In diesem Dokument werden häufige Probleme mit dem Routing und der Speicherung erläutert. Außerdem wird beschrieben, wie Sie mit derTrusted Cloud -Konsole Konfigurationsfehler oder unerwartete Ergebnisse ansehen und beheben können.
Allgemeine Informationen zum Ansehen von Logdaten finden Sie unter Logs in Senkenzielen ansehen.
Fehlerbehebung beim Log-Routing
In diesem Abschnitt wird beschrieben, wie Sie häufige Probleme beim Weiterleiten Ihrer Logeinträge beheben können.
Das Ziel enthält unerwünschte Logeinträge
Sie sehen sich die an ein Ziel weitergeleiteten Logeinträge an und stellen fest, dass das Ziel unerwünschte Logeinträge enthält.
Aktualisieren Sie die Ausschlussfilter für Ihre Senken, über die Logeinträge an das Ziel weitergeleitet werden, um dieses Problem zu beheben. Mit Ausschlussfiltern können Sie ausgewählte Logeinträge vom Routing an ein Ziel ausschließen.
Angenommen, Sie erstellen eine aggregierte Senke, um Logeinträge in einer Organisation an ein Ziel weiterzuleiten. Wenn Sie verhindern möchten, dass Logeinträge aus einem bestimmten Projekt an das Ziel weitergeleitet werden, fügen Sie der Senke den folgenden Ausschlussfilter hinzu:
logName:projects/PROJECT_ID
Sie können auch Logeinträge aus mehreren Projekten ausschließen, indem Sie logName-Klauseln mit dem logischen OR-Operator verknüpfen.
Im Ziel fehlen Logeinträge
Das häufigste Problem in Bezug auf Senken besteht wahrscheinlich darin, dass Logeinträge im Ziel einer Senke fehlen.
In einigen Fällen wird kein Fehler generiert, aber Sie stellen möglicherweise fest, dass Logeinträge nicht verfügbar sind, wenn Sie versuchen, auf sie in Ihrem Ziel zuzugreifen. Wenn Sie vermuten, dass die Senke Logeinträge nicht ordnungsgemäß weiterleitet, prüfen Sie die logbasierten Systemmesswerte Ihrer Senke:
exports/byte_count: Anzahl der Byte in Logeinträgen, die weitergeleitet wurdenexports/log_entry_count: Anzahl der weitergeleiteten Logeinträgeexports/error_count: Anzahl der Logeinträge, die nicht weitergeleitet werden konnten
Die Messwerte haben Labels, mit denen die jeweilige Anzahl mit Senkenname und Zielname aufgezeichnet wird und angegeben wird, ob Logeinträge von der Senke erfolgreich weitergeleitet werden oder nicht.
Wenn die Senkenmesswerte darauf hinweisen, dass die Senke nicht wie erwartet funktioniert, kann dies u. a. folgende Gründe haben:
Latenz
Seit dem Erstellen oder Aktualisieren der Senke wurden keine übereinstimmenden Logeinträge empfangen. Es werden nur neue Logeinträge weitergeleitet.
Warten Sie eine Stunde und prüfen Sie dann Ihr Ziel noch einmal.
Übereinstimmende Logeinträge kömmen spät an.
Es kann einige Zeit dauern, bis Ihre Logeinträge am Ziel angezeigt werden. Warten Sie einige Stunden und prüfen Sie dann Ihr Ziel noch einmal.
Falscher Bereich/Filter
Der Bereich, den Sie zum Aufrufen von Logeinträgen verwenden, die in einem Log-Bucket gespeichert sind, ist falsch.
So schränken Sie Ihre Suche auf eine oder mehrere Logansichten ein:
Wenn Sie den Log-Explorer verwenden, klicken Sie auf die Schaltfläche Bereich eingrenzen.
Wenn Sie die gcloud CLI verwenden, verwenden Sie den Befehl
gcloud logging readund fügen Sie ein--view=AllLogs-Flag hinzu.
Der Zeitraum, den Sie zum Auswählen und Ansehen von Daten im Senkenziel verwenden, ist zu kurz.
Erweitern Sie den Zeitraum, den Sie beim Auswählen von Daten in Ihrem Senkenziel verwenden.
Fehler im Senkenfilter
Der Filter der Senke ist falsch und erfasst nicht die Logeinträge, die Sie am Ziel sehen möchten.
Bearbeiten Sie den Filter Ihrer Senke mit dem Log Router in der Trusted Cloud -Konsole. Wenn Sie prüfen möchten, ob Sie den richtigen Filter eingegeben haben, wählen Sie im Bereich Senke bearbeiten die Option Vorschau von Logs aus. Dadurch wird der Log-Explorer in einem neuen Tab geöffnet, auf dem der Filter bereits ausgefüllt ist. Eine Anleitung zum Ansehen und Verwalten Ihrer Senken finden Sie unter Senken verwalten.
Fehler ansehen
Für jedes unterstützte Senkenziel bietet Logging Fehlermeldungen für falsch konfigurierte Senken.
Es gibt mehrere Möglichkeiten, diese senkenbezogenen Fehler aufzurufen. Diese Methoden werden in den folgenden Abschnitten beschrieben:
- Sehen Sie sich die Fehlerlogs an, die für die Senke generiert wurden.
- Sie erhalten Benachrichtigungen zu Senkenfehlern per E-Mail. Der Absender dieser E‑Mail ist
logging-noreply@google.com.
Fehlerlogs
Es wird empfohlen, die mit Senken verbundenen Fehler im Detail zu prüfen, indem Sie sich die von der Senke generierten Fehlerlogeinträge ansehen. Weitere Informationen zum Aufrufen von Logeinträgen finden Sie unter Logs mit dem Log-Explorer ansehen.
Sie können die folgende Abfrage im Bereich „Abfrageeditor“ des Log-Explorers verwenden, um die Fehlerlogs der Senke zu prüfen. Die gleiche Abfrage funktioniert in der Logging API und der gcloud CLI.
Bevor Sie die Abfrage kopieren, ersetzen Sie die Variable SINK_NAME durch den Namen der Senke, für die Sie eine Fehlerbehebung versuchen. Sie finden den Namen Ihrer Senke in der Trusted Cloud Console auf der Seite Log Router.
logName:"logging.googleapis.com%2Fsink_error"
resource.type="logging_sink"
resource.labels.name="SINK_NAME"
Wenn der Name Ihrer Senke beispielsweise my-sink-123 lautet, könnte der Logeintrag so aussehen:
{
errorGroups: [
0: {
id: "COXu96aNws6BiQE"
}]
insertId: "170up6jan"
labels: {
activity_type_name: "LoggingSinkConfigErrorV2"
destination: "pubsub.googleapis.com/projects/my-project/topics/my-topic"
error_code: "topic_not_found"
error_detail: ""
sink_id: "my-sink-123"
}
logName: "projects/my-project/logs/logging.googleapis.com%2Fsink_error"
receiveTimestamp: "2024-07-11T14:41:42.578823830Z"
resource: {
labels: {
destination: "pubsub.googleapis.com/projects/my-project/topics/my-topic"
name: "my-sink-123"
project_id: "my-project"
}
type: "logging_sink"
}
severity: "ERROR"
textPayload: "Cloud Logging sink configuration error in my-project, sink my-sink-123: topic_not_found ()"
timestamp: "2024-07-11T14:41:41.296157014Z"
}
Das Feld LogEntry labels und die Informationen zu den verschachtelten Schlüssel/Wert-Paaren unterstützen Sie dabei, die Quelle des Fehlers der Senke zu ermitteln. Es enthält die betroffene Ressource, die betroffene Senke und den Fehlercode. Das Feld labels.error_code enthält eine Kurzbeschreibung des Fehlers, die angibt, welche Komponente Ihrer Senke neu konfiguriert werden muss.
Um diesen Fehler zu beheben, bearbeiten Sie die Senke. Sie können Ihre Senke beispielsweise auf der Seite Log Router bearbeiten:
E-Mail-Benachrichtigungen
Wichtige Kontakte sendet E‑Mail-Benachrichtigungen zu Fehlern in der Senkenkonfiguration an Kontakte, die der Benachrichtigungskategorie „Technisch“ für ein Trusted Cloud Projekt oder die übergeordnete Ressource zugewiesen sind.
Wenn für die Ressource kein Kontakt für technische Benachrichtigungen konfiguriert ist, erhalten Nutzer, die als IAM-Projektinhaber (roles/owner) für die Ressource aufgeführt sind, die E-Mail-Benachrichtigung.
Die E-Mail enthält die folgenden Informationen:
- Ressourcen-ID: Der Name des Trusted Cloud -Projekts oder einer anderenTrusted Cloud -Ressource, in der die Senke konfiguriert wurde.
- Senkenname: Der Name der Senke, die den Konfigurationsfehler enthält.
- Senkenziel: Der vollständige Pfad des Weiterleitungsziels der Senke. Beispiel:
pubsub.googleapis.com/projects/PROJECT_ID/topics/TOPIC_ID - Fehlercode: Kurzbeschreibung der Fehlerkategorie. Beispiel:
topic_not_found. - Fehlerdetail: Detaillierte Informationen zum Fehler, einschließlich Empfehlungen zur Behebung des zugrunde liegenden Fehlers.
Der Absender dieser E‑Mail ist logging-noreply@google.com.
Sie können die Senken auf der Seite Log Router ansehen und verwalten:
Alle für die Ressource geltenden Senkenkonfigurationsfehler werden in der Liste als Cloud Logging sink configuration error angezeigt. Jeder Fehler enthält einen Link zu einem der Logeinträge, die von der fehlerhaften Senke generiert wurden. Informationen zum genauen Prüfen der zugrunde liegenden Fehler finden Sie im Abschnitt Fehlerlogs.
Arten von Senkenfehlern
In den folgenden Abschnitten werden weit gefasste Kategorien von Senkenfehlern und deren Behebung beschrieben.
Falsches Ziel
Wenn Sie eine Senke einrichten, aber einen Konfigurationsfehler dazu erhalten, dass das Ziel beim Weiterleiten von Logeinträgen durch Logging nicht gefunden wurde, kann dies folgende Gründe haben:
Die Konfiguration der Senke enthält für das angegebene Senkenziel einen Rechtschreib- oder Formatierungsfehler.
Sie müssen die Konfiguration der Senke aktualisieren, um das vorhandene Ziel ordnungsgemäß anzugeben.
Das angegebene Ziel wurde möglicherweise gelöscht.
Sie können entweder die Konfiguration der Senke ändern, um ein anderes vorhandenes Ziel zu verwenden, oder das Ziel mit demselben Namen neu erstellen.
Um diese Art von Fehler zu beheben, bearbeiten Sie die Senke. Sie können Ihre Senke beispielsweise auf der Seite Log Router bearbeiten:
Ihre Senke beginnt mit dem Weiterleiten von Logeinträgen, wenn das Ziel gefunden wurde und neue Logeinträge, die Ihrem Filter entsprechen, von Logging empfangen werden.
Probleme mit Senken verwalten
Wenn Sie ein Senkenziel deaktiviert haben, um das Speichern von Logeinträgen in einem Log-Bucket zu beenden, aber weiterhin Logeinträge weitergeleitet werden, warten Sie einige Minuten, bis die Änderungen an der Senke übernommen werden.
Berechtigungsprobleme
Wenn beim Weiterleiten eines Logeintrags durch eine Senke nicht die erforderlichen IAM-Berechtigungen für das Ziel der Senke vorhanden sind, wird ein Fehler ausgegeben, den Sie aufrufen können. Der Logeintrag wird übersprungen.
Wenn Sie eine Senke erstellen, müssen dem Dienstkonto der Senke die entsprechenden Zielberechtigungen zugewiesen werden. Wenn Sie die Senke in der Trusted Cloud Console im selbenTrusted Cloud Projekt erstellen, weist die Trusted Cloud Console diese Berechtigungen in der Regel automatisch zu. Wenn Sie die Senke jedoch in einem anderenTrusted Cloud -Projekt oder mit der gcloud CLI oder der Logging API erstellen, müssen Sie die Berechtigungen manuell konfigurieren.
Wenn berechtigungsbezogene Fehler für die Senke angezeigt werden, fügen Sie die erforderlichen Berechtigungen hinzu oder aktualisieren Sie die Senke so, dass ein anderes Ziel verwendet wird. Eine Anleitung zum Aktualisieren dieser Berechtigungen finden Sie unter Zielberechtigungen.
Zwischen dem Erstellen der Senke und dem Gewähren der Schreibberechtigung für das Exportziel mithilfe des neuen Dienstkontos der Senke kommt es zu einer kleinen Verzögerung. Ihre Senke beginnt mit dem Weiterleiten von Logeinträgen, wenn Berechtigungen korrigiert wurden und neue Logeinträge, die Ihrem Filter entsprechen, von Logging empfangen werden.
Probleme mit Organisationsrichtlinien
Wenn Sie versuchen, einen Logeintrag weiterzuleiten, aber eine Organisationsrichtlinie finden, die das Schreiben von Logging an das Senkenziel beschränkt, kann die Senke Logs nicht an das ausgewählte Ziel weiterleiten und meldet einen Fehler.
Wenn Fehler im Zusammenhang mit Organisationsrichtlinien auftreten, können Sie Folgendes tun:
Aktualisieren Sie die Organisationsrichtlinie für das Ziel, um die Einschränkungen zu entfernen, die die Senke am Weiterleiten von Logeinträgen hindern. Dies setzt voraus, dass Sie die entsprechenden Berechtigungen zum Aktualisieren der Organisationsrichtlinie haben.
Prüfen Sie, ob eine Einschränkung des Ressourcenstandorts (
constraints/gcp.resourceLocations) vorhanden ist. Mit dieser Einschränkung wird festgelegt, an welchen Standorten Daten gespeichert werden können. Außerdem unterstützen einige Dienste Einschränkungen, die sich auf einen Log-Sink auswirken können. Wenn beispielsweise ein Pub/Sub-Ziel ausgewählt ist, können mehrere Einschränkungen gelten. Eine Liste der möglichen Einschränkungen finden Sie unter Einschränkungen für Organisationsrichtlinien.Eine Anleitung finden Sie unter Richtlinien erstellen und bearbeiten.
Wenn Sie die Organisationsrichtlinie nicht aktualisieren können, aktualisieren Sie Ihre Senke auf der Seite Log Router, um ein verfügbares Ziel zu verwenden.
Ihre Senke beginnt mit der Weiterleitung von Logeinträgen, wenn die Organisationsrichtlinie das Schreiben in das Ziel durch die Senke nicht mehr verhindert und neue Logeinträge, die Ihrem Filter entsprechen, von Logging empfangen werden.
Probleme mit Verschlüsselungsschlüsseln
Wenn Sie Verschlüsselungsschlüssel verwenden, die mit dem Cloud Key Management Service oder von Ihnen verwaltet werden, um die Daten im Ziel der Senke zu verschlüsseln, werden möglicherweise Fehler dazu angezeigt. Hier sind einige mögliche Probleme und Möglichkeiten zur Behebung:
Der Cloud KMS-Schlüssel wurde nicht gefunden.
Das Trusted Cloud Projekt, das den für die Datenverschlüsselung konfigurierten Cloud KMS-Schlüssel enthält, wurde nicht gefunden.
Verwenden Sie einen gültigen Cloud KMS-Schlüssel aus einem vorhandenenTrusted Cloud -Projekt.
Der Standort des Cloud KMS-Schlüssels stimmt nicht mit dem Standort des Ziels überein.
Befindet sich das Trusted Cloud -Projekt, das den Cloud KMS-Schlüssel enthält, in einer anderen Region als das Ziel, schlägt die Verschlüsselung fehl und die Senke kann keine Daten an dieses Ziel weiterleiten.
Verwenden Sie einen Cloud KMS-Schlüssel, der in einem Trusted Cloud -Projekt enthalten ist, dessen Region mit dem Ziel der Senke übereinstimmt.
Der Zugriff auf den Verschlüsselungsschlüssel wird für das Dienstkonto der Senke verweigert.
Auch wenn die Senke erfolgreich mit den richtigen Dienstkontoberechtigungen erstellt wurde, wird diese Fehlermeldung angezeigt, wenn das Senkenziel einen Verschlüsselungsschlüssel verwendet, der dem Dienstkonto keine ausreichenden Berechtigungen zum Verschlüsseln oder Entschlüsseln der Daten gibt.
Weisen Sie dem in der Senke im Feld
writerIdentityangegebenen Dienstkonto die Rolle Cloud KMS CryptoKey-Verschlüsseler/Entschlüsseler für den am Ziel verwendeten Schlüssel zu. Prüfen Sie außerdem, ob die Cloud KMS API aktiviert ist.
Kontingentprobleme
Wenn Senken Logeinträge schreiben, gelten zielspezifische Kontingente für dieTrusted Cloud -Projekte, in denen die Senken erstellt wurden. Wenn die Kontingente erschöpft sind, beendet die Senke das Weiterleiten von Logeinträgen an das Ziel.
In diesem Fall leitet die Senke möglicherweise zu viele Logeinträge zu schnell weiter.
Zur Behebung von Problemen mit einer Kontingentüberschreitung reduzieren Sie die Menge der Logdaten, die weitergeleitet werden. Aktualisieren Sie dazu den Filter der Senke, damit er mit weniger Logeinträgen übereinstimmt. Mit der Funktion sample in Ihrem Filter können Sie einen Teil der Gesamtzahl von Logeinträgen auswählen.
Wenn Kontingent verfügbar ist, leitet Ihre Senke Logeinträge an das Ziel der Senke weiter.
Details zu den Limits, die beim Weiterleiten von Logeinträgen gelten können, finden Sie in den Kontingentinformationen des entsprechenden Ziels:
Zusätzlich zu den allgemeinen Senkenfehlertypen sind hier die häufigsten zielspezifischen Fehlertypen sowie Hinweise zu ihrer Behebung aufgeführt.
Fehler beim Weiterleiten an Cloud Logging-Buckets
Unter Umständen können Sie Logeinträge im Log-Explorer sehen, die Sie mit Ihrer Senke ausgeschlossen haben. Sie können diese Logeinträge weiterhin sehen, wenn eine der folgenden Bedingungen zutrifft:
Sie führen Ihre Abfrage im Projekt Trusted Cloud aus, das die Logeinträge generiert hat.
Um das Problem zu beheben, führen Sie Ihre Abfrage im richtigenTrusted Cloud -Projekt aus.
Die ausgeschlossenen Logeinträge wurden an mehrere Log-Buckets gesendet. Sie sehen eine Kopie des Logs, das Sie ausschließen möchten.
Um dieses Problem zu beheben, prüfen Sie Ihre Senken auf der Seite Log Router, um sicherzustellen, dass Sie die Logeinträge nicht in den Filtern anderer Senken aufnehmen.
Sie haben Zugriff auf Ansichten in dem Log-Bucket, an den die Logeinträge gesendet wurden. In diesem Fall werden diese Logeinträge standardmäßig angezeigt.
Damit diese Logeinträge nicht im Log-Explorer angezeigt werden, können Sie den Umfang der Suche auf das Trusted Cloud -Quellprojekt oder den Bucket begrenzen.
Probleme beim Speichern von Logs beheben
Warum kann ich diesen Bucket nicht löschen?
Wenn Sie versuchen, einen Bucket zu löschen, gehen Sie so vor:
Prüfen Sie, ob Sie die erforderlichen Berechtigungen zum Löschen des Buckets haben. Eine Liste der benötigten Berechtigungen finden Sie unter Zugriffssteuerung mit IAM.
Bestimmen Sie, ob der Bucket gesperrt ist. Listen Sie dazu die Attribute des Buckets auf. Wenn der Bucket gesperrt ist, prüfen Sie die Aufbewahrungsdauer. Sie können gesperrte Buckets erst löschen, wenn alle Logs im Bucket die Aufbewahrungsdauer des Buckets erreicht haben.
Welche Dienstkonten leiten Logs an meinen Bucket weiter?
So ermitteln Sie, ob Dienstkonten IAM-Berechtigungen zum Weiterleiten von Logs an Ihren Bucket haben:
-
Rufen Sie in der Trusted Cloud Console die Seite IAM auf:
Rufen Sie IAM auf.
Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift IAM & Admin ist.
Wählen Sie aus dem Tab Berechtigungen die Ansicht nach Rollen. Sie sehen eine Tabelle mit allen IAM-Rollen und -Hauptkonten, die IhremTrusted Cloud -Projekt zugeordnet sind.
Geben Sie in das Textfeld Filter filter_list der Tabelle Log-Bucket-Autor ein.
Sie sehen alle Hauptkonten mit der Rolle Log-Bucket-Autor. Wenn ein Hauptkonto ein Dienstkonto ist, enthält dessen ID den String
s3ns-system.iam.gserviceaccount.com.Optional: Wenn Sie ein Dienstkonto davon abhalten möchten, Logs an Ihr Trusted Cloud -Projekt weiterzuleiten, aktivieren Sie das Kästchen check_box_outline_blank für das Dienstkonto und klicken Sie auf Entfernen.
Warum sehe ich Logs für ein Trusted Cloud -Projekt, obwohl ich sie von meiner _Default-Senke ausgeschlossen habe?
Möglicherweise sehen Sie Logs in einem Log-Bucket in einem zentralisierten Trusted Cloud Projekt, in dem Logs aus Ihrer Organisation zusammengefasst werden.
Wenn Sie mit dem Log-Explorer auf diese Logs zugreifen und Logs sehen, die Sie von der _Default-Senke ausgeschlossen haben, ist Ihre Ansicht möglicherweise auf dieTrusted Cloud -Projektebene festgelegt.
Um dieses Problem zu beheben, wählen Sie im Menü Bereich eingrenzen die Option Logansicht aus und wählen Sie dann die Logansicht aus, die dem _Default-Bucket in IhremTrusted Cloud -Projekt zugeordnet ist. Die ausgeschlossenen Logs sollten nun nicht mehr angezeigt werden.