Introduzione ai log Public Cloud

Obiettivo

Questa guida ti aiuta a comprendere i concetti e l'utilizzo dei log nei servizi OVHcloud Public Cloud. Spiega come i log vengono generati, raccolti e consumati, e fornisce link a guide dettagliate per sottoscrivere i log di ogni servizio Public Cloud (Compute, Block Storage, Load Balancer, ecc.).

Cosa sono i log Public Cloud?

I servizi Public Cloud generano log che ti aiutano a monitorare, risolvere problemi e analizzare la tua infrastruttura cloud.

Ogni servizio può offrire diversi tipi di log, chiamati kinds (per esempio: access, audit, error), che puoi consumare e archiviare in base alle tue esigenze.

Prerequisiti

Accesso allo Spazio Cliente OVHcloud

  • Link diretto:
  • Percorso di navigazione: Public Cloud > Seleziona il tuo progetto > Seleziona un servizio > Logs

Casi d'uso

Risoluzione dei problemi applicativi

I log Public Cloud ti aiutano a diagnosticare i problemi applicativi e di infrastruttura fornendo l'accesso ai log generati dai tuoi servizi. Puoi filtrare e cercare in questi log per identificare anomalie ed errori, rendendo più efficiente la diagnosi e la risoluzione dei problemi. Nelle architetture cloud distribuite, i log provenienti da servizi diversi possono essere correlati per ottenere una visione completa del tuo ambiente.

Sicurezza e conformità dei dati

I log Public Cloud ti aiutano a rilevare gli incidenti di sicurezza, a tracciare le azioni amministrative e a rispettare i requisiti delle certificazioni e delle normative. Conservando uno storico delle operazioni e degli eventi di accesso, i log forniscono prove essenziali per gli audit e le indagini di sicurezza.

In base al servizio e alla destinazione di log che scegli, l'accesso ai log può essere limitato tramite autorizzazioni granulari. Puoi così controllare chi può consultare o gestire determinati log, rafforzare la tua postura di sicurezza e migliorare la governance complessiva dei dati.

Monitoraggio dell'infrastruttura

I log Public Cloud forniscono informazioni preziose sullo stato e sul comportamento della tua infrastruttura. Analizzando i log di servizio e di sistema, puoi rilevare schemi anomali, errori o problemi di performance e reagire prima che impattino sui tuoi workload o sui tuoi utenti.

In base agli strumenti e alle destinazioni che utilizzi per consumare i log, puoi creare workflow di monitoraggio come avvisi o visualizzazioni per comprendere meglio l'attività dei tuoi servizi Public Cloud e condividere queste informazioni tra i tuoi team.

Servizi Public Cloud compatibili

La tabella seguente elenca i servizi Public Cloud che attualmente forniscono log e indica dove trovare le guide corrispondenti per attivarli o recuperarli. La disponibilità e le funzionalità possono variare a seconda del servizio. Questo elenco sarà aggiornato man mano che nuovi servizi diventeranno compatibili.

Nome del prodottoDisponibilitàLink alla guida
Public Cloud - ComputeSpazio Cliente OVHcloud e APIPresto disponibile
Public Cloud - Block StorageSpazio Cliente OVHcloud e APIPresto disponibile
Public Cloud - NetworkSpazio Cliente OVHcloud e APIPresto disponibile
Public Cloud - Managed Kubernetes ServiceSpazio Cliente OVHcloud e APIInoltro degli audit log di Managed Kubernetes Service
Public Cloud - Load BalancerSpazio Cliente OVHcloud e APIInoltro dei log TCP / HTTP / HTTPS del Load Balancer Public Cloud
Public Cloud - Managed DatabasesSpazio Cliente OVHcloud e APIPublic Cloud Databases - Configurare l'inoltro dei log
Public Cloud - AnalyticsSpazio Cliente OVHcloud e APIAnalytics - Configurare l'inoltro dei log

Procedura

Lato prodotto

Sui servizi Public Cloud che offrono funzionalità di logging, puoi accedere ai log dallo Spazio Cliente OVHcloud tramite una scheda Logs dedicata. Questa sezione ti permette di consultare i log disponibili e di configurarne la raccolta o l'inoltro. Clicca su questa scheda per visualizzare i due componenti principali: un pannello live-tail e un pannello di sottoscrizione.

live-tail

Pannello live-tail

Sulla sinistra, il pannello live-tail ti permette di vedere i log di questo servizio in tempo reale. È utile per avere una panoramica rapida dell'attività in corso su questo servizio.

Ti permette di mettere in pausa/riprodurre il live-tail, di svuotare la sessione in corso, di scorrere e di effettuare ricerche:

basic-search

Pannello di sottoscrizione

Sulla destra, il pannello di sottoscrizione ti permette di sottoscrivere i log di questo servizio per renderli disponibili nel tuo account Logs Data Platform, nello o negli stream di dati di tua scelta. Questo pannello mostra tutte le tue sottoscrizioni attive ai log per questo servizio e ti permette di crearne di nuove.

Clicca su Sottoscrivi (o su Sottoscrivi un altro stream di dati se hai già delle sottoscrizioni). Accedi a questa pagina:

create-subscription-page

È qui che devi selezionare lo stream Logs Data Platform in cui vuoi rendere disponibili i log di questo servizio. Tramite il menu a discesa in alto a sinistra, seleziona il tuo account Logs Data Platform. La tabella centrale mostra tutti gli stream di dati dell'account Logs Data Platform selezionato e ti fornisce informazioni su ciascuno: nome/descrizione, retention e se l'indicizzazione è attiva. Indica inoltre se questo stream di dati ha già altre sottoscrizioni attive ai log.

L'ultima colonna contiene i pulsanti Sottoscrivi e Annulla sottoscrizione. Clicca su Sottoscrivi per iniziare a inviare i log verso lo stream di dati selezionato, oppure su Annulla sottoscrizione per interrompere l'invio.

Puoi creare più sottoscrizioni per un dato servizio, in modo che i log di quel servizio siano disponibili in più stream di dati. Questo è utile per i casi d'uso descritti più avanti in questa guida.

Info
  • Solo i log di servizio generati dopo la creazione della sottoscrizione saranno disponibili nel tuo stream di dati.
  • Se scegli di annullare la sottoscrizione, i log già inviati al tuo stream di dati vi rimarranno; saranno eliminati solo quando raggiungeranno la retention configurata per il tuo stream. Semplicemente non vedrai più i nuovi log generati.
  • Logs Data Platform funziona a consumo: paghi in base al volume di log inviati nel tuo stream di dati. Se sottoscrivi un prodotto che non genera log (perché non ha attività), non paghi nulla.

Tipi di log (kinds)

Un servizio Public Cloud può offrire diversi tipi di log, chiamati kinds. Quando un prodotto ha più kinds di log, i pannelli live-tail e di sottoscrizione diventano contestualizzati in base al kind selezionato:

manager-with-kind

In questo esempio, sia la visualizzazione del live-tail sia le sottoscrizioni elencate nel pannello di destra si riferiscono al kind REST API audit logs. Selezionando un altro kind nel menu a discesa in alto, si visualizzano un contenuto live-tail e sottoscrizioni differenti.

Questa suddivisione dei log di un prodotto in più kinds ti offre maggiore flessibilità. Per esempio, se un prodotto ha più kinds (per esempio access, audit, error e ssh) e ti interessano solo i log audit, puoi sottoscrivere solo il kind audit e ignorare gli altri. Altro esempio: ti interessano i log audit e i log error, ma vuoi inviare questi log in due stream di dati distinti: è possibile creando due sottoscrizioni basate su due kinds diversi che puntano a due stream di dati diversi.

Approfondiamo questo caso d'uso più avanti in questa guida.

Lato Logs Data Platform

Ora che hai creato delle sottoscrizioni ai log, puoi consumarli come preferisci nel tuo stream di dati Logs Data Platform. In base alle tue esigenze, puoi configurare il tuo stream di dati in modi diversi (non esclusivi). Per esempio:

  • Attivare l'indicizzazione per beneficiare delle funzionalità di OpenSearch/Graylog.
  • Attivare l'archiviazione a lungo termine per conservare i tuoi log in tutta sicurezza per anni.
  • Attivare il web-socket per consumare i tuoi log da un software di terze parti, come ldp-tail.

Tutti i modi possibili per consumare i tuoi log sono riassunti nella guida Introduzione a Logs Data Platform.

Info

Nel caso dei log Public Cloud, la "generazione di log" e l'"ingestion dei log" sono interamente gestite da OVHcloud. Devi occuparti solo delle parti "Archiviazione" e "Query e visualizzazione".

Puoi anche gestire le tue sottoscrizioni ai log dal punto di vista di uno stream di dati. Per farlo, accedi alla sezione Logs Data Platform dello , seleziona un servizio e clicca sulla scheda Stream di dati. Nella tabella che elenca i tuoi stream, vedi una colonna Sottoscrizioni che indica quante sottoscrizioni ai log puntano a un determinato stream.

In questa tabella, clicca sul pulsante ... e poi clicca su Gestisci le sottoscrizioni. La pagina successiva elenca tutte le sottoscrizioni ai log che puntano a questo stream di dati:

list-from-stream

Per ogni sottoscrizione, puoi vedere il tipo di servizio da cui proviene, il nome del servizio e il kind di log a cui è associata.

Puoi anche eliminare una sottoscrizione ai log da questa vista cliccando sull'icona del cestino corrispondente.

Utilizzo dell'API

Per semplificare le tue integrazioni con i log Public Cloud, abbiamo reso gli endpoint API coerenti tra tutti i servizi Public Cloud. Questo significa che tutti i prodotti compatibili espongono lo stesso insieme di endpoint API, con gli stessi suffissi, gli stessi payload e le stesse risposte. Gli endpoint disponibili sono i seguenti:

MetodoPathDescrizione
GET/xxx/{serviceName}/log/kindElenca i kinds di log del prodotto
GET/xxx/{serviceName}/log/kind/{name}Restituisce il dettaglio di un kind di log
GET/xxx/{serviceName}/log/subscriptionElenca le sottoscrizioni ai log esistenti per questa istanza di prodotto
POST/xxx/{serviceName}/log/subscriptionCrea una nuova sottoscrizione ai log per questa istanza di prodotto
GET/xxx/{serviceName}/log/subscription/{subscriptionId}Restituisce il dettaglio di una sottoscrizione ai log
DELETE/xxx/{serviceName}/log/subscription/{subscriptionId}Elimina una sottoscrizione ai log
POST/xxx/{serviceName}/log/urlGenera un URL temporaneo per recuperare i log (utilizzato dal live-tail)

Log Public Cloud e delega di servizio cross-identità IAM

Puoi incontrare casi d'uso in cui il prodotto da cui vuoi recuperare i log e il servizio Logs Data Platform non appartengono allo stesso account OVHcloud. Esempio:

  • Alice è proprietaria di un'istanza Managed Kubernetes Service.
  • Bob è proprietario di un'istanza Logs Data Platform.
  • Alice vuole che i log dei suoi Managed Kubernetes Service siano disponibili nello stream di dati Logs Data Platform di Bob.

È possibile grazie a OVHcloud IAM:

  • Bob deve creare una policy IAM per autorizzare l'identità di Alice a utilizzare l'azione IAM ldp:apiovh:output/graylog/stream/forwardTo sul suo stream di dati Logs Data Platform.
  • Alice può quindi utilizzare l'endpoint API POST /cloud/project/{serviceName}/kube/{kubeId}/log/subscription e fornire lo streamId di Bob nel payload di questo endpoint.

Trovi maggiori informazioni sulle policy IAM nella guida Utilizzare le policy IAM dallo Spazio Cliente OVHcloud.

Strategie interessanti

Il modello dei log Public Cloud ti offre flessibilità nel modo in cui raccogli, isoli e consumi i tuoi log. In questa sezione presentiamo alcuni schemi comuni. Sono solo esempi, non costituiscono un elenco esaustivo di tutte le possibilità di configurazione dei log Public Cloud.

Più prodotti verso un unico stream di dati, per ambiente

In questo esempio, supponi di avere uno stack tecnico composto da diversi servizi Public Cloud. Questo stack è distribuito su più ambienti (sviluppo, produzione). Una strategia interessante può consistere nell'inviare i log di ogni ambiente verso uno stream di dati distinto e configurare questi 2 stream di dati in modo diverso:

many-to-one-per-env

Nella configurazione qui sopra:

  • Tutti i log dell'ambiente di sviluppo sono disponibili in uno stream di dati. Su questo stream è attivata solo la funzionalità di indicizzazione.
  • Tutti i log dell'ambiente di produzione sono disponibili in un altro stream di dati. L'indicizzazione e l'archiviazione a lungo termine sono entrambe attivate.

Ciò significa che:

  • I log dell'ambiente di sviluppo non vengono archiviati a lungo termine, poiché probabilmente non ne hai bisogno e non vuoi pagare per questo.
  • I log dell'ambiente di produzione vengono archiviati in uno stream di dati dedicato, il che ti facilita la configurazione di avvisi o dashboard basati su questo stream.

Più prodotti verso più stream di dati

Riprendiamo lo stesso esempio, in cui disponi di uno stack tecnico composto da diversi servizi Public Cloud. Ma in questo caso hai più team, ciascuno dei quali lavora su un componente diverso. Per motivi di sicurezza, vuoi che il team A acceda ai log del Load Balancer ma non a quelli dei Managed Databases. Hai anche un team Sicurezza che deve accedere a tutti gli audit log di ogni componente. Possiamo immaginare una configurazione come la seguente:

many-to-many

Nella configurazione qui sopra:

  • Tutti i log applicativi del Load Balancer e di Managed Kubernetes vengono inviati a uno stream di dati (freccia blu).
  • Tutti i log applicativi dei Managed Databases vengono inviati a un altro stream di dati (freccia blu).
  • Tutti i loro log di audit vengono inviati a un altro stream di dati (freccia rossa).

Ciò significa che:

  • Puoi autorizzare il tuo team Sicurezza a vedere solo lo stream di dati che contiene tutti gli audit log di tutti i componenti del tuo stack tecnico.
  • Puoi autorizzare il tuo team di Sviluppo a vedere solo lo stream di dati che contiene i log del Load Balancer / Managed Kubernetes.
  • Puoi autorizzare il tuo team di Amministrazione dei Database a vedere solo lo stream di dati che contiene i log dei tuoi Managed Databases.
  • Puoi configurare l'indicizzazione, l'archiviazione a lungo termine, ecc. come preferisci su ognuno di questi stream. Puoi anche definire retention diverse per ciascuno stream.

Per saperne di più

Contatta la nostra Community di utenti.

Questa pagina ti è stata utile?