Mengonfigurasi bucket log

Dokumen ini menjelaskan cara membuat dan mengelola bucket Cloud Logging menggunakan konsol Cloud de Confiance , Google Cloud CLI, dan Logging API. Bagian ini juga memberikan petunjuk untuk membuat dan mengelola bucket log di Cloud de Confiance level project. Anda tidak dapat membuat bucket log di level folder atau organisasi; namun, Cloud Logging secara otomatis membuat bucket log _Default dan _Required di level folder dan organisasi untuk Anda.

Untuk mengetahui ringkasan konseptual tentang bucket, lihat Ringkasan perutean dan penyimpanan: Bucket log.

Dokumen ini tidak menjelaskan cara membuat bucket log yang menggunakan kunci enkripsi yang dikelola pelanggan (CMEK). Jika Anda tertarik dengan topik tersebut, lihat Mengonfigurasi CMEK untuk penyimpanan log.

Sebelum memulai

Untuk mulai menggunakan bucket, lakukan hal berikut:

Membuat bucket

Anda dapat membuat maksimum 100 bucket per Cloud de Confiance project.

Untuk membuat bucket log yang ditentukan pengguna untuk project Cloud de Confiance Anda, lakukan langkah-langkah berikut:

Cloud de Confiance console

Untuk membuat bucket log di Cloud de Confiance project Anda, lakukan hal berikut:

  1. Di konsol Cloud de Confiance , buka halaman Logs Storage:

    Buka Penyimpanan Log

    Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Logging.

  2. Klik Buat bucket log.

  3. Masukkan Nama dan Deskripsi untuk bucket Anda.

  4. Opsional: Untuk memilih region penyimpanan untuk log Anda, klik menu Pilih region bucket log, lalu pilih region. Jika Anda tidak memilih region, maka region global akan digunakan, yang berarti log dapat secara fisik berlokasi di region yang didukung.

  5. Klik Create bucket.

    Mungkin perlu beberapa saat untuk menyelesaikan langkah-langkah ini.

gcloud

Untuk membuat bucket log, jalankan perintah gcloud logging buckets create:

gcloud logging buckets create BUCKET_ID --location=LOCATION

Misalnya, jika Anda ingin membuat bucket dengan BUCKET_ID my-bucket di region global, perintah Anda akan terlihat seperti berikut:

gcloud logging buckets create my-bucket --location global --description "My first bucket"

REST

Untuk membuat bucket, gunakan metode projects.locations.buckets.create. Siapkan argumen ke metode sebagai berikut:

  1. Tetapkan parameter parent menjadi resource tempat bucket akan dibuat: projects/PROJECT_ID/locations/LOCATION

    Variabel LOCATION merujuk ke region tempat Anda ingin menyimpan log.

    Misalnya, jika Anda ingin membuat bucket untuk project my-project di region global, parameter parent Anda akan terlihat seperti ini: projects/my-project/locations/global

  2. Tetapkan parameter bucketId; misalnya, my-bucket.

  3. Panggil metode sinkron projects.locations.buckets.create untuk membuat bucket.

Setelah membuat bucket, buat sink untuk merutekan entri log ke bucket Anda dan konfigurasi tampilan log untuk mengontrol siapa yang dapat mengakses log di bucket baru Anda dan log mana yang dapat diakses oleh mereka.

Mengelola bucket

Bagian ini menjelaskan cara mengelola bucket log menggunakan Google Cloud CLI atau Cloud de Confiance konsol.

Memperbarui bucket

Untuk memperbarui properti bucket, seperti deskripsi, lakukan hal berikut:

Cloud de Confiance console

Untuk memperbarui properti bucket, lakukan hal berikut:

  1. Di konsol Cloud de Confiance , buka halaman Logs Storage:

    Buka Penyimpanan Log

    Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Logging.

  2. Untuk bucket yang ingin Anda perbarui, klik Lainnya.

  3. Pilih Edit bucket.

  4. Edit bucket sesuai kebutuhan.

  5. Klik Perbarui bucket.

gcloud

Untuk memperbarui properti bucket, jalankan perintah gcloud logging buckets update:

gcloud logging buckets update BUCKET_ID --location=LOCATION UPDATED_ATTRIBUTES

Contoh:

gcloud logging buckets update my-bucket --location=global --description "Updated description"

REST

Untuk memperbarui properti bucket, gunakan projects.locations.buckets.patch di Logging API.

Mengunci bucket

Saat Anda mengunci bucket agar tidak diupdate, Anda juga mengunci kebijakan retensi bucket. Setelah kebijakan retensi dikunci, Anda tidak dapat menghapus bucket hingga setiap entri log dalam bucket memenuhi periode retensi bucket. Jika Anda ingin mencegah penghapusan project secara tidak sengaja yang berisi bucket log terkunci, tambahkan lien ke project. Untuk mempelajari lebih lanjut, lihat Melindungi project dengan lien.

Untuk mencegah siapa pun memperbarui atau menghapus bucket log, kunci bucket. Untuk mengunci bucket, lakukan langkah berikut:

Cloud de Confiance console

Konsol Cloud de Confiance tidak mendukung penguncian bucket log.

gcloud

Untuk mengunci bucket, jalankan perintah gcloud logging buckets update dengan flag --locked:

gcloud logging buckets update BUCKET_ID --location=LOCATION --locked

Contoh:

gcloud logging buckets update my-bucket --location=global --locked

REST

Untuk mengunci atribut bucket, gunakan projects.locations.buckets.patch di Logging API. Tetapkan parameter locked ke true.

Membuat daftar bucket

Untuk mencantumkan bucket log yang terkait dengan project, dan untuk melihat detail seperti setelan retensi, lakukan langkah-langkah berikut: Cloud de Confiance

Cloud de Confiance console

Di konsol Cloud de Confiance , buka halaman Logs Storage:

Buka Penyimpanan Log

Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Logging.

Tabel bernama Bucket log mencantumkan bucket yang terkait dengan Cloud de Confiance project saat ini.

Tabel mencantumkan atribut berikut untuk setiap bucket log:

  • Nama: Nama bucket log.
  • Deskripsi: Deskripsi bucket.
  • Periode retensi: Jumlah hari data bucket akan disimpan oleh Cloud Logging.
  • Region: Lokasi geografis tempat data bucket disimpan.
  • Status: Apakah bucket dikunci atau tidak dikunci.

Jika bucket menunggu penghapusan oleh Cloud Logging, maka entri tabelnya akan diberi anotasi dengan simbol peringatan .

gcloud

Jalankan perintah gcloud logging buckets list:

gcloud logging buckets list

Anda akan melihat atribut berikut untuk bucket log:

  • LOCATION: Region tempat data bucket disimpan.
  • BUCKET_ID: Nama bucket log.
  • RETENTION_DAYS: Jumlah hari data bucket akan disimpan oleh Cloud Logging.
  • LIFECYCLE_STATE: Menunjukkan apakah bucket menunggu penghapusan oleh Cloud Logging.
  • LOCKED: Apakah bucket dikunci atau tidak dikunci.
  • CREATE_TIME: Stempel waktu yang menunjukkan kapan bucket dibuat.
  • UPDATE_TIME: Stempel waktu yang menunjukkan kapan bucket terakhir diubah.

Anda juga dapat melihat atribut hanya untuk satu bucket. Misalnya, untuk melihat detail bucket log _Default di region global, jalankan perintah gcloud logging buckets describe:

gcloud logging buckets describe _Default --location=global

REST

Untuk mencantumkan bucket log yang terkait dengan project Cloud de Confiance , gunakan projects.locations.buckets.list di Logging API.

Melihat detail bucket

Untuk melihat detail satu bucket log, lakukan langkah berikut:

Cloud de Confiance console

Di konsol Cloud de Confiance , buka halaman Logs Storage:

Buka Penyimpanan Log

Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Logging.

Di bucket log, klik Lainnya, lalu pilih Lihat detail bucket.

Dialog mencantumkan atribut berikut untuk bucket log:

  • Nama: Nama bucket log.
  • Deskripsi: Deskripsi bucket log.
  • Periode retensi: Jumlah hari data bucket akan disimpan oleh Cloud Logging.
  • Region: Lokasi geografis tempat data bucket disimpan.

gcloud

Jalankan perintah gcloud logging buckets describe.

Misalnya, perintah berikut melaporkan detail bucket _Default:

gcloud logging buckets describe _Default --location=global

Anda akan melihat atribut berikut untuk bucket log:

  • createTime: Stempel waktu yang menunjukkan kapan bucket dibuat.
  • description: Deskripsi bucket log.
  • lifecycleState: Menunjukkan apakah bucket menunggu penghapusan oleh Cloud Logging.
  • name: Nama bucket log.
  • retentionDays: Jumlah hari data bucket akan disimpan oleh Cloud Logging.
  • updateTime: Stempel waktu yang menunjukkan kapan bucket terakhir diubah.

REST

Untuk melihat detail satu bucket log, gunakan projects.locations.buckets.get di Logging API.

Menghapus bucket

Anda dapat menghapus bucket log yang memenuhi salah satu kondisi berikut:

  • Bucket log tidak terkunci.
  • Bucket log dikunci dan semua entri log di bucket log telah memenuhi periode retensi bucket.

Anda tidak dapat menghapus bucket log yang dikunci agar tidak diupdate jika bucket log tersebut menyimpan entri log yang belum memenuhi periode retensi bucket.

Setelah Anda mengeluarkan perintah hapus, bucket log akan bertransisi ke status DELETE_REQUESTED, dan tetap dalam status tersebut selama 7 hari. Selama jangka waktu ini, Logging akan terus merutekan log ke bucket log. Anda dapat menghentikan perutean log ke bucket log dengan menghapus atau mengubah sink log yang merutekan entri log ke bucket.

Anda tidak dapat membuat bucket log baru yang menggunakan nama yang sama dengan bucket log yang berada dalam status DELETE_REQUESTED.

Untuk menghapus bucket log, lakukan langkah-langkah berikut:

Cloud de Confiance console

Untuk menghapus bucket log, lakukan langkah-langkah berikut:

  1. Di konsol Cloud de Confiance , buka halaman Logs Storage:

    Buka Penyimpanan Log

    Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Logging.

  2. Cari bucket yang ingin Anda hapus, lalu klik Lainnya.

  3. Pilih Hapus bucket.

  4. Di panel konfirmasi, klik Hapus.

  5. Di halaman Penyimpanan Log, bucket Anda memiliki indikator bahwa bucket tersebut menunggu penghapusan. Bucket, termasuk semua log di dalamnya, akan dihapus setelah 7 hari.

gcloud

Untuk menghapus bucket log, jalankan perintah gcloud logging buckets delete:

gcloud logging buckets delete BUCKET_ID --location=LOCATION

Anda tidak dapat menghapus bucket log jika bucket tersebut memiliki set data BigQuery yang tertaut:

REST

Untuk menghapus bucket, gunakan projects.locations.buckets.delete di Logging API.

Memulihkan bucket yang dihapus

Anda dapat memulihkan, atau membatalkan penghapusan, bucket log yang berada dalam status menunggu penghapusan. Untuk memulihkan bucket log, lakukan langkah berikut:

Cloud de Confiance console

Untuk memulihkan bucket log yang menunggu penghapusan, lakukan hal berikut:

  1. Di konsol Cloud de Confiance , buka halaman Logs Storage:

    Buka Penyimpanan Log

    Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Logging.

  2. Untuk bucket yang ingin Anda pulihkan, klik Lainnya, lalu pilih Pulihkan bucket yang dihapus.

  3. Di panel konfirmasi, klik Pulihkan.

  4. Di halaman Logs Storage, indikator menunggu penghapusan dihapus dari bucket log Anda.

gcloud

Untuk memulihkan bucket log yang menunggu penghapusan, jalankan perintah gcloud logging buckets undelete:

gcloud logging buckets undelete BUCKET_ID --location=LOCATION

REST

Untuk memulihkan bucket yang menunggu penghapusan, gunakan projects.locations.buckets.undelete di Logging API.

Menulis ke bucket

Anda tidak menulis log secara langsung ke bucket log. Sebaliknya, Anda menulis log ke Cloud de Confiance resource: a Cloud de Confiance project, folder, atau organisasi. Sink di resource induk kemudian merutekan log ke tujuan, termasuk bucket log. Sink merutekan log ke tujuan bucket log jika log cocok dengan filter sink dan sink memiliki izin untuk merutekan log ke bucket log.

Membaca dari bucket

Setiap bucket log memiliki serangkaian tampilan log. Untuk membaca log dari bucket log, Anda memerlukan akses ke tampilan log di bucket log. Dengan tampilan log, Anda dapat memberikan akses pengguna hanya ke sebagian log yang disimpan dalam bucket log. Untuk mengetahui informasi tentang cara mengonfigurasi tampilan log, dan cara memberikan akses ke tampilan log tertentu, lihat Mengonfigurasi tampilan log di bucket log.

Untuk membaca log dari bucket log, lakukan hal berikut:

Cloud de Confiance console

  1. Di konsol Cloud de Confiance , buka halaman Logs Explorer:

    Buka Logs Explorer

    Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah Logging.

  2. Untuk menyesuaikan log yang ditampilkan di Logs Explorer, klik Persempit cakupan, lalu pilih opsi. Misalnya, Anda dapat melihat log yang disimpan dalam project atau menurut tampilan log.

  3. Klik Terapkan. Panel Query results dimuat ulang dengan log yang cocok dengan opsi yang Anda pilih.

Untuk mengetahui informasi selengkapnya, lihat Ringkasan Logs Explorer: Mempersempit cakupan.

gcloud

Untuk membaca log dari bucket log, gunakan perintah gcloud logging read dan tambahkan LOG_FILTER untuk memilih data:

gcloud logging read LOG_FILTER --bucket=BUCKET_ID --location=LOCATION --view=LOG_VIEW_ID

REST

Untuk membaca log dari bucket log, gunakan metode entries.list. Tetapkan resourceNames untuk menentukan bucket dan tampilan log yang sesuai, lalu tetapkan filter untuk memilih data.

Untuk mengetahui informasi mendetail tentang sintaksis pemfilteran, lihat Bahasa kueri logging.

Memecahkan masalah umum

Jika Anda mengalami masalah saat menggunakan bucket log, lihat langkah-langkah pemecahan masalah dan jawaban untuk pertanyaan umum berikut.

Mengapa saya tidak dapat menghapus bucket ini?

Jika Anda mencoba menghapus bucket, lakukan langkah-langkah berikut:

  • Verifikasi bahwa Anda memiliki izin yang benar untuk menghapus bucket. Untuk mengetahui daftar izin yang Anda perlukan, lihat Kontrol akses dengan IAM.

  • Tentukan apakah bucket dikunci dengan mencantumkan atribut bucket. Jika bucket dikunci, periksa periode retensi bucket. Anda tidak dapat menghapus bucket yang terkunci hingga semua log dalam bucket tersebut memenuhi periode retensi data bucket.

Akun layanan mana yang merutekan log ke bucket saya?

Untuk menentukan apakah ada akun layanan yang memiliki izin IAM untuk merutekan log ke bucket Anda, lakukan hal berikut:

  1. Di konsol Cloud de Confiance , buka halaman IAM:

    Buka IAM

    Jika Anda menggunakan kotak penelusuran untuk menemukan halaman ini, pilih hasil yang subjudulnya adalah IAM & Admin.

  2. Dari tab Permissions, lihat menurut Roles. Anda akan melihat tabel yang berisi semua peran dan akun utama IAM yang terkait dengan projectCloud de Confiance .

  3. Di kotak teks Filter tabel, masukkan Logs Bucket Writer.

    Anda akan melihat akun utama apa pun dengan peran Penulis Bucket Log. Jika akun utama adalah akun layanan, ID-nya berisi string s3ns-system.iam.gserviceaccount.com.

  4. Opsional: Jika Anda ingin menghapus kemampuan akun layanan untuk merutekan log ke project Cloud de Confiance Anda, pilih kotak centang untuk akun layanan tersebut, lalu klik Hapus.

Mengapa saya melihat log untuk project Cloud de Confiance , meskipun saya mengecualikannya dari sink _Default?

Anda mungkin melihat log di bucket log dalam project Cloud de Confiance terpusat, yang menggabungkan log dari seluruh organisasi Anda.

Jika Anda menggunakan Logs Explorer untuk mengakses log ini dan melihat log yang Anda kecualikan dari sink _Default, tampilan Anda mungkin disetel ke tingkat projectCloud de Confiance .

Untuk memperbaiki masalah ini, pilih Tampilan log di menu Persempit cakupan lalu pilih tampilan log yang terkait dengan bucket _Default di Cloud de Confiance project Anda. Anda tidak akan melihat log yang dikecualikan lagi.

Langkah berikutnya

Untuk mengetahui informasi tentang metode API bucket log, lihat dokumentasi referensi LogBucket.

Jika Anda mengelola organisasi atau folder, Anda dapat menentukan lokasi bucket log _Default dan _Required dari resource turunan. Anda juga dapat mengonfigurasi apakah bucket log menggunakan CMEK dan perilaku sink log _Default. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi setelan default untuk organisasi dan folder.

Untuk mengetahui informasi tentang cara menangani kasus penggunaan umum dengan bucket log, lihat topik berikut: