Cette page a été traduite par l'API Cloud Translation.
Switch to English

Gérer les buckets de journaux

Cette page explique comment créer et gérer des buckets de journaux.

Avant de commencer

Pour commencer à utiliser les buckets de journaux, procédez comme suit:

  • Assurez-vous de bien connaître les buckets de journaux.
  • Assurez-vous d'avoir activé la facturation pour votre projet Google Cloud.
  • Vérifiez que vous et les membres de votre projet Cloud disposez du rôle ou des autorisations appropriés pour créer et gérer vos buckets de journaux de projet Cloud. Pour en savoir plus, consultez la section Contrôle des accès sur cette page.

Gérer les buckets

Cette section explique comment gérer vos buckets de journaux à l'aide de l'outil de ligne de commande gcloud ou de Google Cloud Console.

Créer un bucket de journaux

Vous devez disposer de l'autorisation logging.buckets.create pour créer un bucket de journaux défini par l'utilisateur. Cette autorisation est disponible dans le rôle Rédacteur de configuration de la journalisation.

Vous pouvez créer jusqu'à 10 buckets par projet Cloud.

Pour créer un bucket de journal défini par l'utilisateur pour votre projet Cloud, procédez comme suit:

gcloud

Pour créer un bucket de journaux dans votre projet Cloud, exécutez la commande gcloud logging buckets create:

gcloud logging buckets create BUCKET_ID --location=LOCATION OPTIONAL_FLAGS

Exemple :

gcloud logging buckets create my-bucket --location global --description "My first bucket"

Console

Pour créer un bucket de journaux dans votre projet Cloud, procédez comme suit:

  1. Dans le menu "Journalisation", sélectionnez Stockage des journaux.

    Accéder à la page "Stockage des journaux"

  2. Cliquez sur Créer un bucket de journaux.

  3. Saisissez un Nom et une Description pour votre bucket.

  4. (Facultatif) Pour définir une région de bucket, cliquez sur le menu déroulant Sélectionner la région du bucket de journaux et sélectionnez la région dans laquelle vous souhaitez créer le bucket. Si vous ne sélectionnez pas de région, cette valeur est définie sur global, ce qui signifie que les journaux peuvent être physiquement stockés dans une région.

  5. (Facultatif) Pour définir une durée de conservation personnalisée pour les journaux dans le bucket, cliquez sur Suivant.

    Dans le champ Conservation, saisissez le nombre de jours (compris entre 1 et 3 650 jours) pendant lesquels vous souhaitez que les journaux soient conservés dans Cloud Logging. Si vous ne personnalisez pas la durée de conservation, la valeur par défaut est 30 days.

    Vous pouvez également configurer une conservation personnalisée ultérieurement.

  6. Cliquez sur Create bucket (Créer un bucket). Votre nouveau bucket s'affiche dans la liste Bucket de journaux.

Après avoir créé un bucket, vous pouvez configurer les vues de journaux afin de déterminer qui peut accéder aux journaux de votre nouveau bucket et quels sont les journaux auxquels ils peuvent accéder.

Mettre à jour un bucket de journaux

L'autorisation logging.buckets.update est requise pour mettre à jour un bucket de journaux. Cette autorisation est disponible dans le rôle Rédacteur de configuration de la journalisation. Vous pouvez également créer un rôle personnalisé avec des autorisations plus limitées. Pour obtenir la liste complète des contrôles d'accès de Logging, consultez la section Contrôle des accès.

Pour mettre à jour les attributs de votre bucket, procédez comme suit:

gcloud

Pour mettre à jour les attributs de votre bucket, exécutez la commande gcloud logging buckets update:

gcloud logging buckets update BUCKET_ID --location=LOCATION UPDATED_ATTRIBUTES

Exemple :

gcloud logging buckets update my-bucket --location=global --description "Updated description"

Console

Pour mettre à jour les attributs de votre bucket, procédez comme suit :

  1. Dans le menu "Journalisation", sélectionnez Stockage des journaux.

    Accéder à la page "Stockage des journaux"

  2. Cliquez sur l'élément Plus correspondant au bucket que vous souhaitez mettre à jour.

  3. Cliquez sur Modifier le bucket.

  4. Modifiez votre bucket comme désiré.

  5. Cliquez sur Mettre à jour le bucket.

Verrouiller un bucket de journaux

Lorsque vous verrouillez un bucket contre les mises à jour, il inclut le verrouillage de sa règle de conservation. Une fois qu'une règle de conservation est verrouillée, vous ne pouvez pas supprimer le bucket tant que la durée de conservation du bucket n'est pas écoulée.

L'autorisation logging.buckets.update est requise pour verrouiller un bucket de journaux contre les mises à jour. Cette autorisation est disponible dans le rôle Rédacteur de configuration de la journalisation. Vous pouvez également créer un rôle personnalisé avec des autorisations plus limitées. Pour obtenir la liste complète des contrôles d'accès de Logging, consultez la section Contrôle des accès.

Verrouillez le bucket pour empêcher toute mise à jour ou suppression. Pour verrouiller le bucket, procédez comme suit:

gcloud

Pour verrouiller votre bucket, exécutez la commande gcloud logging buckets update avec l'indicateur --locked:

gcloud logging buckets update BUCKET_ID --location=LOCATION --locked

Exemple :

gcloud logging buckets update my-bucket --location=global --locked

Console

Cloud Console ne permet pas de verrouiller un bucket de journaux.

Répertorier les buckets de journaux

L'autorisation logging.buckets.list est requise pour répertorier les détails des buckets de journaux. Cette autorisation est disponible dans le rôle Rédacteur de configuration de la journalisation. Vous pouvez également créer un rôle personnalisé avec des autorisations plus limitées. Pour obtenir la liste complète des contrôles d'accès de Logging, consultez la section Contrôle des accès.

Pour répertorier les buckets de journaux associés à un projet Cloud et afficher des détails tels que les paramètres de conservation, procédez comme suit:

gcloud

Exécutez la commande gcloud logging buckets list:

gcloud logging buckets list

Les attributs suivants s'affichent pour les buckets de journaux:

  • LOCATION: région dans laquelle les données du bucket sont stockées.
  • BUCKET_ID: nom donné au bucket lors de sa création.
  • RETENTION_DAYS: nombre de jours pendant lesquels les données du bucket seront stockées par Cloud Logging.
  • LIFECYCLE_STATE: indique si le bucket est en attente de suppression par Cloud Logging.
  • LOCKED: indique si le bucket est verrouillé ou déverrouillé.
  • CREATE_TIME: horodatage indiquant la date de création du bucket.
  • UPDATE_TIME: horodatage indiquant la date de dernière modification du bucket.

Vous pouvez également afficher les attributs d'un seul bucket. Par exemple, pour afficher les détails du bucket de journaux _Default, exécutez la commande gcloud logging buckets describe:

gcloud logging buckets describe _Default --location=global

Console

Accédez à la page Stockage des journaux:

Accéder à la page "Stockage des journaux"

Vous voyez un tableau Buckets de journaux qui répertorie les buckets associés au projet Cloud actuel.

Le tableau répertorie les attributs suivants pour chaque bucket de journaux:

  • Nom: le nom attribué au bucket lors de sa création.
  • Description: description attribuée au bucket lors de sa création.
  • Durée de conservation: nombre de jours pendant lesquels les données du bucket seront stockées par Cloud Logging.
  • Region (Région) : emplacement géographique où les données du bucket sont stockées.
  • État: indique si le bucket est verrouillé ou déverrouillé.

Si un bucket est en attente de suppression par Cloud Logging, son entrée de table est annotée avec un avertissement .

Afficher les détails des buckets de journaux

L'autorisation logging.buckets.get est requise pour afficher les détails d'un bucket de journaux. Cette autorisation est disponible dans le rôle Rédacteur de configuration de la journalisation. Vous pouvez également créer un rôle personnalisé avec des autorisations plus limitées. Pour obtenir la liste complète des contrôles d'accès de Logging, consultez la section Contrôle des accès.

Pour afficher les détails d'un bucket de journaux unique, procédez comme suit:

gcloud

Exécutez la commande gcloud logging buckets describe:

gcloud logging buckets describe _Default --location=global

Les attributs suivants s'affichent pour le bucket de journaux:

  • createTime: horodatage indiquant la date de création du bucket.
  • description: description attribuée au bucket lors de sa création.
  • lifecycleState: indique si le bucket est en attente de suppression par Cloud Logging.
  • name: nom donné au bucket lors de sa création.
  • retentionDays: nombre de jours pendant lesquels les données du bucket seront stockées par Cloud Logging.
  • updateTime: horodatage indiquant la date de dernière modification du bucket.

Console

Accédez à la page Stockage des journaux:

Accéder à la page "Stockage des journaux"

Dans le bucket de journaux, cliquez sur Plus > Afficher les détails du bucket.

La boîte de dialogue répertorie les attributs suivants pour le bucket de journaux:

  • Nom: le nom attribué au bucket lors de sa création.
  • Description: description attribuée au bucket lors de sa création.
  • Durée de conservation: nombre de jours pendant lesquels les données du bucket seront stockées par Cloud Logging.
  • Region (Région) : emplacement géographique où les données du bucket sont stockées.

Supprimer un bucket de journaux

L'autorisation logging.buckets.delete est requise pour supprimer un bucket de journaux. Cette autorisation est disponible dans le rôle Rédacteur de configuration de la journalisation. Vous pouvez également créer un rôle personnalisé avec des autorisations plus limitées. Pour obtenir la liste complète des contrôles d'accès de Logging, consultez la section Contrôle des accès.

Pour supprimer un bucket de journaux, procédez comme suit:

gcloud

Pour supprimer un bucket de journaux, exécutez la commande gcloud logging buckets delete:

gcloud logging buckets delete BUCKET_ID --location=LOCATION

Console

Pour supprimer un bucket de journaux, procédez comme suit:

  1. Dans le menu "Journalisation", sélectionnez Stockage des journaux.

    Accéder à la page "Stockage des journaux"

  2. Cliquez sur l'élément Plus correspondant au bucket que vous souhaitez supprimer.

  3. Cliquez sur Supprimer le bucket.

  4. Dans le panneau de confirmation, cliquez sur Supprimer.

  5. Sur la page Stockage des journaux, un indicateur spécifie que votre bucket est en attente de suppression. Le bucket, y compris tous les journaux qu'il contient, est supprimé au bout de sept jours.

Restaurer un bucket de journaux supprimé

L'autorisation logging.buckets.undelete est requise pour restaurer un bucket de journaux. Cette autorisation est disponible dans le rôle Rédacteur de configuration de la journalisation. Vous pouvez également créer un rôle personnalisé avec des autorisations plus limitées. Pour obtenir la liste complète des contrôles d'accès de Logging, consultez la section Contrôle des accès.

Vous pouvez restaurer ou annuler la suppression d'un bucket de journaux en attente de suppression. Pour restaurer un bucket de journaux, procédez comme suit:

gcloud

Pour restaurer un bucket de journaux en attente de suppression, exécutez la commande gcloud logging buckets undelete:

gcloud logging buckets undelete BUCKET_ID --location=LOCATION

Console

Pour restaurer un bucket de journaux en attente de suppression, procédez comme suit:

  1. Dans le menu "Journalisation", sélectionnez Stockage des journaux.

    Accéder à la page "Stockage des journaux"

  2. Cliquez sur l'élément Plus correspondant au bucket que vous souhaitez restaurer.

  3. Cliquez sur Restaurer un bucket supprimé.

  4. Dans le panneau de confirmation, cliquez sur Restaurer.

  5. Sur la page Stockage des journaux, l'indicateur de suppression en attente est retiré de votre bucket.

Écrire des données dans un bucket de journaux

L'autorisation logging.logEntries.create est requise pour écrire des entrées de journal dans un projet, un dossier ou une organisation Cloud. Cette autorisation est disponible dans les ressources Rédacteur de journaux et Administrateur Logging. rôles. Pour obtenir la liste complète des contrôles d'accès de Logging, consultez la section Contrôle des accès.

Vous n' écrivez pas directement de journaux dans un bucket de journaux. À la place, vous écrivez des journaux dans un projet, un dossier ou une organisation Cloud. Les récepteurs de la ressource parente acheminent ensuite les journaux vers les destinations, y compris les buckets de journaux. Un récepteur achemine les journaux vers une destination de bucket de journaux lorsque ceux-ci correspondent au filtre du récepteur et que le récepteur est autorisé à acheminer les journaux vers le bucket de journaux.

Si un récepteur de journaux achemine les journaux vers un bucket de journaux dans le même projet Cloud, il ne nécessite aucune autorisation.

Si un récepteur de journaux achemine les journaux vers un bucket de journaux dans un autre projet Cloud, vous devez accorder au récepteur de journaux l'autorisation logging.buckets.write. Pour accorder cette autorisation dans le projet Cloud contenant le bucket de journaux, utilisez le rôle Rédacteur de bucket de journaux. Ce rôle doit être attribué au compte de service d'un récepteur de journaux à l'aide d'une condition IAM correspondant à un bucket de journaux spécifique.

Pour découvrir comment accorder à un compte de service l'écriture dans un bucket de journaux d'un autre projet Cloud, consultez la section Autorisations des destinations.

Lire depuis un bucket de journaux

L'autorisation logging.views.listLogs est requise pour lire les journaux d'un bucket de journaux. Cette autorisation est disponible dans le rôle Accès à la vue des journaux. Pour obtenir la liste complète des contrôles d'accès de Logging, consultez la section Contrôle des accès.

Chaque bucket de journaux possède un ensemble de vues de journal. Pour lire les journaux d'un bucket de journaux, vous devez avoir accès à une vue du journal. Pour en savoir plus sur les vues des journaux, consultez la page Gérer les vues de journaux.

Il est recommandé de définir ces autorisations à l'aide d'une condition IAM. Pour en savoir plus sur l'ajout d'utilisateurs à une vue de journal à l'aide d'une condition IAM, consultez la section Ajouter des utilisateurs à une vue de journal.

Pour lire les journaux d'un bucket de journaux, procédez comme suit:

gcloud

Pour lire les journaux d'un bucket de journaux, exécutez la commande gcloud logging read:

gcloud logging read --bucket=BUCKET_ID --location=LOCATION --view=VIEW_ID

Console

Pour savoir comment lire les journaux à partir d'un bucket de journaux, consultez la section Affiner le champ d'application.

Configurer la conservation personnalisée

Lorsque vous créez un bucket de journal, vous avez la possibilité de personnaliser la période pendant laquelle Cloud Logging stocke les journaux. Vous pouvez configurer la durée de conservation de n'importe quel bucket de journaux défini par l'utilisateur, ainsi que pour le bucket de journaux _Default.

Pour mettre à jour la durée de conservation d'un bucket de journaux, procédez comme suit:

gcloud

Par exemple, pour mettre à jour la durée de conservation de la commande_Default log bucket, exécutezgcloud outil de ligne de commande, après avoir défini une valeur pourRETENTION_DAYS:

gcloud logging buckets update _Default --location=global --retention-days=RETENTION_DAYS

Par exemple, pour conserver les journaux dans le bucket _Default pendant un an, exécutez la commande suivante:

gcloud logging buckets update _Default --location=global --retention-days=365

CONSOLE

Pour mettre à jour la durée de conservation d'un bucket de journaux, procédez comme suit:

  1. Dans le menu "Journalisation", sélectionnez Stockage des journaux.

    Accéder à la page "Stockage des journaux"

  2. Cliquez sur l'élément Plus correspondant au bucket que vous souhaitez mettre à jour.

  3. Cliquez sur Modifier le bucket.

  4. Dans le champ Conservation, saisissez le nombre de jours (compris entre 1 et 3 650 jours) pendant lesquels vous souhaitez que les journaux soient conservés dans Cloud Logging.

  5. Cliquez sur Mettre à jour le bucket. Votre nouvelle durée de conservation apparaît dans la liste Bucket de journaux.

Contrôle des accès

Les rôles et autorisations de gestion de l'authentification et des accès régissent l'accès aux données Logging. Voici un récapitulatif des rôles et autorisations dont un membre d'un projet Cloud peut avoir le plus souvent besoin pour accéder aux buckets de journaux.

Cloud Logging recommande de limiter les droits lors de la configuration des rôles et des autorisations de gestion de l'authentification et des accès. Pour plus d'informations, consultez la section Utiliser Cloud IAM en toute sécurité.

Activité des buckets de journaux Accès des utilisateurs Autorisations IAM Rôles IAM et paramètres de contrôle d'accès recommandés
Gérer les configurations de buckets de journaux qui peut créer, répertorier, mettre à jour, supprimer, annuler la suppression et afficher les détails des buckets de journaux. logging.buckets.{create,list,get,update,delete,undelete} Ces autorisations sont disponibles dans les sections Rédacteur de configuration de la journalisation ou Administrateur Logging{101. }. Vous pouvez également créer un rôle personnalisé avec des autorisations plus limitées.
Écrire des entrées de journal dans un bucket de journaux Personnes autorisées à écrire des entrées de journal dans un bucket de journaux spécifique logging.buckets.write

Si un récepteur de journaux achemine les entrées de journal vers un bucket de journaux dans le même projet Cloud, il ne nécessite aucune autorisation.

Si un récepteur de journaux achemine les journaux vers un bucket de journaux dans un autre projet Cloud, vous devez accorder au récepteur de journaux l'autorisation logging.buckets.write. Utilisez le rôle Rédacteur de bucket de journaux pour accorder cette autorisation dans le projet Cloud contenant le bucket de journaux. Ce rôle doit être attribué au compte de service d'un récepteur de journaux à l'aide d'une condition IAM correspondant à un bucket de journaux spécifique.

Pour obtenir un exemple de définition d'une condition IAM sur un récepteur de journaux à l'aide de l'outil gcloud, consultez la section Acheminer les journaux d'un projet vers un bucket dans un autre projet Cloud.

Lire les entrées de journal d'un bucket de journaux Qui peut afficher les entrées de journal d'un bucket de journaux spécifique à l'aide d'une vue de journal. logging.views.{access,listLogs,listResourceKeys,listResourceValues} Utilisez le rôle Outil d'accès aux vues de journaux pour accorder cette autorisation. Ce rôle doit être attribué à l'aide d'une condition IAM correspondant à une vue de journal spécifique.

Pour en savoir plus sur la définition de cette condition IAM dans une vue de journal, consultez la section Ajouter des utilisateurs à une vue de journal.

Pour obtenir la liste complète des contrôles d'accès de Logging, consultez la section Contrôle des accès.

Dépannage et questions fréquentes

Si vous rencontrez des problèmes lors de l'utilisation de buckets de journaux, reportez-vous aux procédures de dépannage suivantes et aux réponses aux questions courantes.

Pourquoi ne puis-je pas supprimer ce bucket ?

Commencez par vérifier que vous disposez des autorisations appropriées pour supprimer le bucket.

Ensuite, déterminez si le bucket est verrouillé en répertoriant les attributs du bucket. Si le bucket est verrouillé, vérifiez la durée de conservation associée. Vous ne pouvez pas supprimer un bucket verrouillé tant que tous les journaux du bucket n'ont pas atteint sa durée de conservation.

Pourquoi des journaux s'affichent-ils pour un projet Cloud alors que je les ai exclus de mon récepteur _Default ?

Vous pouvez afficher les journaux dans un bucket de journal d'un projet Cloud centralisé, qui regroupe les journaux de votre organisation.

Si vous accédez aux journaux d'un projet Cloud centralisé et que vous avez exclu des journaux du récepteur _Default, vous pouvez consulter les journaux dans l'une des conditions suivantes:

  • Afficher les journaux à l'aide de l'ancienne visionneuse de journaux, qui ne permet pas d'afficher les journaux centralisés.

    Pour résoudre ce problème, activez l'explorateur de journaux.

  • Afficher les journaux à l'aide de l'explorateur de journaux avecPortée par projet sélectionnés dans laAffiner le champ d'application vous permet d'afficher les journaux générés par le projet Cloud, quel que soit l'emplacement où vous les stockez.

    Pour résoudre ce problème, sélectionnez plutôt Champ d'application par stockage dans le panneau Affiner le champ d'application de l'explorateur de journaux, puis sélectionnez l'option _Default. dans votre projet Cloud. Vous ne devriez plus voir les journaux exclus.

Pourquoi ne puis-je pas créer de métriques basées sur les journaux pour le bucket de journaux ?

Les métriques basées sur les journaux ne s'appliquent qu'à un seul projet Google Cloud. Vous ne pouvez pas les créer pour des buckets de journaux ni pour d'autres ressources Google Cloud, telles que des comptes ou des organisations Cloud Billing.

Étape suivante

Pour en savoir plus sur les méthodes d'API du bucket de journaux, reportez-vous à la documentation de référence sur LogBucket.

Pour en savoir plus sur les cas d'utilisation courants des buckets de journaux, consultez les rubriques suivantes: