הגדרת תצוגות יומן בקטגוריית יומנים

במאמר הזה מוסבר איך ליצור ולנהל תצוגות של יומנים בקטגוריות של Cloud Logging. תצוגות היומן מאפשרות לכם שליטה מתקדמת ופרטנית על הגישה ליומנים בתוך קטגוריות היומנים.

אתם יכולים להגדיר ולנהל את תצוגות היומנים באמצעות Cloud de Confiance המסוף, ה-CLI של gcloud,‏ Terraform או Cloud Logging API.

מידע כללי על מודל האחסון של Logging מופיע במאמר סקירה כללית על ניתוב ואחסון.

מידע על תצוגות ביומן

תצוגות יומן מאפשרות להעניק למשתמש גישה רק לקבוצת משנה של היומנים שמאוחסנים בקטגוריית יומנים. לדוגמה, נניח שאתם מאחסנים את היומנים של הארגון בפרויקט מרכזי. אפשר ליצור תצוגת יומן אחת לכל פרויקט שמוסיף יומנים לקטגוריה ביומן. לאחר מכן תוכלו להעניק לכל משתמש גישה לתצוגת יומן אחת או יותר, וכך להגביל את היומנים שהמשתמשים יכולים לראות.

אפשר ליצור עד 30 תצוגות של יומנים לכל קטגוריה ביומן.

שליטה בגישה לתצוגת יומן

‫Cloud Logging משתמש במדיניות IAM כדי לקבוע למי יש גישה לתצוגות יומנים. מדיניות IAM יכולה להתקיים ברמת המשאב, הפרויקט, התיקייה והארגון. ב-Cloud Logging, אפשר ליצור מדיניות IAM לכל תצוגת יומן. כדי לקבוע אם לחשבון משתמש יש הרשאה לבצע פעולה, מערכת IAM מעריכה את כל כללי המדיניות הרלוונטיים, וההערכה הראשונה מתבצעת ברמת המשאב.

לישויות מורשות עם התפקיד roles/logging.viewAccessor בCloud de Confiance פרויקט יש גישה לתצוגות וליומנים בכל קטגוריה ביומן בפרויקט.

כדי לתת לחשבון ראשי גישה רק לתצוגת יומן ספציפית, אפשר לבצע אחת מהפעולות הבאות:

  • יוצרים מדיניות IAM לתצוגת היומן, ואז מוסיפים קישור IAM למדיניות הזו שמעניק לחשבון הראשי גישה לתצוגת היומן.

    אם אתם יוצרים מספרים גדולים של תצוגות יומן, מומלץ להשתמש בגישה הזו.

  • נותנים לחשבון המשתמש את תפקיד ה-IAM‏ roles/logging.viewAccessor בפרויקט שמכיל את תצוגת היומן, אבל מצרפים תנאי IAM כדי להגביל את ההרשאה לתצוגת היומן הספציפית. אם לא מציינים את התנאי, נותנים לחשבון המשתמש גישה לכל תצוגות היומן. יש מגבלה של 20 קישורי תפקידים בקובץ המדיניות של פרויקט Cloud de Confiance שכוללים את אותו התפקיד ואותו חשבון משתמש, אבל עם ביטויי תנאי שונים.

מידע נוסף זמין בסעיפים הבאים במסמך הזה:

תצוגות של יומנים שנוצרו באופן אוטומטי

ב-Cloud Logging נוצרת באופן אוטומטי תצוגה מסוג _AllLogs לכל קטגוריה ביומן, ותצוגה מסוג _Default לקטגוריה ביומן _Default:

  • _AllLogs הרשאת צפייה: אפשר לצפות בכל היומנים בקטגוריה ביומן.
  • _Default הרשאת צפייה: אפשר לצפות בכל יומני הביקורת שאינם Data Access בקטגוריית היומנים.

אי אפשר לשנות תצוגות שנוצרות באופן אוטומטי על ידי Cloud Logging, אבל אפשר למחוק את התצוגה _AllLogs.

מסננים לתצוגות של יומנים

כל תצוגת יומן מכילה מסנן שקובע אילו רשומות יומן יוצגו בתצוגה. כדי לכתוב מסננים, צריך להשתמש בשפת השאילתות של Logging.

בתצוגת היומן יכול להיות מסנן בסיסי או מסנן גמיש:

  • מסנן בסיסי משתמש בקבוצה מוגבלת מאוד של פקודות בשפת השאילתות של Logging. ברוב המקרים, הפקודות האלה מספיקות.

  • מסנן גמיש מספק תמיכה בפקודות ובאופרטורים נוספים. עם זאת, השימוש בקבוצת הפקודות המורחבת גורם להשבתת התפריטים All resources ו-All log names ב-Logs Explorer.

מסנן בסיסי

מסנן בסיסי יכול להכיל את הרכיבים הבאים:

  • מקור נתונים שמשתמש בפונקציה source. הפונקציה source מחזירה רשומות ביומן ממשאב מסוים בהיררכיה של הארגונים, התיקיות והפרויקטים Cloud de Confiance .

  • מזהה יומן באמצעות הפונקציה log_id. הפונקציה log_id מחזירה רשומות ביומן שתואמות לארגומנט LOG_ID שצוין בשדה logName.

  • ANDפסוקיות מצורפות.

  • סוג משאב תקין באמצעות השוואה resource.type= FIELD_NAME.

אפשר להחיל את אופרטור השלילה על מקור נתונים, על מזהה יומן או על סוג משאב. אי אפשר להחיל את האופרטור הזה על משפט מורכב. לדוגמה, אי אפשר להשתמש בהצהרה מהצורה NOT (A AND B). בנוסף, אי אפשר לכלול אופרטורים לוגיים OR במסננים של תצוגת היומן.

פרטים על תחביר הסינון זמינים במאמר בנושא השוואות.

מסנן גמיש

מסנן גמיש יכול להכיל את הרכיבים הבאים:

  • מקור נתונים שמשתמש בפונקציה source. הפונקציה source מחזירה רשומות ביומן ממשאב מסוים בהיררכיה של הארגונים, התיקיות והפרויקטים Cloud de Confiance .

  • מזהה יומן באמצעות הפונקציה log_id. הפונקציה log_id מחזירה רשומות ביומן שתואמות לארגומנט LOG_ID שצוין בשדה logName.

  • ANDפסוקיות מצורפות.

  • פסוקיות OR שמופרדות על ידי 'או'.

  • שלילה NOT של הצהרות שחלות על מקור הנתונים, על מזהה היומן או על שדות שמשווים ערכים. אי אפשר להחיל את האופרטור הזה על משפט מורכב.

המסננים יכולים גם להשוות את הערכים הבאים:

  • סוגי המשאבים
  • תוויות משאבים
  • תוויות
  • תוויות של מרכז האפליקציות

אפשר להשתמש בכל אופרטור השוואה שנתמך בשפת השאילתות של Logging. לדוגמה, אפשר להשתמש באחד מהאופרטורים הבאים:

=           -- equal
!=          -- not equal
> < >= <=   -- numeric ordering
:           -- "has" matches any substring in the log entry field
=~          -- regular expression search for a pattern
!~          -- regular expression search not for a pattern

פרטים על תחביר הסינון זמינים במאמר בנושא השוואות.

דוגמאות למסננים

בקטע הזה מופיעות דוגמאות למסננים של תצוגות יומנים.

דוגמה: מסנן עם כמה הצהרות

המסנן הבא ממחיש את המבנה של מסנן עם כמה הצהרות. ההצהרות הנפרדות מחוברות באמצעות אופרטורים לוגיים של AND. המסנן הזה כולל רק רשומות ביומן של Compute Engine stdoutמפרויקט Cloud de Confiance בשם myproject:

source("projects/myproject") AND
resource.type = "gce_instance" AND
log_id("stdout")

דוגמה: מסנן עם כמה הצהרות עם פסוקיות נפרדות

בדוגמאות הבאות אפשר לראות איך משתמשים בפסוקית OR של הפרדה. בדוגמה, סעיף OR בוחר רשומות ביומן שנכתבו מפרויקט Cloud de Confiance בשם myproject, והרשומות האלה נכתבו על ידי App Engine או על ידי Google Kubernetes Engine:

source("projects/myproject") AND
(resource.type="gae_app" OR resource.type="gke_cluster")

דוגמה: סינון לפי תווית משאב

מסנן ההצהרה הבא כולל רק רשומות ביומן עם container_name של mycontainer:

resource.labels.container_name="mycontainer"

דוגמה: סינון לפי תווית

מסנן ההצהרה הבא כולל רק רשומות ביומן שבהן התווית test שהוגדרה על ידי המשתמש היא FALSE:

labels.test="FALSE"

דוגמה: סינון לפי תווית של מרכז האפליקציות

המסנן הבא כולל רק את הרשומות ביומן שבהן application.location של מרכז האפליקציות מופיע כ-global:

apphub.application.location="global"

דוגמה: החרגה של רשומות ביומן באמצעות אופרטור שלילה

אפשר גם להחיל את אופרטור השלילה על שדות סינון נתמכים. לדוגמה, המסנן הבא מוציא את רשומות היומן של Compute Engine מתצוגת היומן:

NOT resource.type = "gce_instance"

אי אפשר להחיל את אופרטור השלילה על משפט מורכב. לדוגמה, לא ניתן להשתמש בהצהרה מהצורה NOT (A AND B).

לפני שמתחילים

לפני שיוצרים או מעדכנים תצוגת יומן, צריך לבצע את השלבים הבאים:

  1. אם עדיין לא עשיתם זאת, צרו מאגר ליומנים בפרויקט המתאים Cloud de Confiance , שבו תרצו להגדיר תצוגת יומן בהתאמה אישית.

  2. כדי לקבל את ההרשאות שדרושות ליצירה ולניהול של תצוגות יומן ולהענקת גישה לתצוגות יומן, צריך לבקש מהאדמין להקצות לכם את תפקידי ה-IAM הבאים בפרויקט:

    להסבר על מתן תפקידים, ראו איך מנהלים את הגישה ברמת הפרויקט, התיקייה והארגון.

    יכול להיות שאפשר לקבל את ההרשאות הנדרשות גם באמצעות תפקידים בהתאמה אישית או תפקידים מוגדרים מראש.

  3. צריך לבחור את הכרטיסייה הרלוונטית לאופן שבו תכננתם להשתמש בדוגמאות בדף הזה:

    המסוף

    כשמשתמשים במסוף Cloud de Confiance כדי לגשת לשירותים ולממשקי ה-API, לא צריך להגדיר אימות. Cloud de Confiance by S3NS

    gcloud

    התקינו את ה-CLI של Google Cloud ואז היכנסו ל-CLI של gcloud באמצעות הזהות המאוחדת שלכם. אחרי שנכנסתם לחשבון, אתחלו את ה-CLI של Google Cloud באמצעות הפקודה הבאה: 

    gcloud init

    Terraform

    כדי להשתמש בסביבת פיתוח מקומית בדוגמאות של Terraform שבדף הזה, מתקינים ומפעילים את ה-CLI של gcloud, ואז מגדירים את Application Default Credentials באמצעות פרטי הכניסה של המשתמש.

    1. התקינו את ה-CLI של Google Cloud.

    2. הגדירו שה-CLI של gcloud ישתמש בזהות המאוחדת שלכם.

      איך נכנסים ל-CLI של gcloud באמצעות הזהות המאוחדת?

    3. יוצרים פרטי כניסה לאימות מקומי עבור חשבון המשתמש: 

      gcloud auth application-default login

      אם מוחזרת שגיאת אימות ואתם משתמשים בספק זהויות חיצוני (IdP), ודאו ש נכנסתם ל-CLI של gcloud באמצעות המאגר המאוחד לניהול זהויות.

    למידע נוסף, ראו הגדרת ADC לסביבת פיתוח מקומית במאמרי העזרה בנושא אימות Cloud de Confiance .

  4. קובעים אילו יומנים רוצים לכלול בתצוגה. משתמשים במידע הזה כדי לציין את המסנן של תצוגת היומן.

  5. קובעים למי צריכה להיות גישה לתצוגת היומן, ומחליטים אם רוצים להוסיף קישורים למדיניות IAM של תצוגת היומן או של Cloud de Confiance הפרויקט. מידע נוסף זמין במאמר שליטה בגישה לתצוגת יומן.

יצירת תצוגת יומן

אפשר ליצור עד 30 תצוגות של יומנים לכל קטגוריה ביומן.

המסוף

כדי ליצור תצוגת יומן:

  1. נכנסים לדף Logs Storage במסוף Cloud de Confiance :

    כניסה אל Logs Storage

    אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שכותרת המשנה שלה היא Logging.

  2. בוחרים את הפרויקט, התיקייה או הארגון שבהם מאוחסנת קטגוריה ביומן.
  3. בחלונית Log buckets, בוחרים את השם של קטגוריית היומנים שרוצים ליצור עבורה תצוגת יומנים.
  4. בדף הפרטים של קטגוריה ביומן, עוברים לחלונית Log views ולוחצים על Create log view.

  5. בדף Define log view, מבצעים את הפעולות הבאות:

    1. מזינים שם לתצוגת היומן. אי אפשר לשנות את השם הזה אחרי שיוצרים את תצוגת היומן. השם מוגבל ל-100 תווים ויכול לכלול רק אותיות, ספרות, קווים תחתונים ומקפים.
    2. מזינים תיאור לתצוגת היומן.
    3. בשדה Build filter, מזינים ביטוי שקובע אילו רשומות ביומן בקטגוריה ביומן ייכללו בתצוגת היומן. מידע על המבנה של השדה הזה זמין בקטע מסנן תצוגת היומן במסמך הזה.

  6. אופציונלי: כדי להוסיף קישור תפקיד למשאב של תצוגת היומן:

    1. לוחצים על המשך ועוברים לדף הגדרת הרשאות.
    2. לוחצים על Grant access.
    3. בקטע Add principals, מרחיבים את התפריט New principals ובוחרים את העיקרון.
    4. בקטע Assign roles, בוחרים בתפקיד Logs View Accessor.
    5. לוחצים על Save.

  7. לוחצים על שמירת התצוגה.

  8. אם לא הענקתם גישה לישויות הראשיות לתצוגת היומן כחלק מתהליך היצירה, צריך לבצע את השלבים שבקטע הבא.

gcloud

כדי ליצור תצוגת יומן:

  1. מריצים את הפקודה gcloud logging views create.

    לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

    • LOG_VIEW_ID: המזהה של תצוגת היומן, שמוגבל ל-100 תווים ויכול לכלול רק אותיות, ספרות, קווים תחתונים ומקפים.
    • BUCKET_NAME: השם של קטגוריה ביומן.
    • LOCATION: המיקום של קטגוריה ביומן.
    • FILTER: מסנן שמגדיר את תצוגת היומן. אם לא מציינים ערך, תצוגת היומן כוללת את כל היומנים. לדוגמה, כדי לסנן לפי יומנים של מכונות וירטואליות ב-Compute Engine, מזינים את הערך "resource.type=gce_instance".
    • DESCRIPTION: תיאור של תצוגת היומן. לדוגמה, אפשר להזין את הערך הבא לתיאור "Compute logs".
    • PROJECT_ID: מזהה הפרויקט. כדי ליצור תצוגת יומן בתיקייה או בארגון, מחליפים את --project ב---folder או ב---organization.

    מריצים את הפקודה gcloud logging views create:

    ‫Linux,‏ macOS או Cloud Shell

    gcloud logging views create LOG_VIEW_ID --bucket=BUCKET_NAME \
 --location=LOCATION --log-filter=FILTER --description=DESCRIPTION \
 --project=PROJECT_ID

    ‏Windows (PowerShell)

    gcloud logging views create LOG_VIEW_ID --bucket=BUCKET_NAME `
 --location=LOCATION --log-filter=FILTER --description=DESCRIPTION `
 --project=PROJECT_ID

    Windows‏ (cmd.exe)

    gcloud logging views create LOG_VIEW_ID --bucket=BUCKET_NAME ^
 --location=LOCATION --log-filter=FILTER --description=DESCRIPTION ^
 --project=PROJECT_ID

    הפקודה הזו לא מספקת תגובה. כדי לאשר את השינויים, אפשר להריץ את הפקודה gcloud logging views list.

  2. נותנים לחשבונות משתמש גישה לתצוגת היומן. בקטע הבא מוסבר על השלבים האלה.

Terraform

כדי ללמוד איך להחיל הגדרות ב-Terraform או להסיר אותן, ראו פקודות בסיסיות ב-Terraform. מידע נוסף מופיע במאמרי העזרה על ספק Terraform.

כדי ליצור תצוגת יומן בפרויקט, בתיקייה או בארגון באמצעות Terraform:

  1. משתמשים במשאב Terraform‏ google_logging_log_view.

    בפקודה, מגדירים את השדות הבאים:

    • name: הגדרה של שם מלא של תצוגת היומן. לדוגמה, לגבי פרויקטים, הפורמט של השדה הזה הוא:

      "projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/view/LOG_VIEW_ID"

      בביטוי הקודם, LOCATION הוא המיקום של קטגוריית היומן.

    • bucket: מגדירים את השם המלא של קטגוריה ביומן. לדוגמה, השדה הזה יכול להיות:

      "projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME"

    • filter: המסנן שמתאר אילו רשומות ביומן נכללות בתצוגת היומן.

    • description: תיאור קצר.

  2. נותנים לחשבונות משתמש גישה לתצוגת היומן. בקטע הבא מוסבר על השלבים האלה.

מתן גישה לתצוגת יומן

כדי להגביל את הגישה של ישות מורשית לתצוגת יומן ספציפית בקטגוריה ביומן שהוגדרה על ידי המשתמש, אפשר להשתמש באחת משתי הגישות הבאות:

כשיוצרים מספר גדול של תצוגות יומן, מומלץ לשלוט בגישה באמצעות קובץ מדיניות IAM של תצוגת היומן.

תצוגת יומן: הוספת קישורי תפקידים

בקטע הזה מוסבר איך להשתמש בקובץ מדיניות IAM לתצוגת יומן כדי לקבוע למי יש גישה לרשומות ביומן בתצוגת היומן הזו. כשמשתמשים בגישה הזו, מוסיפים קישור לקובץ המדיניות של תצוגת היומן. הקישור מעניק לחשבון המשתמש שצוין גישה לתצוגת היומן.

בקטע הזה מוסבר גם איך לפרט את קישור התפקיד שמופיע בקובץ מדיניות ה-IAM של תצוגת יומן.

המסוף

כדי לעדכן את קובץ מדיניות ה-IAM של תצוגת יומן:

  1. נכנסים לדף Logs Storage במסוף Cloud de Confiance :

    כניסה אל Logs Storage

    אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שכותרת המשנה שלה היא Logging.

  2. בוחרים את הפרויקט, התיקייה או הארגון שבהם מאוחסנת קטגוריה ביומן.
  3. בחלונית Log buckets, בוחרים את השם של קטגוריית היומנים שמארחת את תצוגת היומנים.
  4. בדף הפרטים של קטגוריה ביומן, עוברים לחלונית Log views.

  5. בתצוגת היומן, לוחצים על פעולות בשורה של קובץ מדיניות IAM שרוצים לשנות, ואז בוחרים באפשרות שינוי הרשאות.

    נפתח תפריט נשלף עם ההרשאות שמשויכות לתצוגת היומן.

  6. בתפריט הנפתח של ההרשאות, לוחצים על Add principal.

  7. בקטע Add principals, מרחיבים את התפריט New principals ובוחרים את העיקרון.

  8. בקטע Assign roles, בוחרים בתפקיד Logs View Accessor.

  9. לוחצים על Save.

    התפריט הנפתח של ההרשאות מתעדכן עם ההרשאות החדשות.

    • בקטע בעל הרשאת גישה לתצוגת יומנים (N) מופיעה רשימה של חשבונות המשתמשים שיש להם הקצאות של התפקיד 'בעל הרשאת גישה לתצוגת יומנים' ברמת הפרויקט. לחשבונות המשתמשים האלה יש גישה לכל תצוגות היומן בפרויקט.
    • בקטעים עם התווית Logs View Accessor condition:Condition-specific descriptive text (N) מפורטים חשבונות המשתמשים שקיבלו הרשאות מותנות ברמת הפרויקט לתפקיד Logs View Accessor. למשתמשים האלה יש גישה רק לתצוגת היומן שצוינה בתנאי.
    • בקטע עם התווית Logs View Accessor condition:abcde (N) מפורטים החשבונות הראשיים שיש להם הרשאות ברמת הצגת היומנים.

    בצילום המסך הבא מוצג תפריט נפתח של הרשאות, שבו לשני חשבונות משתמשים יש הרשאות תפקיד ברמת הפרויקט, שמזוהות על ידי סמל הפרויקט, , ולחשבון משתמש אחד יש הרשאה ברמת הצפייה ביומן:

    איור של חלונית ההרשאות הנפתחת.

  10. כדי לסגור את התפריט הנפתח, לוחצים על X.

gcloud

כדי לעדכן את קובץ מדיניות ה-IAM של תצוגת יומן:

  1. מריצים את הפקודה gcloud logging views add-iam-policy-binding.

    לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

    • LOG_VIEW_ID: המזהה של תצוגת היומן, שמוגבל ל-100 תווים ויכול לכלול רק אותיות, ספרות, קווים תחתונים ומקפים.
    • PRINCIPAL: מזהה של חשבון המשתמש שרוצים להקצות לו את התפקיד. בדרך כלל, מזהי החשבונות הראשיים מופיעים בפורמט הבא: PRINCIPAL-TYPE:ID. לדוגמה, principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com. רשימה מלאה של הפורמטים האפשריים של PRINCIPAL מופיעה במאמר מזהים של חשבונות משתמשים.
    • BUCKET_NAME: השם של קטגוריה ביומן.
    • LOCATION: המיקום של קטגוריה ביומן.
    • PROJECT_ID: מזהה הפרויקט. במקרה הצורך, מחליפים את --project ב---folder או ב---organization.

    מריצים את הפקודה gcloud logging views add-iam-policy-binding:

    ‫Linux,‏ macOS או Cloud Shell

    gcloud logging views add-iam-policy-binding LOG_VIEW_ID \
  --member=PRINCIPAL --role='roles/logging.viewAccessor' \
  --bucket=BUCKET_NAME --location=LOCATION \
  --project=PROJECT_ID

    ‏Windows (PowerShell)

    gcloud logging views add-iam-policy-binding LOG_VIEW_ID `
  --member=PRINCIPAL --role='roles/logging.viewAccessor' `
  --bucket=BUCKET_NAME --location=LOCATION `
  --project=PROJECT_ID

    ‏Windows ‏(cmd.exe)

    gcloud logging views add-iam-policy-binding LOG_VIEW_ID ^
  --member=PRINCIPAL --role='roles/logging.viewAccessor' ^
  --bucket=BUCKET_NAME --location=LOCATION ^
  --project=PROJECT_ID

    בדוגמה הבאה מוצגת התגובה כשמוסיפים קשירה יחידה: 

    Updated IAM policy for logging view [projects/PROJECT_ID/locations/global/buckets/BUCKET_NAME/views/LOG_VIEW_ID].
bindings:
- members:
  - PRINCIPAL
  role: roles/logging.viewAccessor
etag: BwYXfSd9-Gw=
version: 1

  2. כדי לוודא שהעדכון בוצע, מריצים את הפקודה gcloud logging views get-iam-policy:

    לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

    • LOG_VIEW_ID: המזהה של תצוגת היומן, שמוגבל ל-100 תווים ויכול לכלול רק אותיות, ספרות, קווים תחתונים ומקפים.
    • BUCKET_NAME: השם של קטגוריה ביומן.
    • LOCATION: המיקום של קטגוריה ביומן.
    • PROJECT_ID: מזהה הפרויקט. במקרה הצורך, מחליפים את --project ב---folder או ב---organization.

    מריצים את הפקודה gcloud logging views get-iam-policy:

    ‫Linux,‏ macOS או Cloud Shell

    gcloud logging views get-iam-policy LOG_VIEW_ID \
 --bucket=BUCKET_NAME --location=LOCATION \
 --project=PROJECT_ID

    ‏Windows (PowerShell)

    gcloud logging views get-iam-policy LOG_VIEW_ID `
 --bucket=BUCKET_NAME --location=LOCATION `
 --project=PROJECT_ID

    Windows‏ (cmd.exe)

    gcloud logging views get-iam-policy LOG_VIEW_ID ^
 --bucket=BUCKET_NAME --location=LOCATION ^
 --project=PROJECT_ID

    אם תצוגת היומן לא מכילה אף קשירה, התגובה תכיל רק את השדה etag. בדוגמה הבאה מוצגת התגובה כשבתצוגת היומן יש קישור יחיד: 

    bindings:
- members:
  - PRINCIPAL
  role: roles/logging.viewAccessor
etag: BwYXfSd9-Gw=
version: 1

Terraform

כדי ללמוד איך להחיל הגדרות ב-Terraform או להסיר אותן, ראו פקודות בסיסיות ב-Terraform. מידע נוסף מופיע במאמרי העזרה על ספק Terraform.

כדי להקצות שיוכים של IAM לתצוגת יומן באמצעות Terraform, אפשר להשתמש בכמה משאבים שונים:

  • google_logging_log_view_iam_policy
  • google_logging_log_view_iam_binding
  • google_logging_log_view_iam_member

מידע נוסף מופיע במאמר מדיניות IAM עבור LogView ב-Cloud Logging.

כדי להציג רשימה של שיוכים של IAM לתצוגות של יומנים באמצעות Terraform, משתמשים במקור הנתונים google_logging_log_view_iam_policy.

‫Cloud de Confiance project: הוספת קישורי תפקידים

בקטע הזה מוסבר איך להוסיף קישור תפקיד ל Cloud de Confiance פרויקט ואיך להציג את הקישורים שמצורפים לפרויקט. כשמשתמשים בגישה הזו, כדי להגביל את הגישה של חשבון משתמש לרשומות ביומן שמאוחסנות בתצוגת יומן ספציפית, צריך להוסיף תנאי IAM למתן ההרשאה.

המסוף

כדי להוסיף קישור תפקיד לקובץ מדיניות IAM של פרויקטCloud de Confiance , בפרויקט שבו יצרתם את קטגוריית היומן, מבצעים את הפעולות הבאות:

  1. נכנסים לדף IAM במסוף Cloud de Confiance :

    כניסה לדף IAM

    אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שמופיע בה הכותרת המשנית IAM & Admin.

    בדף IAM מפורטים כל חשבונות המשתמשים, תפקידי ה-IAM שלהם וכל התנאים שמשויכים לתפקידים האלה ברמת הפרויקט. בדף הזה לא מוצגים קשרי תפקידים שמצורפים לקובץ המדיניות של תצוגת יומן.

  2. לוחצים על Grant access.

  3. בשדה New principals, מוסיפים את חשבון האימייל של המשתמש.

  4. בתפריט הנפתח Select a role, בוחרים באפשרות Logs View Accessor.

    התפקיד הזה מעניק למשתמשים הרשאת קריאה לכל התצוגות. כדי להגביל את הגישה של המשתמשים לתצוגה ספציפית, מוסיפים תנאי שמבוסס על שם המשאב.

    1. לוחצים על הוספת תנאי IAM.

    2. מזינים שם ותיאור לתנאי.

    3. בתפריט הנפתח Condition type בוחרים באפשרות Resource > Name.

    4. בתפריט הנפתח Operator, בוחרים באפשרות is.

    5. בשדה ערך, מזינים את המזהה של תצוגת היומן, כולל הנתיב המלא לתצוגה.

      לדוגמה:

      projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/LOG_VIEW_ID

    6. לוחצים על שמירה כדי להוסיף את התנאי.

  5. לוחצים על שמירה כדי להגדיר את ההרשאות.

gcloud

כדי להוסיף קישור תפקיד לקובץ מדיניות IAM של פרויקטCloud de Confiance :

  1. יוצרים קובץ JSON או YAML עם התנאי.

    לדוגמה, אפשר ליצור קובץ בשם condition.yaml עם התוכן הבא:

    expression: "resource.name == \"projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/LOG_VIEW_ID\""
title: "My title"
description: "My description"

  2. אופציונלי: כדי לוודא שהפורמט של קובץ ה-JSON או ה-YAML תקין, מריצים את הפקודה הבאה:

    gcloud alpha iam policies lint-condition --condition-from-file=condition.yaml

  3. מעדכנים את מדיניות ה-IAM בפרויקט על ידי קריאה לשיטה gcloud projects add-iam-policy-binding. Cloud de Confiance

    לפני שמשתמשים בפקודה הבאה, צריך להחליף את המשתנים הבאים בערכים:

    • PROJECT_ID: מזהה הפרויקט.
    • PRINCIPAL: מזהה של חשבון המשתמש שרוצים להקצות לו את התפקיד. בדרך כלל, מזהי החשבונות הראשיים מופיעים בפורמט הבא: PRINCIPAL-TYPE:ID. לדוגמה, principal://iam.googleapis.com/locations/global/workforcePools/my-pool/subject/my-user@example.com. רשימה מלאה של הפורמטים האפשריים של PRINCIPAL מופיעה במאמר מזהים של חשבונות משתמשים.

    מריצים את הפקודה gcloud projects add-iam-policy-binding:

    gcloud projects add-iam-policy-binding PROJECT_ID --member=PRINCIPAL --role='roles/logging.viewAccessor' --condition-from-file=condition.yaml

    התשובה לפקודה הקודמת כוללת את כל הקשרים בין תפקידים.

    - condition:
    description: My description
    expression: resource.name == "projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/LOG_VIEW_ID"
    title: My title
  members:
  - PRINCIPAL
  role: roles/logging.viewAccessor

  4. אופציונלי: כדי להציג את הקשרים בין התפקידים בפרויקט Cloud de Confiance , משתמשים בפקודה gcloud projects get-iam-policy:

    gcloud projects get-iam-policy PROJECT_ID

    לפני שמשתמשים בפקודה הבאה, צריך להחליף את המשתנים הבאים בערכים:

    • PROJECT_ID: מזהה הפרויקט.

    התשובה לפקודה הקודמת כוללת את כל הקשרים בין תפקידים.

    - condition:
    description: My description
    expression: resource.name == "projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/LOG_VIEW_ID"
    title: My title
  members:
  - PRINCIPAL
  role: roles/logging.viewAccessor

Terraform

כדי ללמוד איך להחיל הגדרות ב-Terraform או להסיר אותן, ראו פקודות בסיסיות ב-Terraform. מידע נוסף מופיע במאמרי העזרה על ספק Terraform.

כדי להקצות שיוכים של IAM לפרויקטים באמצעות Terraform, אפשר להשתמש בכמה משאבים שונים:

  • google_project_iam_policy
  • google_project_iam_binding
  • google_project_iam_member

מידע נוסף זמין במאמר בנושא מדיניות IAM לפרויקטים.

כדי להציג רשימה של שיוכי IAM לפרויקטים באמצעות Terraform, משתמשים במקור הנתונים google_project_iam_policy.

הצגת הרשימה של כל קישורי התפקידים בתצוגת יומן

בדף IAM במסוף Cloud de Confiance מפורטים הקישורים בין תפקידים ברמת הפרויקט. בדף הזה לא מופיעים תפקידים שמשויכים למשאבים כמו תצוגות יומן. בקטע הזה מוסבר איך אפשר לראות את כל קישורי התפקידים לתצוגת יומן ספציפית.

כדי לראות את ההרשאות של IAM שמצורפות לתצוגת יומן, מבצעים את השלבים הבאים.

  1. נכנסים לדף Logs Storage במסוף Cloud de Confiance :

    כניסה אל Logs Storage

    אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שכותרת המשנה שלה היא Logging.

  2. בוחרים את הפרויקט, התיקייה או הארגון שבהם מאוחסנת קטגוריה ביומן.
  3. בחלונית Log buckets, בוחרים את השם של קטגוריית היומנים שמארחת את תצוגת היומנים.
  4. בדף הפרטים של קטגוריה ביומן, עוברים לחלונית Log views.

  5. בתצוגת היומן שרוצים לראות את הקישורים שלה לתפקידים, לוחצים על פעולות ואז בוחרים באפשרות שינוי הרשאות.

    בתפריט הנפתח של ההרשאות מוצגות כל ההרשאות שמשויכות לתצוגת היומן:

    • בקטע בעל הרשאת גישה לתצוגת יומנים (N) מופיעה רשימה של חשבונות המשתמשים שיש להם הקצאות של התפקיד 'בעל הרשאת גישה לתצוגת יומנים' ברמת הפרויקט. לחשבונות המשתמשים האלה יש גישה לכל תצוגות היומן בפרויקט.
    • בקטעים עם התווית Logs View Accessor condition:Condition-specific descriptive text (N) מפורטים חשבונות המשתמשים שקיבלו הרשאות מותנות ברמת הפרויקט לתפקיד Logs View Accessor. למשתמשים האלה יש גישה רק לתצוגת היומן שצוינה בתנאי.
    • בקטע עם התווית Logs View Accessor condition:abcde (N) מפורטים החשבונות הראשיים שיש להם הרשאות ברמת הצגת היומנים.

    בצילום המסך הבא מוצג תפריט נפתח של הרשאות, שבו לשני חשבונות משתמשים יש הרשאות תפקיד ברמת הפרויקט, שמזוהות על ידי סמל הפרויקט, , ולחשבון משתמש אחד יש הרשאה ברמת הצפייה ביומן:

    איור של חלונית ההרשאות הנפתחת.

  6. כדי לסגור את התפריט הנפתח, לוחצים על X.

הצגת תצוגות של יומנים בקטגוריית יומנים

המסוף

  1. נכנסים לדף Logs Storage במסוף Cloud de Confiance :

    כניסה אל Logs Storage

    אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שכותרת המשנה שלה היא Logging.

  2. בוחרים את הפרויקט, התיקייה או הארגון שבהם מאוחסנת קטגוריה ביומן.

  3. בחלונית Log buckets, בוחרים את השם של קטגוריית היומנים שמארחת את תצוגת היומנים.

    נפתח דף הפרטים של קטגוריה ביומן. בחלונית Log views (תצוגות יומן) מפורטות תצוגות היומן בקטגוריה ביומן.

gcloud

כדי להציג את תצוגות היומן שנוצרו עבור קטגוריית יומנים, משתמשים בפקודה gcloud logging views list.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

  • BUCKET_NAME: השם של קטגוריה ביומן.
  • LOCATION: המיקום של קטגוריה ביומן.
  • PROJECT_ID: מזהה הפרויקט. במקרה הצורך, מחליפים את --project ב---folder או ב---organization.

מריצים את הפקודה gcloud logging views list:

‫Linux,‏ macOS או Cloud Shell

gcloud logging views list \
 --bucket=BUCKET_NAME --location=LOCATION \
 --project=PROJECT_ID

‏Windows (PowerShell)

gcloud logging views list `
 --bucket=BUCKET_NAME --location=LOCATION `
 --project=PROJECT_ID

Windows‏ (cmd.exe)

gcloud logging views list ^
 --bucket=BUCKET_NAME --location=LOCATION ^
 --project=PROJECT_ID

נתוני התגובה הם רשימה של תצוגות יומן. בכל תצוגת יומן מוצג המסנן יחד עם תאריכי היצירה והעדכון האחרון. אם התאריכים של היצירה והעדכון ריקים, התצוגה של היומן נוצרה כשהפרויקט נוצר. Cloud de Confiance בדוגמת הפלט הבאה אפשר לראות שיש שני מזהי תצוגות מפורטות, _AllLogs ו-compute, בקטגוריית היומנים שנשלחה אליה השאילתה: 

VIEW_ID: _AllLogs
FILTER:
CREATE_TIME:
UPDATE_TIME:

VIEW_ID: compute
FILTER: resource.type="gce_instance"
CREATE_TIME: 2024-02-20T17:41:17.405162921Z
UPDATE_TIME: 2024-02-20T17:41:17.405162921Z

Terraform

אפשר להשתמש ב-Terraform כדי ליצור ולשנות תצוגת יומן. עם זאת, אי אפשר להשתמש ב-Terraform כדי להציג רשימה של תצוגות היומן.

עדכון תצוגת יומן

המסוף

  1. נכנסים לדף Logs Storage במסוף Cloud de Confiance :

    כניסה אל Logs Storage

    אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שכותרת המשנה שלה היא Logging.

  2. בוחרים את הפרויקט, התיקייה או הארגון שבהם מאוחסנת קטגוריה ביומן.
  3. בחלונית Log buckets, בוחרים את השם של קטגוריית היומנים שמארחת את תצוגת היומנים.
  4. בדף הפרטים של קטגוריה ביומן, עוברים לחלונית Log views.

  5. בתצוגת היומן שאת הפרטים שלה רוצים לעדכן, לוחצים על עוד ואז על עריכת התצוגה.

    אפשר לערוך את התיאור ואת המסנן של תצוגת היומן.

  6. כשמסיימים לבצע את השינויים, לוחצים על שמירת התצוגה.

gcloud

כדי לעדכן או לשנות תצוגת יומן, משתמשים בפקודה gcloud logging views update. אם אתם לא יודעים את מזהה התצוגה המפורטת, כדאי לעיין במאמר בנושא הצגת רשימה של תצוגות מפורטות של יומנים.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

  • LOG_VIEW_ID: המזהה של תצוגת היומן, שמוגבל ל-100 תווים ויכול לכלול רק אותיות, ספרות, קווים תחתונים ומקפים.
  • BUCKET_NAME: השם של קטגוריה ביומן.
  • LOCATION: המיקום של קטגוריה ביומן.
  • FILTER: מסנן שמגדיר את תצוגת היומן. אם לא מציינים ערך, תצוגת היומן כוללת את כל היומנים. לדוגמה, כדי לסנן לפי יומנים של מכונות וירטואליות ב-Compute Engine, מזינים את הערך "resource.type=gce_instance".
  • DESCRIPTION: תיאור של תצוגת היומן. לדוגמה, אפשר להזין את הערך הבא לתיאור "New description for the log view".
  • PROJECT_ID: מזהה הפרויקט. במקרה הצורך, מחליפים את --project ב---folder או ב---organization.

מריצים את הפקודה gcloud logging views update:

‫Linux,‏ macOS או Cloud Shell

gcloud logging views update LOG_VIEW_ID \
 --bucket=BUCKET_NAME --location=LOCATION \
 --log-filter=FILTER --description=DESCRIPTION \
 --project=PROJECT_ID

‏Windows (PowerShell)

gcloud logging views update LOG_VIEW_ID `
 --bucket=BUCKET_NAME --location=LOCATION `
 --log-filter=FILTER --description=DESCRIPTION `
 --project=PROJECT_ID

Windows‏ (cmd.exe)

gcloud logging views update LOG_VIEW_ID ^
 --bucket=BUCKET_NAME --location=LOCATION ^
 --log-filter=FILTER --description=DESCRIPTION ^
 --project=PROJECT_ID

הפקודה הזו לא מספקת תגובה. כדי לאשר את השינויים, אפשר להריץ את הפקודה gcloud logging views describe.

Terraform

כדי ללמוד איך להחיל הגדרות ב-Terraform או להסיר אותן, ראו פקודות בסיסיות ב-Terraform. מידע נוסף מופיע במאמרי העזרה על ספק Terraform.

כדי לשנות תצוגת יומן בפרויקט, בתיקייה או בארגון באמצעות Terraform, משתמשים במשאב Terraform‏ google_logging_log_view.

מחיקת תצוגת יומן

אם אתם לא צריכים יותר תצוגת יומן שיצרתם, אתם יכולים למחוק אותה. עם זאת, לפני שמוחקים תצוגת יומן, מומלץ לוודא שאין הפניה לתצוגת היומן במשאב אחר, כמו שאילתה שנשמרה.

אי אפשר למחוק את תצוגת היומן _Default בקטגוריה ביומן _Default.

המסוף

  1. נכנסים לדף Logs Storage במסוף Cloud de Confiance :

    כניסה אל Logs Storage

    אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שכותרת המשנה שלה היא Logging.

  2. בוחרים את הפרויקט, התיקייה או הארגון שבהם מאוחסנת קטגוריה ביומן.
  3. בחלונית Log buckets, בוחרים את השם של קטגוריית היומנים שמארחת את תצוגת היומנים.
  4. בדף הפרטים של קטגוריה ביומן, עוברים לחלונית תצוגות יומנים ומסמנים את תיבת הסימון של תצוגת היומנים שרוצים למחוק.
  5. בסרגל הכלים של החלונית Log views, לוחצים על Delete view ומשלימים את תיבת הדו-שיח.

gcloud

כדי למחוק תצוגת יומן:

  1. מומלץ: בודקים את Cloud de Confiance הפרויקט כדי לוודא שלא נעשה שימוש בתצוגת היומן. כדאי לבדוק את הדברים הבאים:

    • שאילתות שמופעלות מהדף Logs Explorer שנשמרו או שותפו.

  2. משתמשים בפקודה gcloud logging views delete. אם אתם לא יודעים את מזהה התצוגה המפורטת, כדאי לעיין במאמר בנושא הצגת רשימה של תצוגות מפורטות של יומנים.

    לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

    • LOG_VIEW_ID: המזהה של תצוגת היומן, שמוגבל ל-100 תווים ויכול לכלול רק אותיות, ספרות, קווים תחתונים ומקפים.
    • BUCKET_NAME: השם של קטגוריה ביומן.
    • LOCATION: המיקום של קטגוריה ביומן.
    • PROJECT_ID: מזהה הפרויקט. במקרה הצורך, מחליפים את --project ב---folder או ב---organization.

    מריצים את הפקודה gcloud logging views delete:

    ‫Linux,‏ macOS או Cloud Shell

    gcloud logging views delete LOG_VIEW_ID \
 --bucket=BUCKET_NAME --location=LOCATION \
 --project=PROJECT_ID

    ‏Windows (PowerShell)

    gcloud logging views delete LOG_VIEW_ID `
 --bucket=BUCKET_NAME --location=LOCATION `
 --project=PROJECT_ID

    Windows‏ (cmd.exe)

    gcloud logging views delete LOG_VIEW_ID ^
 --bucket=BUCKET_NAME --location=LOCATION ^
 --project=PROJECT_ID

    התשובה תאשר את המחיקה. לדוגמה, התגובה הבאה מראה את התגובה למחיקת תצוגת יומן בשם tester: 

    Deleted [tester].

Terraform

כדי ללמוד איך להחיל הגדרות ב-Terraform או להסיר אותן, ראו פקודות בסיסיות ב-Terraform. מידע נוסף מופיע במאמרי העזרה על ספק Terraform.

תיאור של תצוגת יומן

המסוף

  1. נכנסים לדף Logs Storage במסוף Cloud de Confiance :

    כניסה אל Logs Storage

    אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שכותרת המשנה שלה היא Logging.

  2. בחלונית Log buckets, בוחרים את השם של קטגוריית היומנים שמארחת את תצוגת היומנים.
  3. בדף הפרטים של קטגוריה ביומן, עוברים לחלונית Log views.
  4. בתצוגת היומן שאת הפרטים שלה רוצים לראות, לוחצים על More ואז על תצוגת עריכה.
  5. כדי לסגור את תיבת הדו-שיח בלי לשמור שינויים, לוחצים על ביטול.

gcloud

כדי לאחזר מידע מפורט על תצוגת יומן, משתמשים בפקודה gcloud logging views describe. אם אתם לא יודעים את מזהה התצוגה המפורטת, כדאי לעיין במאמר בנושא הצגת רשימה של תצוגות מפורטות של יומנים.

לפני השימוש בנתוני הפקודה הבאים, צריך להחליף את הנתונים הבאים:

  • LOG_VIEW_ID: המזהה של תצוגת היומן, שמוגבל ל-100 תווים ויכול לכלול רק אותיות, ספרות, קווים תחתונים ומקפים.
  • BUCKET_NAME: השם של קטגוריה ביומן.
  • LOCATION: המיקום של קטגוריה ביומן.
  • PROJECT_ID: מזהה הפרויקט. במקרה הצורך, מחליפים את --project ב---folder או ב---organization.

מריצים את הפקודה gcloud logging views describe:

‫Linux,‏ macOS או Cloud Shell

gcloud logging views describe LOG_VIEW_ID \
 --bucket=BUCKET_NAME --location=LOCATION\
 --project=PROJECT_ID

‏Windows (PowerShell)

gcloud logging views describe LOG_VIEW_ID `
 --bucket=BUCKET_NAME --location=LOCATION`
 --project=PROJECT_ID

Windows‏ (cmd.exe)

gcloud logging views describe LOG_VIEW_ID ^
 --bucket=BUCKET_NAME --location=LOCATION^
 --project=PROJECT_ID

התשובה תמיד כוללת את התיאור ואת השם המלא של תצוגת היומן. הוא כולל גם את המסנן, אם שדה המסנן לא ריק. זוהי דוגמה לתשובה: 

createTime: '2024-02-20T17:41:17.405162921Z'
filter: resource.type="gce_instance"
name: projects/my-project/locations/global/buckets/my-bucket/views/compute
updateTime: '2024-02-20T17:41:17.405162921Z'

Terraform

אפשר להשתמש ב-Terraform כדי ליצור ולשנות תצוגת יומן. עם זאת, אי אפשר להשתמש ב-Terraform כדי להציג את הפרטים של תצוגת יומן.

צפייה ביומנים שמשויכים לתצוגת יומן

אפשר להציג את הרשומות ביומן בתצוגת יומן באמצעות Logs Explorer.

כדי לשלוח שאילתה ליומן באמצעות Logs Explorer:

  1. במסוף Cloud de Confiance , נכנסים לדף Logs Explorer:

    כניסה אל Logs Explorer

    אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שכותרת המשנה שלה היא Logging.

  2. בוחרים את המשאבים שרוצים לחפש בהם רשומות ביומן:

    • בסרגל הכלים, כשמוצגת האפשרות Project logs, מרחיבים את התפריט, בוחרים באפשרות Log view ואז בוחרים את תצוגת היומן שרוצים להריץ עליה שאילתה.

    • אם בסרגל הכלים מוצגות אפשרויות כמו 1 log view, מרחיבים את התפריט, בוחרים באפשרות Log view ואז בוחרים את תצוגת היומן או תצוגות היומן שרוצים להריץ עליהן שאילתה.

    • אחרת, בסרגל הכלים מוצג הסמל ושם אוסף תצוגות יומן (log scope), כמו _Default. מרחיבים את התפריט, בוחרים באפשרות Log view ואז בוחרים את תצוגת היומן שרוצים לשלוח לגביה שאילתה.

מידע נוסף זמין במאמר בנושא Logs Explorer.