本文档简要介绍了 Cloud Logging,这是一个具有存储、搜索和分析功能的实时日志管理系统。Cloud Logging 会自动从 Trusted Cloud by S3NS 资源中收集日志数据。出于法规或安全原因,您可以确定日志数据的存储位置。
您还可以使用客户端库对您编写的应用进行插桩处理,以从这些应用收集日志数据。
查询、查看和分析日志数据
您可以使用 Trusted Cloud 控制台中的 Logs Explorer 页面查看和分析日志数据。此界面旨在让您可以查看各个日志条目以及查找相关日志条目。
如需了解详情,请参阅查询和查看日志数据。
日志存储和保留
您无需配置日志数据的存储位置。默认情况下, Trusted Cloud 项目、结算账号、文件夹和组织资源会自动存储源自相应资源的日志数据。例如,如果您的 Trusted Cloud 项目包含 Compute Engine 实例,则系统会自动存储 Compute Engine 生成的日志数据。
您可以配置日志存储的多个方面,例如存储哪些日志数据、舍弃哪些日志数据以及将日志数据存储在何处。如需了解详情,请参阅存储日志条目。
日志条目会存储指定的时长,然后被删除。如需了解详情,请参阅日志保留期限。
日志路由
您可以将日志条目路由或转发到以下目标位置:
Trusted Cloud 项目
日志存储桶
- Pub/Sub 主题,可提供对第三方集成的支持。
路由日志数据时,目标位置可以与日志数据的来源资源不同。例如,您可以将日志数据从一个项目路由到存储在其他项目中的日志存储桶。
如需了解详情,请参阅路由日志条目。
日志数据类别
日志类别旨在帮助描述可用的日志信息;这些类别并非互斥:
平台日志条目由 Trusted Cloud by S3NS 服务写入。这些日志条目可以帮助您调试和排查问题,让您更好地了解自己所使用的 Trusted Cloud 服务。
组件日志条目由在您系统上运行的 Trusted Cloud by S3NS提供的软件组件生成。例如,GKE 提供了一些软件组件,用户可以在自己的虚拟机或数据中心中运行这些组件。这些日志条目通常用于提供用户支持。
安全日志条目可以帮助您了解“哪些用户何时在何处执行过哪些操作”:
- Cloud Audit Logs 提供的信息可助您了解您的Trusted Cloud 资源中的管理活动和访问行为。启用审核日志有助于安全、审核和合规性实体监控 Trusted Cloud 数据和系统,检查是否存在可能的漏洞或外部数据滥用。如需查看受支持的服务的列表,请参阅具有审核日志的Trusted Cloud by S3NS 服务。
- 用户写入的日志条目是由自定义应用和服务写入的日志。通常,这些数据会使用 Cloud Logging API 写入 Cloud Logging。
访问权限控制
Identity and Access Management (IAM) 权限和角色可控制对日志存储桶的访问权限。您可以向主账号授予预定义角色,也可以创建自定义角色。如需详细了解所需权限,请参阅访问权限控制。