יכול להיות שחלק מהמידע בדף הזה או כולו לא רלוונטי ל-Cloud de Confiance by S3NS. פרטים נוספים מופיעים במאמר מה ההבדל מ-Google Cloud.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

יצירה וניהול של היקפי יומנים

במסמך הזה מוסבר איך ליצור ולנהל היקפי יומנים, שבעזרתם אפשר למצוא ביעילות את רשומות היומן שרוצים לראות או לנתח. אם אתם רוצים רק להציג ולנתח את רשומות היומן שמקורן בפרויקט, בתיקייה או בארגון, המאמר הזה לא רלוונטי עבורכם. עם זאת, אם אתם מסתמכים על יעדי יומנים כדי לנתב יומנים לפרויקטים אחרים או למאגרי יומנים שהוגדרו על ידי משתמשים, או אם אתם משתמשים בתצוגות יומנים, המידע במסמך הזה יכול לעזור לכם למצוא ביעילות רשומות יומן ספציפיות.

במאמר הזה לא מוסבר איך לצפות ביומנים. מידע נוסף על הנושא הזה זמין במאמר צפייה ביומנים באמצעות Logs Explorer.

מידע על היקפי היומן

היקפי יומנים הם משאבים קבועים ברמת הפרויקט שמפרטים קבוצה של משאבים. המשאבים האלה יכולים להיות פרויקטים, תיקיות, ארגונים ותצוגות של יומנים. לדוגמה, אפשר להגדיר אוסף תצוגות יומן (log scope) שמפרט את הפרויקטים שמכילים משאבים שמשמשים לייצור, או אוסף שמפרט את תצוגות היומן שכוללות רשומות ביומן של סוג משאב ספציפי.

כשיוצרים משאב של Cloud de Confiance פרויקט, תיקייה או ארגון, Logging יוצר אוסף תצוגות יומן (log scope) בשם _Default. ההיקף הזה כולל את הפרויקט, התיקייה או הארגון שנוצרו. כשמחפשים משאב שהוא פרויקט, תיקייה או ארגון, התוצאות כוללות את רשומות היומן שמקורן במשאב ואז מאוחסנות בקטגוריה ביומן. Cloud de Confiance קטגוריית היומנים יכולה להיות בכל פרויקט. כשמחפשים פרויקט, התוצאות כוללות גם רשומות ביומן שמועברות לפרויקט על ידי יעד בפרויקט אחר, ואז מאוחסנות בקטגוריית יומנים.

אפשר ליצור היקפי יומן. אפשר גם לערוך ולמחוק את היקפי היומן שיוצרים. עם זאת, אי אפשר לערוך או למחוק את אוסף תצוגות היומן (log scope) שנקרא _Default.

היקף היומן מאפשר לקבוע באילו משאבים יתבצע חיפוש של נתוני יומן בדף Logs Explorer. כשפותחים את הדף הזה ובוחרים אוסף תצוגות יומן (log scope), המערכת מחפשת בדף את המשאבים שמופיעים בהיקף הזה ואז מרעננת את התצוגה.

בפרויקטים, היקף היומן שמוגדר כברירת מחדל קובע את קבוצת המשאבים שבדף Logs Explorer מתבצע חיפוש כשפותחים אותו. עם זאת, התפקידים שלכם ב-IAM (הפלטפורמה לניהול זהויות והרשאות גישה) במשאבים שחיפשתם והגדרת טווח הזמן קובעים אילו רשומות ביומן יאוחזרו מהאחסון. כשיוצרים פרויקטים, אוסף תצוגות היומן (log scope) שנקרא _Default מוגדר כאוסף תצוגות היומן (log scope) שמוגדר כברירת מחדל.

מה ההבדל בין היקפי יומנים לבין אחסון יומנים מרכזי

אחסון מרכזי של יומנים והיקפי יומנים מאפשרים לכם לצפות בנתוני יומנים שמקורם בפרויקטים שונים.

כשמרכזים את האחסון של היומנים, מגדירים את ה-sinks בארגון או בתיקייה כדי לנתב את רשומות היומן למיקום אחסון יחיד. אחסון מרכזי מספק מקום אחד לשאילתות של נתוני יומן, וכך מפשט את השאילתות כשמחפשים מגמות או בודקים בעיות. מבחינת אבטחה, יש גם מיקום אחסון אחד, מה שמפשט את המשימות של אנליסטים בתחום האבטחה.

כשמריצים שאילתה על המשאבים שמופיעים באוסף תצוגות היומן (log scope), התוצאות של כל שאילתה משולבות. אוסף תצוגות יומן (log scope) מאפשר צבירה בזמן הקריאה של נתוני יומן שאולי מאוחסנים במיקומים שונים. עם זאת, אפשר להשתמש בהיקף יומן גם כדי לספק גישת קריאה לתצוגת יומן אחת או יותר בדלי יומנים מרכזי.

כשפותחים את הדף Logs Explorer, המערכת מריצה שאילתות על המשאבים שמופיעים בהיקף ברירת המחדל של היומן. לכן, כדאי להגדיר את היקף ברירת המחדל כך שבדף יוצגו הנתונים שאתם בדרך כלל רוצים לראות. לדוגמה, אפשר להגדיר את אוסף תצוגות היומן (log scope) של ברירת המחדל להצגת תצוגת יומן, שאחרי שליחת שאילתה עליה מחזירה את נתוני היומן של אפליקציה ב-מרכז האפליקציות.

שיטות מומלצות

היקפי יומנים מאפשרים לכם להגדיר ולשמור הגדרות לשימוש עתידי, ולכן מומלץ ליצור היקפי יומנים להגדרות חיפוש מורכבות.

לדוגמה, נניח שאתם מנסים לפתור בעיה ורוצים לראות את רשומות היומן של כל המכונות הווירטואליות (VM) שבבעלות הצוות שלכם. כדי לבצע את המשימה הזו, אפשר לעשות את הפעולות הבאות:

אתם קובעים שהרשומות ביומן שאתם רוצים לראות מאוחסנות בכמה קטגוריות של יומנים ובכמה פרויקטים. ברוב מאגרי היומנים, יש תצוגת יומן שכוללת את רשומות היומן שרוצים לנתח. אם אין תצוגת יומן, אפשר ליצור אחת.
אתם מחליטים ליצור אוסף תצוגות יומן (log scope) כי אתם צופים שתצטרכו לבצע משימת פתרון בעיות דומה בעתיד.
פותחים את הדף Logs Explorer במסוף Cloud de Confiance ומשתמשים בתפריט Refine scope כדי לבחור את היקף היומן החדש.
בודקים את הרשומות ביומן ומחפשים את המידע שדרוש לפתרון הבעיה שנבדקה.
אחרי שפותרים את הבעיה, משתפים את הסיבה לכשל עם הקולגות. ציינת גם שאתה מצפה לראות כשלים דומים בעתיד, ולכן יצרת אוסף תצוגות יומן (log scope) שיאפשר לך או למי שיחקור את הכשל למצוא במהירות רשומות יומן רלוונטיות.

אפליקציות של מרכז האפליקציות והיקפי יומן

יכול להיות שהאפליקציות שלכם ב-מרכז האפליקציות יכתבו נתוני יומן לכמה פרויקטים. יכול להיות שנתוני היומן מאוחסנים בפרויקט שממנו הם מגיעים, או שאדמין בארגון הגדיר אחסון מרכזי. כדי לראות את נתוני היומן של האפליקציה, צריך ליצור אוסף תצוגות יומן (log scope), להגדיר אותו כך שיציג את הפרויקטים או את תצוגות היומן שבהם מאוחסנים נתוני היומן של האפליקציה, ואז להגדיר אותו כאוסף תצוגות יומן (log scope) שמוגדר כברירת מחדל. כשמשלימים את השלבים האלה, הדף Logs Explorer מציג באופן אוטומטי את הנתונים שנכתבו על ידי האפליקציה, גם אם הנתונים האלה מאוחסנים בפרויקטים שונים או בדלי מרכזי של יומנים.

יוצרים את אוסף תצוגות יומן (log scope) המותאם אישית בפרויקט שממנו תצפו בנתוני היומן. הפרויקט הזה הוא פרויקט המארח או פרויקט הניהול של מרכז האפליקציות. לדוגמה, אם השם המוצג של תיקייה הוא My Folder, אז השם המוצג של פרויקט הניהול של התיקייה הוא My Folder-mp.

מגבלות

אי אפשר למחוק או לשנות את אוסף תצוגות היומן (log scope) שנקרא _Default.
רק Cloud de Confiance פרויקטים תומכים באוסף תצוגות יומן (log scope) ברירת מחדל.
אי אפשר להוסיף תיקיות או ארגונים לאוסף תצוגות יומן (log scope) שמוגדר על ידי המשתמש.
היקפי היומן נוצרים במיקום global.

לפני שמתחילים

In the Cloud de Confiance console, on the project selector page, select or create a Cloud de Confiance project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
- Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.
Note: If you don't plan to keep the resources that you create in this procedure, create a project instead of selecting an existing project. After you finish these steps, you can delete the project, removing all resources associated with the project.

Go to project selector
Verify that billing is enabled for your Cloud de Confiance project.
Enable the Observability API.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (roles/serviceusage.serviceUsageAdmin), which contains the serviceusage.services.enable permission. Learn how to grant roles.
Enable the API

כדי לקבל את ההרשאות שדרושות ליצירה ולהצגה של היקפי יומנים, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בפרויקט:
- Logs Configuration Writer (roles/logging.configWriter`)
- עורך יכולת הצפייה (roles/observability.editor)
להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

התפקידים המוגדרים מראש האלה כוללים את ההרשאות שנדרשות ליצירה ולצפייה בהיקפי יומנים. כדי לראות בדיוק אילו הרשאות נדרשות, אפשר להרחיב את הקטע ההרשאות הנדרשות:
ההרשאות הנדרשות

כדי ליצור היקפי יומן ולצפות בהם, צריך את ההרשאות הבאות:
- כדי להגדיר את היקף ברירת המחדל של היומן: observability.scopes.{get, update}
- כדי ליצור ולנהל היקפי יומן: logging.logScopes.{create, delete, get, list, update}
יכול להיות שתקבלו את ההרשאות האלה באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש אחרים.
צריך לבחור את הכרטיסייה הרלוונטית לאופן שבו תכננתם להשתמש בדוגמאות בדף הזה:
gcloud

התקינו את ה-CLI של Google Cloud ואז היכנסו ל-CLI של gcloud באמצעות הזהות המאוחדת שלכם. אחרי שנכנסתם לחשבון, אתחלו את ה-CLI של Google Cloud באמצעות הפקודה הבאה:
```
gcloud init
```
Terraform

כדי להשתמש בסביבת פיתוח מקומית בדוגמאות של Terraform שבדף הזה, מתקינים ומפעילים את ה-CLI של gcloud, ואז מגדירים את Application Default Credentials באמצעות פרטי הכניסה של המשתמש.
1. התקינו את ה-CLI של Google Cloud.
2. הגדירו שה-CLI של gcloud ישתמש בזהות המאוחדת שלכם.
  
  איך נכנסים ל-CLI של gcloud באמצעות הזהות המאוחדת?
3. יוצרים פרטי כניסה לאימות מקומי עבור חשבון המשתמש:
  gcloud auth application-default login
  אם מוחזרת שגיאת אימות ואתם משתמשים בספק זהויות חיצוני (IdP), ודאו ש נכנסתם ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.
למידע נוסף, ראו הגדרת ADC לסביבת פיתוח מקומית במאמרי העזרה בנושא אימות Cloud de Confiance .
REST

כדי להשתמש בסביבת פיתוח מקומית בדוגמאות של API בארכיטקטורת REST שבדף הזה, צריך להשתמש בפרטי הכניסה שאתם נותנים ל-CLI של gcloud.
מידע נוסף מופיע במאמר אימות לשימוש ב-REST במסמכי האימות של Cloud de Confiance .

הצגת היקפי היומן

המסוף

לא נתמך. משתמשים ב-Google Cloud CLI, ב-Terraform או ב-API.

gcloud

כדי להציג את היקפי היומן בפרויקט, משתמשים בפקודה gcloud logging scopes list:

gcloud logging scopes list --project=PROJECT_ID

לפני שמריצים את הפקודה, מעדכנים את השדות הבאים:

‫PROJECT_ID: מזהה הפרויקט. בהגדרות של מרכז האפליקציות, בוחרים את הפרויקט המארח או את פרויקט הניהול של מרכז האפליקציות.

כדי לקבל את הפרטים של אוסף תצוגות יומן (log scope) בפרויקט, משתמשים בפקודה gcloud logging scopes describe:

gcloud logging scopes describe LOG_SCOPE_ID --project=PROJECT_ID

לפני שמריצים את הפקודה, מעדכנים את השדות הבאים:

‫PROJECT_ID: מזהה הפרויקט.
‫LOG_SCOPE_ID: המזהה של היקף היומן. לדוגמה, my-scope.

Terraform

אפשר להשתמש ב-Terraform כדי ליצור ולשנות אוסף תצוגות יומן (log scope). עם זאת, אי אפשר להשתמש ב-Terraform כדי להציג רשימה של היקפי יומנים.

REST

ה-Cloud Logging API מכיל פקודות שמפרטות את אוספי תצוגות היומן (log scope) במשאב, או שמדווחות על הפרטים של אוסף תצוגות יומן (log scope) ספציפי. לרשימה מלאה של הפקודות, ראו את מאמרי העזרה של ה-API.

בפרויקטים של Cloud de Confiance משתמשים בפקודות הבאות:

בפקודות הקודמות, השדה parent הוא בתחביר הבא:

projects/PROJECT_ID/locations/LOCATION_ID

השדות בביטוי הקודם מייצגים את המשמעויות הבאות:

‫PROJECT_ID: מזהה הפרויקט. בהגדרות של מרכז האפליקציות, בוחרים את הפרויקט המארח או את פרויקט הניהול של מרכז האפליקציות.
הערך של LOCATION_ID חייב להיות global.

יצירת היקף של יומן

אפשר ליצור 100 היקפי יומן לכל פרויקט. אוסף תצוגות יומן (log scope) יכול לכלול סך של 100 תצוגות יומן ופרויקטים, אבל הוא יכול לכלול רק 5 פרויקטים. אי אפשר להוסיף תיקיות או ארגונים לאוסף תצוגות יומן (log scope).

המסוף

לא נתמך. משתמשים ב-Google Cloud CLI, ב-Terraform או ב-API.

gcloud

כדי ליצור אוסף תצוגות יומן (log scope) בפרויקט, משתמשים בפקודה gcloud logging scopes create:

gcloud logging scopes create LOG_SCOPE_ID --project=PROJECT_ID \
  --description=DESCRIPTION \
  --resource-names=RESOURCE_NAMES

לפני שמריצים את הפקודה, מעדכנים את השדות הבאים:

‫PROJECT_ID: מזהה הפרויקט. בהגדרות של מרכז האפליקציות, בוחרים את הפרויקט המארח או את פרויקט הניהול של מרכז האפליקציות.
‫LOG_SCOPE_ID: המזהה של היקף היומן. לדוגמה, my-scope.
‫DESCRIPTION: אופציונלי. תיאור אוסף תצוגות יומן (log scope). התיאור צריך להיות בפורמט של מחרוזת.
‫RESOURCE_NAMES: רשימה מופרדת בפסיקים של השמות המלאים של פרויקטים או תצוגות יומן. לדוגמה, כדי לכלול את my-project בהיקף היומן, מציינים my-project.projects/my-project

Terraform

כדי ללמוד איך להחיל הגדרות ב-Terraform או להסיר אותן, ראו פקודות בסיסיות ב-Terraform. מידע נוסף מופיע במאמרי העזרה על ספק Terraform.

כדי ליצור אוסף תצוגות יומן (log scope) בפרויקט, בתיקייה או בארגון באמצעות Terraform, משתמשים במשאב Terraform‏ google_logging_log_scope.

בפקודה, מגדירים את השדות הבאים:

‫parent: השם המלא של הפרויקט, התיקייה או הארגון. לדוגמה, אפשר להגדיר את השדה הזה לערך "projects/PROJECT_ID", כאשר PROJECT_ID הוא מזהה הפרויקט ב- Cloud de Confiance . בהגדרות של מרכז האפליקציות, בוחרים את הפרויקט המארח או את פרויקט הניהול של מרכז האפליקציות.
‫location: מוגדר לערך "global".
‫name: מוגדר לשם המלא של אוסף תצוגות יומן (log scope). בפרויקטים, הפורמט של השדה הזה הוא:
```
"projects/PROJECT_ID/locations/global/logScopes/LOG_SCOPE_ID"
```
בביטוי הקודם, LOG_SCOPE_ID הוא השם של אוסף תצוגות יומן (log scope), כמו 'production'.
‫resource_names: מערך של פרויקטים ותצוגות יומנים, כאשר כל פרויקט ותצוגת יומן מצוינים על ידי השם המלא שלהם.
‫description: תיאור קצר. לדוגמה, 'היקף המשאבים לייצור'.

REST

ב-Cloud Logging API אפשר גם ליצור היקפי יומנים בתיקייה או בארגון. מידע נוסף מופיע במאמרי העזרה של ה-API.

בפרויקטים של Cloud de Confiance , משתמשים בפקודה הבאה:

projects.locations.logScopes.create.

בפקודות הקודמות, השדה parent הוא בתחביר הבא:

projects/PROJECT_ID/locations/LOCATION_ID

השדות בביטוי הקודם מייצגים את המשמעויות הבאות:

‫PROJECT_ID: מזהה הפרויקט. בהגדרות של מרכז האפליקציות, בוחרים את הפרויקט המארח או את פרויקט הניהול של מרכז האפליקציות.
הערך של LOCATION_ID חייב להיות global.

איך משנים או מוחקים אוסף תצוגות יומן (log scope)

המסוף

לא נתמך. משתמשים ב-Google Cloud CLI, ב-Terraform או ב-API.

gcloud

כדי לשנות את התיאור של רשימת המשאבים באוסף תצוגות יומן (log scope) בפרויקט, משתמשים בפקודה gcloud logging scopes update:

gcloud logging scopes update LOG_SCOPE_ID --project=PROJECT_ID \
  --description=DESCRIPTION \
  --resource-names=RESOURCE_NAMES

לפני שמריצים את הפקודה, מעדכנים את השדות הבאים:

‫PROJECT_ID: מזהה הפרויקט. בהגדרות של מרכז האפליקציות, בוחרים את הפרויקט המארח או את פרויקט הניהול של מרכז האפליקציות.
‫LOG_SCOPE_ID: המזהה של היקף היומן. לדוגמה, my-scope.
‫DESCRIPTION: תיאור אוסף תצוגות יומן (log scope). התיאור צריך להיות בפורמט של מחרוזת. אם לא רוצים לשנות את התיאור של אוסף תצוגות יומן (log scope), לא מציינים את השדה הזה.
‫RESOURCE_NAMES: רשימה מופרדת בפסיקים של השמות המלאים של פרויקטים או תצוגות יומן. אם לא רוצים לשנות את רשימת המשאבים, לא מציינים את השדה הזה.

כדי למחוק אוסף תצוגות יומן (log scope) בפרויקט, משתמשים בפקודה gcloud logging scopes delete:

gcloud logging scopes delete LOG_SCOPE_ID --project=PROJECT_ID

לפני שמריצים את הפקודה, מעדכנים את השדות הבאים:

‫PROJECT_ID: מזהה הפרויקט. בהגדרות של מרכז האפליקציות, בוחרים את הפרויקט המארח או את פרויקט הניהול של מרכז האפליקציות.
‫LOG_SCOPE_ID: המזהה של היקף היומן. לדוגמה, my-scope.

Terraform

כדי לשנות את היקף היומן בפרויקט, בתיקייה או בארגון באמצעות Terraform, משתמשים במשאב Terraform‏ google_logging_log_scope.

REST

‫Cloud Logging API מכיל פקודות שיכולות לשנות או למחוק אוסף תצוגות יומן (log scope). לרשימה מלאה של הפקודות, ראו את מאמרי העזרה של ה-API.

בפרויקטים של Cloud de Confiance משתמשים בפקודות הבאות:

בפקודות הקודמות, השדה parent הוא בתחביר הבא:

projects/PROJECT_ID/locations/LOCATION_ID/logScopes/LOG_SCOPE_ID

השדות בביטוי הקודם מייצגים את המשמעויות הבאות:

‫PROJECT_ID: מזהה הפרויקט. בהגדרות של מרכז האפליקציות, בוחרים את הפרויקט המארח או את פרויקט הניהול של מרכז האפליקציות.
הערך של LOCATION_ID חייב להיות global.
‫LOG_SCOPE_ID: המזהה של היקף היומן. לדוגמה, my-scope.

יצירה וניהול של היקפי יומנים

מידע על היקפי היומן

מה ההבדל בין היקפי יומנים לבין אחסון יומנים מרכזי

שיטות מומלצות

אפליקציות של מרכז האפליקציות והיקפי יומן

מגבלות

לפני שמתחילים

ההרשאות הנדרשות

gcloud

Terraform

REST

הצגת היקפי היומן

המסוף

gcloud

Terraform

REST

יצירת היקף של יומן

המסוף

gcloud

Terraform

REST

איך משנים או מוחקים אוסף תצוגות יומן (log scope)

המסוף

gcloud

Terraform

REST

המאמרים הבאים