben
Wenn bei der Verwendung von Log-Buckets Probleme auftreten, lesen Sie folgende Schritte zur Fehlerbehebung und Antworten auf häufig gestellte Fragen.
Warum kann ich diesen Bucket nicht löschen?
Wenn Sie versuchen, einen Bucket zu löschen, gehen Sie so vor:
Prüfen Sie, ob Sie die erforderlichen Berechtigungen zum Löschen des Buckets haben. Eine Liste der benötigten Berechtigungen finden Sie unter Zugriffssteuerung mit IAM.
Bestimmen Sie, ob der Bucket gesperrt ist. Listen Sie dazu die Attribute des Buckets auf. Wenn der Bucket gesperrt ist, prüfen Sie die Aufbewahrungsdauer. Sie können gesperrte Buckets erst löschen, wenn alle Logs im Bucket die Aufbewahrungsdauer des Buckets erreicht haben.
Welche Dienstkonten leiten Logs an meinen Bucket weiter?
So ermitteln Sie, ob Dienstkonten IAM-Berechtigungen zum Weiterleiten von Logs an Ihren Bucket haben:
-
Rufen Sie in der Trusted Cloud Console die Seite IAM auf:
Rufen Sie IAM auf.
Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift IAM & Admin ist.
Wählen Sie aus dem Tab Berechtigungen die Ansicht nach Rollen. Sie sehen eine Tabelle mit allen IAM-Rollen und -Hauptkonten, die IhremTrusted Cloud -Projekt zugeordnet sind.
Geben Sie in das Textfeld Filter filter_list der Tabelle Log-Bucket-Autor ein.
Sie sehen alle Hauptkonten mit der Rolle Log-Bucket-Autor. Wenn ein Hauptkonto ein Dienstkonto ist, enthält dessen ID den String
s3ns-system.iam.gserviceaccount.com.Optional: Wenn Sie ein Dienstkonto davon abhalten möchten, Logs an Ihr Trusted Cloud -Projekt weiterzuleiten, aktivieren Sie das Kästchen check_box_outline_blank für das Dienstkonto und klicken Sie auf Entfernen.
Warum sehe ich Logs für ein Trusted Cloud -Projekt, obwohl ich sie von meiner
_Default-Senke ausgeschlossen habe?Möglicherweise sehen Sie Logs in einem Log-Bucket in einem zentralisierten Trusted Cloud Projekt, in dem Logs aus Ihrer Organisation zusammengefasst werden.
Wenn Sie mit dem Log-Explorer auf diese Logs zugreifen und Logs sehen, die Sie von der
_Default-Senke ausgeschlossen haben, ist Ihre Ansicht möglicherweise auf dieTrusted Cloud -Projektebene festgelegt.Um dieses Problem zu beheben, wählen Sie im Menü Bereich eingrenzen die Option Logansicht aus und wählen Sie dann die Logansicht aus, die dem
_Default-Bucket in IhremTrusted Cloud -Projekt zugeordnet ist. Die ausgeschlossenen Logs sollten nun nicht mehr angezeigt werden.Nächste Schritte
Informationen zu den Methoden der Logs Bucket API finden Sie in der
LogBucket-Referenzdokumentation.Wenn Sie eine Organisation oder einen Ordner verwalten, können Sie den Speicherort der
_Default- und_Required-Log-Buckets untergeordneter Ressourcen angeben. Sie können auch konfigurieren, ob Log-Buckets CMEK verwenden, und das Verhalten des_Default-Log-Senken. Weitere Informationen finden Sie unter Standardeinstellungen für Organisationen und Ordner konfigurieren.Informationen zur Bewältigung gängiger Anwendungsfälle mit Log-Buckets finden Sie in den folgenden Themen:
Sofern nicht anders angegeben, sind die Inhalte dieser Seite unter der Creative Commons Attribution 4.0 License und Codebeispiele unter der Apache 2.0 License lizenziert. Weitere Informationen finden Sie in den Websiterichtlinien von Google Developers. Java ist eine eingetragene Marke von Oracle und/oder seinen Partnern.
Zuletzt aktualisiert: 2025-08-11 (UTC).
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Benötigte Informationen nicht gefunden","missingTheInformationINeed","thumb-down"],["Zu umständlich/zu viele Schritte","tooComplicatedTooManySteps","thumb-down"],["Nicht mehr aktuell","outOfDate","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Problem mit Beispielen/Code","samplesCodeIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-08-11 (UTC)."],[],[]] - Wenn Sie die Google Cloud CLI oder die Cloud Logging API zum Erstellen oder Verwalten Ihrer Log-Buckets verwenden möchten, sollten Sie die Formatierungsanforderungen für