Wprowadzenie do logów Public Cloud

Wprowadzenie

Niniejszy przewodnik pomoże Ci zrozumieć koncepcję i sposób korzystania z logów w OVHcloud Public Cloud. Wyjaśnia, w jaki sposób logi są generowane, zbierane i wykorzystywane, oraz zawiera odsyłacze do szczegółowych przewodników opisujących subskrypcję logów dla poszczególnych usług Public Cloud (Compute, Block Storage, Load Balancer itp.).

Czym są logi Public Cloud?

Usługi Public Cloud generują logi, które pomagają monitorować i analizować Twoją infrastrukturę w chmurze oraz rozwiązywać problemy z nią związane.

Każda usługa może oferować różne typy logów, nazywane kinds (np. access, audit, error), które można wykorzystywać i przechowywać zgodnie z Twoimi potrzebami.

Wymagania początkowe

Dostęp w Panelu klienta OVHcloud

  • Link bezpośredni:
  • Ścieżka nawigacji: Public Cloud > wybierz swój projekt > wybierz usługę > Logi

Przykłady zastosowań

Rozwiązywanie problemów z aplikacjami

Logi Public Cloud pomagają w diagnozowaniu problemów z aplikacjami i infrastrukturą, ponieważ zapewniają dostęp do logów generowanych przez Twoje usługi. Możesz filtrować i przeszukiwać te logi w celu identyfikacji anomalii i błędów, co sprawia, że diagnozowanie i rozwiązywanie problemów jest bardziej efektywne. W rozproszonych architekturach chmurowych logi pochodzące z różnych usług można skorelować w celu uzyskania pełnego obrazu Twojego środowiska.

Bezpieczeństwo i zgodność danych

Logi Public Cloud pomagają wykrywać incydenty bezpieczeństwa, śledzić działania administracyjne oraz wspierają zgodność z wymogami certyfikacji i przepisów. Dzięki rejestrowaniu operacji i zdarzeń dostępu, logi stanowią istotny materiał dowodowy podczas audytów i dochodzeń w zakresie bezpieczeństwa.

W zależności od usługi oraz wybranego miejsca docelowego logów dostęp do nich może być ograniczony za pomocą szczegółowych uprawnień. Dzięki temu możesz kontrolować, kto może przeglądać lub zarządzać określonymi logami, co wzmacnia Twoją postawę w zakresie bezpieczeństwa oraz usprawnia ogólny ład nad danymi.

Monitorowanie infrastruktury

Logi Public Cloud dostarczają cennych informacji na temat stanu i działania Twojej infrastruktury. Analizując logi usług i systemu, możesz wykrywać nietypowe wzorce, błędy lub problemy z wydajnością i reagować, zanim wpłyną one na Twoje obciążenia lub użytkowników.

W zależności od narzędzi i miejsc docelowych, których używasz do przetwarzania logów, możesz budować przepływy monitorowania, takie jak alerty czy wizualizacje, aby lepiej zrozumieć aktywność Twoich usług Public Cloud i dzielić się tymi informacjami w zespołach.

Kompatybilne usługi Public Cloud

Poniższa tabela wymienia usługi Public Cloud, które obecnie dostarczają logi, oraz wskazuje, gdzie znaleźć odpowiednie przewodniki, jak je włączyć lub pobrać. Dostępność i możliwości mogą się różnić w zależności od usługi. Lista będzie aktualizowana w miarę pojawiania się nowych kompatybilnych usług.

Nazwa produktuDostępnośćLink do przewodnika
Public Cloud - ComputePanel klienta OVHcloud i APIWkrótce
Public Cloud - Block StoragePanel klienta OVHcloud i APIWkrótce
Public Cloud - NetworkPanel klienta OVHcloud i APIWkrótce
Public Cloud - Managed Kubernetes ServicePanel klienta OVHcloud i APIPrzekazywanie logów audytowych Managed Kubernetes Service
Public Cloud - Load BalancerPanel klienta OVHcloud i APIPrzekazywanie logów TCP / HTTP / HTTPS Public Cloud Load Balancer
Public Cloud - Managed DatabasesPanel klienta OVHcloud i APIPublic Cloud Databases - Jak skonfigurować przekazywanie logów
Public Cloud - AnalyticsPanel klienta OVHcloud i APIAnalytics - Jak skonfigurować przekazywanie logów

W praktyce

Po stronie produktu

W usługach Public Cloud, które oferują funkcje logowania, możesz uzyskać dostęp do logów z Panelu klienta OVHcloud poprzez dedykowaną zakładkę Logi. Sekcja ta umożliwia przeglądanie dostępnych logów oraz konfigurowanie sposobu ich zbierania lub przekazywania. Kliknij tę zakładkę, aby wyświetlić dwa główne komponenty: panel live-tail oraz panel subskrypcji.

live-tail

Panel live-tail

Po lewej stronie znajduje się panel live-tail, który pozwala oglądać logi tej usługi w czasie rzeczywistym. Jest przydatny, aby szybko uzyskać podgląd bieżącej aktywności tej usługi.

Pozwala on wstrzymać/wznowić live-tail, wyczyścić bieżącą sesję, przewijać oraz wyszukiwać:

basic-search

Panel subskrypcji

Po prawej stronie panel subskrypcji pozwala zasubskrybować logi tej usługi, aby udostępnić je na koncie Logs Data Platform, w wybranym strumieniu danych. Panel ten wyświetla wszystkie Twoje aktywne subskrypcje logów dla tej usługi i umożliwia tworzenie nowych.

Kliknij Subskrybuj (lub Subskrybuj inny strumień danych, jeżeli masz już subskrypcje). Otworzy się następująca strona:

create-subscription-page

W tym miejscu musisz wybrać strumień Logs Data Platform, w którym mają być dostępne logi tej usługi. Korzystając z listy rozwijanej w lewym górnym rogu, wybierz swoje konto Logs Data Platform. Tabela w środkowej części wyświetla wszystkie strumienie danych z wybranego konta Logs Data Platform i prezentuje informacje o każdym strumieniu: jego nazwę/opis, retencję oraz informację, czy indeksowanie jest włączone. Pokazuje również, czy dany strumień danych ma już inne aktywne subskrypcje logów.

Ostatnia kolumna zawiera przyciski Subskrybuj oraz Anuluj subskrypcję. Kliknij Subskrybuj, aby rozpocząć wysyłanie logów do wybranego strumienia danych, lub Anuluj subskrypcję, aby je zatrzymać.

Możesz utworzyć wiele subskrypcji dla danej usługi, aby jej logi były dostępne w wielu strumieniach danych. Jest to przydatne w przypadkach użycia opisanych w dalszej części tego przewodnika.

Info
  • W Twoim strumieniu danych dostępne będą wyłącznie logi usługi wygenerowane po utworzeniu subskrypcji.
  • Jeżeli zdecydujesz się anulować subskrypcję, logi już wysłane do strumienia danych pozostaną w nim; zostaną usunięte dopiero po osiągnięciu skonfigurowanej retencji strumienia. Po prostu nie będziesz już otrzymywać nowo generowanych logów.
  • Logs Data Platform działa w modelu pay-as-you-go: płacisz za ilość logów wysłanych do Twojego strumienia danych. Jeżeli zasubskrybowałeś produkt, który nie generuje żadnych logów (ponieważ nie ma aktywności), nic nie zapłacisz.

Rodzaje logów (kinds)

Usługa Public Cloud może oferować kilka typów logów, nazywanych kinds. Gdy produkt posiada więcej niż jeden rodzaj logów, panele live-tail oraz subskrypcji są kontekstualizowane do wybranego rodzaju:

manager-with-kind

W tym przykładzie zarówno widok live-tail, jak i subskrypcje wymienione w prawym panelu odnoszą się do rodzaju REST API audit logs. Wybranie innego rodzaju z górnej listy rozwijanej powoduje wyświetlenie innej zawartości live-tail oraz innych subskrypcji.

Podział logów produktu na kilka rodzajów zapewnia większą elastyczność. Przykład: jeśli produkt posiada wiele rodzajów (np. access, audit, error oraz ssh), a Ty interesujesz się wyłącznie logami audit, możesz zasubskrybować tylko rodzaj audit i pominąć pozostałe. Inny przykład: interesują Cię logi audit oraz error, ale chcesz wysyłać je do dwóch różnych strumieni danych: jest to możliwe poprzez utworzenie dwóch subskrypcji opartych na dwóch różnych rodzajach i kierujących je do dwóch różnych strumieni danych.

Ten przypadek użycia omawiamy w dalszej części tego przewodnika.

Po stronie Logs Data Platform

Skoro utworzyłeś już subskrypcję (lub subskrypcje) logów, możesz wykorzystywać te logi w wybrany sposób w swoim strumieniu danych Logs Data Platform. W zależności od potrzeb możesz skonfigurować strumień danych na kilka (nie wykluczających się wzajemnie) sposobów. Na przykład:

  • Włączyć indeksowanie, aby korzystać z zestawu funkcji OpenSearch/Graylog.
  • Włączyć długoterminowe przechowywanie, aby bezpiecznie przechowywać logi przez wiele lat.
  • Włączyć web-socket, aby przetwarzać logi w oprogramowaniu firm trzecich, takim jak ldp-tail.

Wszystkie możliwe sposoby przetwarzania Twoich logów zostały opisane we Wprowadzeniu do Logs Data Platform.

Info

W przypadku logów Public Cloud cała "Generacja logów" oraz "Wprowadzanie logów" są zarządzane przez OVHcloud. Musisz zająć się jedynie etapami "Przechowywania" oraz "Zapytań i wizualizacji".

Możesz również zarządzać swoimi subskrypcjami logów z poziomu strumienia danych. W tym celu przejdź do sekcji Logs Data Platform w , wybierz usługę i kliknij zakładkę Strumień danych. W tabeli z listą strumieni zobaczysz kolumnę Subskrypcje, która wyświetla liczbę subskrypcji logów kierujących do danego strumienia.

W tej tabeli kliknij przycisk ..., a następnie Zarządzaj subskrypcjami. Następna strona wyświetli listę wszystkich subskrypcji logów kierujących do tego strumienia danych:

list-from-stream

Dla każdej subskrypcji widoczny jest typ usługi, z której pochodzi, nazwa usługi oraz subskrybowany rodzaj logów.

Z tego widoku możesz również usunąć subskrypcję logów, klikając odpowiednią ikonę kosza.

Korzystanie z API

Aby ułatwić Ci integrację z logami Public Cloud, ujednoliciliśmy punkty końcowe API we wszystkich usługach Public Cloud. Oznacza to, że wszystkie kompatybilne produkty udostępniają ten sam zestaw punktów końcowych API, z tymi samymi sufiksami, tymi samymi payloadami oraz tymi samymi odpowiedziami. Dostępne punkty końcowe są następujące:

MetodaŚcieżkaOpis
GET/xxx/{serviceName}/log/kindWyświetla rodzaje logów produktu
GET/xxx/{serviceName}/log/kind/{name}Pobiera szczegóły rodzaju logów
GET/xxx/{serviceName}/log/subscriptionWyświetla istniejące subskrypcje logów dla tej instancji produktu
POST/xxx/{serviceName}/log/subscriptionTworzy nową subskrypcję logów dla tej instancji produktu
GET/xxx/{serviceName}/log/subscription/{subscriptionId}Pobiera szczegóły subskrypcji logów
DELETE/xxx/{serviceName}/log/subscription/{subscriptionId}Usuwa subskrypcję logów
POST/xxx/{serviceName}/log/urlGeneruje tymczasowy adres URL do pobierania logów (używany przez live-tail)

Logi Public Cloud a delegacja usług między tożsamościami IAM

Możesz spotkać się z przypadkami użycia, w których produkt, z którego chcesz pobierać logi, oraz usługa Logs Data Platform nie należą do tego samego konta OVHcloud. Przykład:

  • Alicja jest właścicielką instancji Managed Kubernetes Service.
  • Bartek jest właścicielem instancji Logs Data Platform.
  • Alicja chce, aby logi z jej Managed Kubernetes Services były dostępne w strumieniu danych Logs Data Platform Bartka.

Jest to możliwe dzięki OVHcloud IAM:

  • Bartek musi utworzyć politykę IAM, która zezwala tożsamości Alicji na wykonywanie akcji IAM ldp:apiovh:output/graylog/stream/forwardTo na jego strumieniu danych Logs Data Platform.
  • Następnie Alicja będzie mogła użyć punktu końcowego API POST /cloud/project/{serviceName}/kube/{kubeId}/log/subscription i podać streamId Bartka w payloadzie tego punktu końcowego.

Więcej informacji o politykach IAM znajdziesz w przewodniku Jak korzystać z polityk IAM w Panelu klienta OVHcloud.

Ciekawe strategie

Model logów Public Cloud daje Ci elastyczność w zakresie zbierania, izolowania i przetwarzania logów. W tej sekcji omawiamy kilka typowych wzorców. Są to wyłącznie przykłady, które nie wyczerpują wszystkich możliwości konfiguracji logów Public Cloud.

Wiele produktów do jednego strumienia danych, na środowisko

Załóżmy, że posiadasz stos technologiczny złożony z wielu usług Public Cloud. Stos ten jest wdrożony w kilku środowiskach (development, production). Ciekawą strategią mogłoby być wysyłanie logów z każdego środowiska do osobnego strumienia danych i skonfigurowanie tych 2 strumieni danych w odmienny sposób:

many-to-one-per-env

W powyższej konfiguracji:

  • Wszystkie logi Twojego środowiska development są dostępne w jednym strumieniu danych. W tym strumieniu danych włączona jest jedynie funkcja indeksowania.
  • Wszystkie logi Twojego środowiska production są dostępne w innym strumieniu danych. W tym strumieniu włączone są zarówno indeksowanie, jak i długoterminowe przechowywanie.

Oznacza to, że:

  • Logi Twojego środowiska development nie będą przechowywane długoterminowo, ponieważ prawdopodobnie tego nie potrzebujesz i nie chcesz za to płacić.
  • Logi Twojego środowiska production będą przechowywane w dedykowanym strumieniu danych, co ułatwi Ci konfigurowanie alertów i dashboardów na podstawie tego strumienia.

Wiele produktów do wielu strumieni danych

Weźmy ten sam przykład: posiadasz stos technologiczny złożony z kilku usług Public Cloud. Tym razem masz jednak wiele zespołów, z których każdy pracuje nad innym komponentem. Ze względów bezpieczeństwa chcesz, aby zespół A miał dostęp do logów Load Balancer, ale nie do logów Managed Databases. Dodatkowo masz zespół ds. bezpieczeństwa, który musi mieć dostęp do wszystkich logów audytowych każdego komponentu. Możemy wyobrazić sobie konfigurację taką, jak poniższa:

many-to-many

W powyższej konfiguracji:

  • Wszystkie logi aplikacyjne Load Balancer oraz Managed Kubernetes są wysyłane do jednego strumienia danych (niebieska strzałka).
  • Wszystkie logi aplikacyjne Managed Databases są wysyłane do innego strumienia danych (niebieska strzałka).
  • Wszystkie ich logi audytowe są wysyłane do jeszcze innego strumienia danych (czerwona strzałka).

Oznacza to, że:

  • Możesz przyznać zespołowi ds. bezpieczeństwa dostęp wyłącznie do strumienia danych zawierającego wszystkie logi audytowe wszystkich komponentów Twojego stosu technologicznego.
  • Możesz przyznać zespołowi deweloperskiemu dostęp wyłącznie do strumienia danych zawierającego logi Load Balancer / Managed Kubernetes.
  • Możesz przyznać zespołowi administratorów baz danych dostęp wyłącznie do strumienia danych zawierającego logi Managed Databases.
  • Możesz skonfigurować indeksowanie/długoterminowe przechowywanie/itp. według własnego uznania dla każdego z tych strumieni. Możesz również ustawić różne czasy retencji dla każdego strumienia.

Sprawdź również

Dołącz do grona naszych użytkowników.

Czy ta strona była pomocna?