本文將簡要介紹 Cloud Logging,這是一套即時記錄管理系統,提供儲存、搜尋和分析功能。Cloud Logging 會自動收集 Cloud de Confiance by S3NS 資源的記錄資料。基於法規或安全考量,您可以決定記錄資料的儲存位置。
您也可以使用用戶端程式庫,對應用程式進行檢測,從您編寫的應用程式收集記錄資料。
查詢、查看及分析記錄檔資料
您可以使用 Cloud de Confiance 控制台的「Logs Explorer」頁面,查看及分析記錄資料。這個介面可讓您查看個別記錄項目,以及尋找相關記錄項目。
詳情請參閱「查詢及查看記錄資料」。
儲存及保留記錄檔
您不必設定記錄資料的儲存位置。 根據預設, Cloud de Confiance 專案、帳單帳戶、資料夾和機構資源會自動儲存資源產生的記錄資料。舉例來說,如果 Cloud de Confiance 專案包含 Compute Engine 執行個體,系統就會自動儲存 Compute Engine 產生的記錄資料。
您可以設定記錄儲存空間的許多方面,例如要儲存哪些記錄資料、要捨棄哪些資料,以及記錄資料的儲存位置。詳情請參閱「儲存記錄項目」。
記錄項目會保留一段特定時間,隨後會刪除。您無法為記錄檔 bucket 定義自訂保留期限。詳情請參閱「記錄保留期限」。記錄檔轉送
您可以路由或轉送記錄項目至下列目的地:
Cloud de Confiance 專案
記錄檔值區
- Pub/Sub 主題,可支援第三方整合。
路由傳送記錄資料時,目的地可以與記錄資料的來源資源不同。舉例來說,您可以將一個專案的記錄資料,傳送至儲存在另一個專案中的記錄檔 bucket。
詳情請參閱「路由記錄項目」。
記錄資料類別
記錄類別旨在說明可用的記錄資訊,這些類別並非互斥:
平台記錄項目是由 Cloud de Confiance by S3NS 服務寫入。這些記錄項目有助於偵錯及排解問題,並協助您進一步瞭解所使用的 Cloud de Confiance 服務。
元件記錄項目是由系統上執行的 Cloud de Confiance by S3NS提供軟體元件所產生。舉例來說,GKE 提供軟體元件,使用者可以在自己的虛擬機器或資料中心執行這些元件。這些記錄項目通常用於提供使用者支援。
安全性記錄項目可協助您回答「誰什麼時候在哪裡做了什麼?」:
- Cloud 稽核記錄會提供Cloud de Confiance 資源中的管理活動和存取權資訊。啟用稽核記錄功能後,安全性、稽核和法規遵循實體就能監控 Cloud de Confiance 資料與系統,防範可能的安全漏洞或外部資料濫用情形。如需支援的服務清單,請參閱Cloud de Confiance by S3NS 含有稽核記錄的服務。
- 使用者撰寫的記錄項目是指自訂應用程式和服務寫入的記錄檔。一般來說,這項資料會使用 Cloud Logging API 寫入 Cloud Logging。
存取權控管
您可以使用 Identity and Access Management (IAM) 權限和角色,控管記錄檔 bucket 的存取權。您可以將預先定義的角色授予主體,也可以建立自訂角色。如要進一步瞭解必要權限,請參閱存取控管。