このドキュメントでは、保存、検索、分析機能を備えたリアルタイムのログ管理システムである Cloud Logging の概要について説明します。Cloud Logging は、 Trusted Cloud by S3NS リソースからログデータを自動的に収集します。規制上の理由やセキュリティ上の理由から、ログデータの保存場所を指定できます。
クライアント ライブラリを使用してアプリケーションを計測することで、作成したアプリケーションからログデータを収集することもできます。
ログデータをクエリ、表示、分析する
ログデータを確認して分析するには、 Trusted Cloud コンソールの [ログ エクスプローラ] ページを使用します。このインターフェースは、個々のログエントリを表示し、関連するログエントリを検索できるように設計されています。
詳細については、ログデータのクエリと表示をご覧ください。
ログの保存と保持
ログデータの保存場所を構成する必要はありません。デフォルトでは、 Trusted Cloud プロジェクト、請求先アカウント、フォルダ、組織のリソースは、リソースで生成されたログデータを自動的に保存します。たとえば、 Trusted Cloud プロジェクトに Compute Engine インスタンスが含まれている場合、Compute Engine によって生成されたログデータは自動的に保存されます。
どのログデータを保存するか、どれを破棄するか、どこにログデータを保存するかなど、ログストレージに関するさまざまな側面を構成できます。詳細については、ログエントリを保存するをご覧ください。
ログエントリは一定期間保存された後に削除されます。詳細については、ログの保持期間をご覧ください。
ログ ルーティング
ログエントリは次の宛先にルーティングできます。
Trusted Cloud プロジェクト
ログバケット
- Pub/Sub トピック: サードパーティ製品との統合が可能になります。
ログデータがルーティングされる場合、宛先はログデータの送信元とは異なるリソースに配置できます。たとえば、あるプロジェクトから別のプロジェクトに保存されているログバケットにログデータをルーティングできます。
詳細については、ログエントリをルーティングするをご覧ください。
ログデータのカテゴリ
ログのカテゴリは、利用可能なロギング情報の説明をサポートすることを目的としています。あるカテゴリは、別のカテゴリの一部を含む場合があります。
「プラットフォーム」ログエントリは Trusted Cloud by S3NS サービスによって書き込まれます。これらのログは、問題のデバッグとトラブルシューティングに役立ち、使用中の Trusted Cloud サービスについて理解を深める助けにもなります。
「コンポーネント」ログエントリは、システムで実行される Trusted Cloud by S3NS提供のソフトウェア コンポーネントによって生成されます。たとえば、GKE には、ユーザーが独自の仮想マシンやデータセンターで実行できるソフトウェア コンポーネントがあります。これらのログエントリは、ユーザー サポートによく使用されます。
「セキュリティ」ログエントリは、「誰が、どこで、いつ、何をしたのか」という問いに答えるのに役立ちます。
- Cloud Audit Logs は、Trusted Cloud リソース内での管理アクティビティとアクセスに関する情報を提供します。監査ログを有効にすると、セキュリティ、監査、コンプライアンス エンティティが Trusted Cloud のデータとシステムをモニタリングして、脆弱性や外部データの不正使用の可能性を確認できます。サポートされているサービスの一覧については、監査ログを使用するTrusted Cloud by S3NS サービスをご覧ください。
- 「ユーザー作成」ログエントリは、カスタム アプリケーションやサービスによって書き込まれたログです。通常、このデータは Cloud Logging API を使用して Cloud Logging に書き込まれます。
アクセス制御
Identity and Access Management(IAM)の権限とロールは、ログバケットへのアクセスを制御します。プリンシパルに事前定義ロールを付与することも、カスタムロールを作成することもできます。必要な権限の詳細については、アクセス制御をご覧ください。