Einführung in Public Cloud Logs

Ziel

Diese Anleitung hilft Ihnen, die Konzepte und die Nutzung von Logs in OVHcloud Public Cloud zu verstehen. Sie erläutert, wie Logs generiert, gesammelt und genutzt werden, und enthält Verweise auf detaillierte Anleitungen, mit denen Sie Logs der einzelnen Public Cloud Services (Compute, Block Storage, Load Balancer usw.) abonnieren können.

Was sind Public Cloud Logs?

Public Cloud Services generieren Logs, die Ihnen helfen, Ihre Cloud-Infrastruktur zu überwachen, Fehler zu beheben und zu analysieren.

Jeder Service kann verschiedene Arten von Logs anbieten, die als kinds bezeichnet werden (z. B. access, audit, error). Diese Logs können je nach Bedarf genutzt und gespeichert werden.

Voraussetzungen

Sie verfügen über ein Public Cloud Projekt in Ihrem OVHcloud Account.
Sie verfügen über einen Logs Data Platform Account.
Sie haben mindestens einen Stream in diesem Account erstellt.
Sie verfügen über mindestens eine Instanz eines mit Public Cloud Logs kompatiblen Produkts (siehe die Liste unten).

Zugang zum OVHcloud Kundencenter

Direktlink:
Navigationspfad: Public Cloud > Wählen Sie Ihr Projekt aus > Wählen Sie einen Service aus > Logs

Anwendungsfälle

Fehlerbehebung von Anwendungen

Public Cloud Logs helfen Ihnen bei der Behebung von Anwendungs- und Infrastrukturproblemen, indem sie Zugriff auf die von Ihren Services generierten Logs bieten. Sie können diese Logs filtern und durchsuchen, um Anomalien und Fehler zu identifizieren, was die Diagnose und Behebung von Problemen effizienter macht. In verteilten Cloud-Architekturen können Logs aus verschiedenen Services miteinander in Beziehung gesetzt werden, um einen vollständigen Überblick über Ihre Umgebung zu erhalten.

Sicherheit und Datenkonformität

Public Cloud Logs helfen Ihnen, Sicherheitsvorfälle zu erkennen, administrative Aktionen nachzuverfolgen und die Einhaltung von Zertifizierungen und gesetzlichen Anforderungen zu unterstützen. Indem sie Operationen und Zugriffsereignisse aufzeichnen, liefern Logs wichtige Nachweise für Audits und Sicherheitsuntersuchungen.

Je nach Service und gewähltem Zielort für die Logs kann der Zugriff auf Logs durch fein abgestufte Berechtigungen eingeschränkt werden. So können Sie steuern, wer bestimmte Logs anzeigen oder verwalten darf, Ihre Sicherheitslage stärken und die allgemeine Datenverwaltung verbessern.

Überwachung der Infrastruktur

Public Cloud Logs liefern wertvolle Einblicke in den Zustand und das Verhalten Ihrer Infrastruktur. Durch die Analyse von Service- und Systemlogs können Sie ungewöhnliche Muster, Fehler oder Performance-Probleme erkennen und reagieren, bevor diese Ihre Workloads oder Benutzer beeinträchtigen.

Abhängig von den Tools und Zielorten, mit denen Sie Ihre Logs nutzen, können Sie Monitoring-Workflows wie Alarme oder Visualisierungen einrichten, um die Aktivität Ihrer Public Cloud Services besser zu verstehen und diese Informationen teamübergreifend zu teilen.

Kompatible Public Cloud Services

Die folgende Tabelle listet die Public Cloud Services auf, die derzeit Logs bereitstellen, und gibt an, wo Sie die entsprechenden Anleitungen zur Aktivierung oder zum Abruf finden. Verfügbarkeit und Funktionsumfang können je nach Service variieren. Diese Liste wird erweitert, sobald neue Services kompatibel werden.

Produktname	Verfügbarkeit	Link zur Anleitung
Public Cloud - Compute	OVHcloud Kundencenter & API	In Kürze verfügbar
Public Cloud - Block Storage	OVHcloud Kundencenter & API	In Kürze verfügbar
Public Cloud - Network	OVHcloud Kundencenter & API	In Kürze verfügbar
Public Cloud - Managed Kubernetes Service	OVHcloud Kundencenter & API	Weiterleitung der Audit-Logs des Managed Kubernetes Service
Public Cloud - Load Balancer	OVHcloud Kundencenter & API	Weiterleitung der TCP-/HTTP-/HTTPS-Logs des Public Cloud Load Balancers
Public Cloud - Managed Databases	OVHcloud Kundencenter & API	Public Cloud Databases - Einrichtung der Logs-Weiterleitung
Public Cloud - Analytics	OVHcloud Kundencenter & API	Analytics - Einrichtung der Logs-Weiterleitung

In der praktischen Anwendung

Auf der Produktseite

Bei Public Cloud Services, die Logging-Funktionen bereitstellen, können Sie über einen speziellen Tab Logs im OVHcloud Kundencenter auf die Logs zugreifen. In diesem Bereich können Sie verfügbare Logs anzeigen und konfigurieren, wie diese erfasst oder weitergeleitet werden. Klicken Sie auf diesen Tab, um die beiden Hauptkomponenten zu sehen: einen Live-Tail-Bereich und einen Abonnement-Bereich.

Live-Tail-Bereich

Auf der linken Seite zeigt der Live-Tail-Bereich die Logs dieses Services in Echtzeit an. Er bietet einen schnellen Überblick über die aktuelle Aktivität dieses Services.

Sie können den Live-Tail pausieren oder fortsetzen, die aktuelle Sitzung leeren, scrollen und suchen:

Abonnement-Bereich

Auf der rechten Seite ermöglicht Ihnen der Abonnement-Bereich, die Logs dieses Services zu abonnieren, damit diese in Ihrem Logs Data Platform Account in dem oder den Data Streams Ihrer Wahl verfügbar werden. Dieser Bereich zeigt alle Ihre aktiven Log-Abonnements für diesen Service an und ermöglicht es Ihnen, neue zu erstellen.

Klicken Sie auf Abonnieren (oder auf Einen weiteren Data Stream abonnieren, wenn Sie bereits Abonnements haben). Sie gelangen auf folgende Seite:

Hier wählen Sie den Logs Data Platform Stream aus, in dem die Logs dieses Services verfügbar sein sollen. Wählen Sie über die Dropdown-Liste oben links Ihren Logs Data Platform Account aus. Das Datenraster in der Mitte zeigt alle Data Streams des ausgewählten Logs Data Platform Accounts an und stellt Informationen zu jedem Data Stream bereit: Name/Beschreibung, Aufbewahrungsdauer und ob die Indexierung aktiviert ist. Außerdem wird angezeigt, ob für diesen Data Stream bereits andere aktive Log-Abonnements bestehen.

Die letzte Spalte enthält die Buttons Abonnieren und Abbestellen. Klicken Sie auf Abonnieren, um mit dem Senden von Logs an den ausgewählten Data Stream zu beginnen, oder auf Abbestellen, um diesen zu beenden.

Sie können für einen bestimmten Service mehrere Abonnements erstellen, um dessen Service-Logs in mehreren Data Streams verfügbar zu machen. Dies ist nützlich für Anwendungsfälle, die später in dieser Anleitung beschrieben werden.

Info

Nur die Service-Logs, die nach der Erstellung des Abonnements generiert werden, sind in Ihrem Data Stream verfügbar.
Wenn Sie ein Abonnement kündigen, bleiben die bereits an Ihren Data Stream gesendeten Logs erhalten. Sie werden erst gelöscht, wenn sie die für Ihren Stream konfigurierte Aufbewahrungsdauer erreichen. Lediglich neu generierte Logs werden nicht mehr angezeigt.
Logs Data Platform funktioniert nach dem Pay-as-you-go-Prinzip: Sie zahlen für die Menge der an Ihren Data Stream gesendeten Logs. Wenn Sie ein Produkt abonniert haben, das keine Logs generiert (weil es keine Aktivität aufweist), entstehen keine Kosten.

Log-`kinds`

Ein Public Cloud Service kann mehrere Log-Typen anbieten, die als kinds bezeichnet werden. Wenn ein Produkt mehrere Log-kinds aufweist, beziehen sich der Live-Tail- und der Abonnement-Bereich jeweils auf den ausgewählten kind:

In diesem Beispiel beziehen sich sowohl die Live-Tail-Anzeige als auch die im rechten Bereich aufgeführten Abonnements auf den kind REST API audit logs. Wenn Sie in der oberen Dropdown-Liste einen anderen kind auswählen, werden andere Live-Tail-Inhalte und Abonnements angezeigt.

Diese Aufteilung der Logs eines Produkts in mehrere kinds bietet Ihnen mehr Flexibilität. Wenn ein Produkt beispielsweise viele kinds aufweist (z. B. access, audit, error und ssh) und Sie nur an audit-Logs interessiert sind, können Sie ausschließlich den kind audit abonnieren und die übrigen ignorieren. Anderes Beispiel: Sie interessieren sich für audit- und error-Logs, möchten diese Logs jedoch in zwei verschiedene Data Streams senden. Dies ist möglich, indem Sie zwei Abonnements auf Basis zweier verschiedener kinds erstellen, die auf zwei unterschiedliche Data Streams ausgerichtet sind.

Diesen Anwendungsfall behandeln wir später in dieser Anleitung.

Auf der Logs Data Platform Seite

Nachdem Sie nun Log-Abonnements erstellt haben, können Sie diese Logs in Ihrem Logs Data Platform Data Stream nach Belieben nutzen. Je nach Ihren Anforderungen können Sie Ihren Data Stream auf unterschiedliche (sich nicht gegenseitig ausschließende) Weisen konfigurieren. Zum Beispiel:

Aktivieren der Indexierung, um vom Funktionsumfang von OpenSearch/Graylog zu profitieren.
Aktivieren der Langzeitspeicherung, um Ihre Logs jahrelang sicher aufzubewahren.
Aktivieren des WebSocket-Zugangs, um Ihre Logs über eine Drittanbieter-Software wie ldp-tail zu konsumieren.

Alle möglichen Wege, Ihre Logs zu nutzen, sind in der Einführung zu Logs Data Platform zusammengefasst.

Info

Im Fall von Public Cloud Logs werden die "Log-Generierung" und die "Log-Ingestion" vollständig von OVHcloud verwaltet. Sie müssen sich lediglich um die "Speicherung" und die "Abfrage und Visualisierung" kümmern.

Sie können Ihre Log-Abonnements auch aus Sicht eines Data Streams verwalten. Gehen Sie dazu in den Bereich Logs Data Platform des , wählen Sie einen Service aus und klicken Sie auf den Tab Data stream. In der Tabelle, die Ihre Streams auflistet, sehen Sie eine Spalte Subscriptions, die anzeigt, wie viele Log-Abonnements auf einen bestimmten Stream ausgerichtet sind.

Klicken Sie in dieser Tabelle auf den Button ... und anschließend auf Abonnements verwalten. Auf der nächsten Seite werden alle Log-Abonnements aufgelistet, die auf diesen Data Stream ausgerichtet sind:

Für jedes Abonnement sehen Sie den Typ des Services, von dem es stammt, den Namen des Services und den abonnierten Log-kind.

Sie können ein Log-Abonnement auch aus dieser Ansicht heraus löschen, indem Sie auf das entsprechende Papierkorb-Symbol klicken.

Verwendung der API

Um Ihre Integrationsarbeit mit Public Cloud Logs zu erleichtern, haben wir die API-Endpunkte über alle Public Cloud Services hinweg konsistent gestaltet. Das bedeutet, dass alle kompatiblen Produkte denselben Satz an API-Endpunkten mit denselben Suffixen, denselben Payloads und denselben Antworten bereitstellen. Die verfügbaren Endpunkte sind die folgenden:

Methode	Pfad	Beschreibung
`GET`	`/xxx/{serviceName}/log/kind`	Listet die Log-`kinds` des Produkts auf
`GET`	`/xxx/{serviceName}/log/kind/{name}`	Ruft die Details eines Log-`kind` ab
`GET`	`/xxx/{serviceName}/log/subscription`	Listet die bestehenden Log-Abonnements dieser Produktinstanz auf
`POST`	`/xxx/{serviceName}/log/subscription`	Erstellt ein neues Log-Abonnement für diese Produktinstanz
`GET`	`/xxx/{serviceName}/log/subscription/{subscriptionId}`	Ruft die Details eines Log-Abonnements ab
`DELETE`	`/xxx/{serviceName}/log/subscription/{subscriptionId}`	Löscht ein Log-Abonnement
`POST`	`/xxx/{serviceName}/log/url`	Generiert eine temporäre URL zum Abrufen von Logs (wird vom Live-Tail verwendet)

Public Cloud Logs und die Cross-Identity-Service-Delegation über IAM

Es kann Anwendungsfälle geben, in denen das Produkt, dessen Logs Sie nutzen möchten, und der Logs Data Platform Service nicht demselben OVHcloud Account gehören. Beispiel:

Alice ist Inhaberin einer Managed Kubernetes Service Instanz.
Bob ist Inhaber einer Logs Data Platform Instanz.
Alice möchte, dass die Logs ihrer Managed Kubernetes Services in Bobs Logs Data Platform Data Stream verfügbar sind.

Dank OVHcloud IAM ist dies möglich:

Bob muss eine IAM-Richtlinie erstellen, um Alice' Identität die IAM-Aktion ldp:apiovh:output/graylog/stream/forwardTo auf seinem Logs Data Platform Data Stream zu erlauben.
Anschließend kann Alice den API-Endpunkt POST /cloud/project/{serviceName}/kube/{kubeId}/log/subscription verwenden und Bobs streamId im Payload dieses Endpunkts angeben.

Weitere Informationen zu IAM-Richtlinien finden Sie in der Anleitung Verwendung von IAM-Richtlinien im OVHcloud Kundencenter.

Interessante Strategien

Das Public Cloud Logs Modell bietet Ihnen Flexibilität bei der Erfassung, Isolierung und Nutzung von Logs. In diesem Abschnitt stellen wir einige gängige Muster vor. Dies sind lediglich Beispiele und stellen keine vollständige Liste aller möglichen Konfigurationen für Public Cloud Logs dar.

Mehrere Produkte zu einem Data Stream, je Umgebung

Nehmen wir in diesem Beispiel an, Sie verfügen über einen Tech-Stack, der aus mehreren Public Cloud Services besteht. Dieser Stack ist in mehreren Umgebungen (Entwicklung, Produktion) bereitgestellt. Eine interessante Strategie könnte darin bestehen, die Logs jeder Umgebung an einen anderen Data Stream zu senden und diese beiden Data Streams unterschiedlich zu konfigurieren:

In der obigen Konfiguration:

Alle Logs Ihrer Entwicklungsumgebung sind in einem Data Stream verfügbar. Auf diesem Data Stream ist nur die Indexierung aktiviert.
Alle Logs Ihrer Produktionsumgebung sind in einem anderen Data Stream verfügbar. Sowohl Indexierung als auch Langzeitspeicherung sind aktiviert.

Das bedeutet:

Die Logs Ihrer Entwicklungsumgebung werden nicht langfristig gespeichert, da Sie dies wahrscheinlich nicht benötigen und nicht dafür zahlen möchten.
Die Logs Ihrer Produktionsumgebung werden in einem dedizierten Data Stream gespeichert, was es Ihnen erleichtert, auf Basis dieses Streams Alarme oder Dashboards zu konfigurieren.

Mehrere Produkte zu mehreren Data Streams

Nehmen wir wieder dasselbe Beispiel, in dem Sie über einen Tech-Stack aus mehreren Public Cloud Services verfügen. In diesem Fall haben Sie jedoch mehrere Teams, die jeweils an einer anderen Komponente arbeiten. Aus Sicherheitsgründen möchten Sie, dass Team A auf die Load Balancer Logs zugreifen kann, jedoch nicht auf die Managed Databases Logs. Zusätzlich gibt es ein Sicherheitsteam, das auf alle Audit-Logs aller Komponenten zugreifen muss. Folgende Konfiguration ist denkbar: