Cette page a été traduite par l'API Cloud Translation.
Switch to English

Exclusion de journaux

Cette page explique comment exclure des journaux de l'ingestion à l'aide de Cloud Console et de l'API Logging.

Cloud Logging vous permet d'exclure des journaux de vos buckets journaux en ajoutant un filtre d'exclusion sur les récepteurs de journaux qui acheminent les journaux vers vos buckets de journaux. Dans le langage de requête Logging, vous écrivez un filtre qui définit les journaux à exclure du bucket de journaux.

La page Stockage des journaux suit le volume de journaux dans votre projet. Le routeur de journaux vous permet de désactiver l'ingestion pour tous les journaux d'ingestion ou d'exclure (de supprimer) les entrées qui ne vous intéressent pas. Vous pouvez ainsi réduire au minimum les frais associés aux journaux par rapport à votre attribution mensuelle. Pour plus d'informations sur le traitement des entrées de journal exclues, consultez la section Comment fonctionnent les exclusions de cette page.

Pour en savoir plus sur les coûts de Cloud Logging, consultez la section Tarifs. Notez que si vous envoyez puis excluez vos journaux de flux de cloud privé virtuel (VPC) depuis Cloud Logging, des frais de génération de journaux de flux VPC s'appliquent.

Suivre l'utilisation des journaux

Pour suivre le volume de journaux dans votre projet, accédez à la page Stockage des journaux dans la console Cloud Logging :

Accéder à la page "Stockage des journaux"

Le haut de la page affiche un récapitulatif des statistiques des journaux que votre projet reçoit :

Statistiques récapitulatives de l'utilisation du stockage de journaux

Les statistiques suivantes sont consignées :

  • This month's ingested log volume (Volume des journaux ingérés ce mois-ci) : quantité de journaux reçus par votre projet depuis le premier jour du mois en cours.

  • Last month's ingested log volume (Volume des journaux ingérés le mois dernier) : quantité de journaux reçus par votre projet au cours du dernier mois civil.

  • Projected ingestion log volume (Volume d'ingestion de journaux prévu) : quantité estimée de journaux que votre projet aura reçus à la fin du mois en cours, en fonction de l'utilisation actuelle.

Les volumes des journaux n'incluent pas certains journaux d'audit, à savoir la totalité des journaux d'audit pour les activités d'administration et les journaux d'audit des événements système. Ces journaux sont gratuits et ne peuvent pas être exclus, ni désactivés.

Fonctionnement des exclusions

Le schéma suivant illustre la manière dont sont traitées les entrées de journal exclues dans Cloud Logging :

Schéma illustrant le routage des entrées des journaux par Cloud Logging.

Les conditions suivantes s'appliquent aux entrées de journal exclues dans Logging :

  • Les entrées de journal exclues ne sont pas prises en compte dans le quota d'attribution Logging associé aux projets. Pour en savoir plus, consultez les tarifs de Logging.

  • Les entrées de journal exclues ne sont pas visibles dans l'explorateur de journaux et ne sont pas disponibles pour Error Reporting et Cloud Debugger.

  • Vous pouvez exporter des entrées de journal en dehors de Cloud Logging à l'aide de récepteurs de journaux qui incluent des destinations de récepteur. Ces mêmes journaux peuvent également être exclus de l'ingestion. Pour plus d'informations, consultez la page Exportation de journaux.

  • Les journaux d'audit qui ne peuvent pas être désactivés ne peuvent pas non plus être exclus. Notez toutefois que ces types de journaux d'audit sont gratuits.

En créant des filtres d'exclusion, vous pouvez contrôler les entrées de journal à exclure (supprimer). Par exemple, vous pouvez exclure les entrées de journal d'une instance de VM isolée plutôt que de celles de toutes les instances de VM.

Limites d'exclusion

Vous pouvez définir jusqu'à 50 filtres d'exclusion dans un même projet.

Planification d'exclusion

Les journaux sont exclus une fois qu'ils ont été reçus par l'API Logging. Par conséquent, l'exclusion des journaux ne réduit pas le nombre d'appels d'API entries.write.

Créer des filtres d'exclusion

Vous pouvez créer un filtre d'exclusion pour un nouveau récepteur de journaux ou pour un récepteur existant.

Créer des filtres d'exclusion pour un nouveau récepteur

Pour créer un filtre d'exclusion pour un nouveau récepteur de journaux à l'aide du routeur de journaux, procédez comme suit :

  1. Suivez les procédures Créer un récepteur.

  2. À l'étape Sélectionner les journaux à exclure du récepteur (facultatif), vous pouvez créer le filtre d'exclusion permettant d'exclure les journaux.

  3. Cliquez sur Ajouter une exclusion.

  4. Saisissez un nom dans le champ Nom du filtre d'exclusion.

  5. Saisissez le Taux du filtre d'exclusion.

    Indiquez un nombre entier compris entre 0 et 100. Les journaux entrants correspondant au filtre d'exclusion sont échantillonnés en fonction de cette valeur.

    Une valeur de 0 échantillonne 0 % des journaux correspondant au filtre. Par conséquent, 0 équivaut à désactiver le filtre d'exclusion. Une valeur de 100 échantillonne 100 % de tous les journaux. Tous ceux qui correspondent au filtre d'exclusion sont donc exclus de la destination. Une valeur de 50 échantillonne 50 % des journaux correspondant au filtre d'exclusion. Par conséquent, 50 % des journaux correspondant au filtre d'exclusion sont exclus, tandis que les 50 % restants sont acheminés vers la destination.

    Vous pouvez créer jusqu'à 50 filtres d'exclusion par récepteur.

  6. Dans la section Créer un filtre d'exclusion, saisissez une expression de filtre correspondant aux entrées de journal que vous souhaitez exclure. Pour en savoir plus sur le langage de requête Logging, consultez la page Langage de requête Logging.

  7. Cliquez sur Ajouter une exclusion pour ajouter d'autres filtres si nécessaire.

  8. Lorsque vous avez terminé, cliquez sur Créer un récepteur.

Créer des filtres d'exclusion pour un récepteur existant

Pour créer un filtre d'exclusion pour un récepteur de journaux existant à l'aide du routeur de journaux, procédez comme suit :

  1. Dans le menu "Journalisation", sélectionnez Routeur de journaux.

    Accéder au routeur de journaux

  2. Pour ajouter le filtre d'exclusion au récepteur, cliquez sur Plus.

  3. Cliquez sur Modifier le récepteur.

  4. Dans la section Sélectionner les journaux à exclure du récepteur (facultatif), créez le filtre d'exclusion permettant d'exclure les journaux.

  5. Cliquez sur Ajouter une exclusion.

  6. Saisissez un nom dans le champ Nom du filtre d'exclusion.

  7. Saisissez le Taux du filtre d'exclusion.

    Indiquez un nombre entier compris entre 0 et 100. Les journaux entrants correspondant au filtre d'exclusion sont échantillonnés en fonction de cette valeur.

    Une valeur de 0 échantillonne 0 % des journaux correspondant au filtre. Par conséquent, 0 équivaut à désactiver le filtre d'exclusion. Une valeur de 100 échantillonne 100 % de tous les journaux. Tous ceux qui correspondent au filtre d'exclusion sont donc exclus de la destination. Une valeur de 50 échantillonne 50 % des journaux correspondant au filtre d'exclusion. Par conséquent, 50 % des journaux correspondant au filtre d'exclusion sont exclus, tandis que les 50 % restants sont acheminés vers la destination.

    Vous pouvez créer jusqu'à 50 filtres d'exclusion par récepteur.

  8. Dans la section Créer un filtre d'exclusion, saisissez une expression de filtre correspondant aux entrées de journal que vous souhaitez exclure. Pour en savoir plus sur le langage de requête Logging, consultez la page Langage de requête Logging.

  9. Cliquez sur Ajouter une exclusion pour ajouter d'autres filtres si nécessaire.

  10. Lorsque vous avez terminé, cliquez sur Mettre à jour le récepteur.

Lorsque vous créez un filtre, vous pouvez rencontrer l'une des situations suivantes :

  • Si vous avez modifié le filtre pour le récepteur _Default, vous souhaitez peut-être restaurer le filtre par défaut. Pour ce faire, saisissez la commande suivante dans le champ Créer un filtre d'inclusion :

    NOT LOG_ID("cloudaudit.googleapis.com/activity") AND NOT \
    LOG_ID("externalaudit.googleapis.com/activity") AND NOT \
    LOG_ID("cloudaudit.googleapis.com/system_event") AND NOT \
    LOG_ID("externalaudit.googleapis.com/system_event") AND NOT \
    LOG_ID("cloudaudit.googleapis.com/access_transparency") AND NOT \
    LOG_ID("externalaudit.googleapis.com/access_transparency")
    
  • Vous pouvez router tous les journaux vers une destination sans exclure de journaux. Pour ce faire, laissez vide le champ Créer un filtre d'inclusion.

  • Vous pouvez souhaiter empêcher tous les journaux d'atteindre une destination. Pour ce faire, désactivez le récepteur pour cette destination.

Afficher les filtres d'exclusion

Pour afficher les filtres d'exclusion actifs, procédez comme suit :

  1. Dans le menu "Journalisation", sélectionnez Routeur de journaux.

    Accéder au routeur de journaux

  2. Pour afficher les filtre d'exclusion du récepteur de votre choix, cliquez sur Plus .

  3. Sélectionnez Afficher les informations sur le récepteur.

  4. Un panneau affiche les informations sur le récepteur, y compris les filtres d'exclusion.

    Image du panneau "Informations sur le récepteur"

    Dans cet exemple, les informations sur le bucket _Default sont affichées et la journalisation a été désactivée, comme indiqué par le filtre google-ui-logs-ingestion-off.

Modifier les exclusions

Vous pouvez modifier vos filtres d'exclusion existants afin d'exclure davantage ou moins d'entrées de journal.

  1. Dans le menu "Journalisation", sélectionnez Routeur de journaux.

    Accéder au routeur de journaux

  2. Pour afficher les filtre d'exclusion du récepteur de votre choix, cliquez sur Plus .

  3. Cliquez sur Modifier le récepteur.

  4. Dans la section Créer un filtre d'exclusion, modifiez l'expression du filtre pour qu'elle corresponde aux entrées de journal que vous souhaitez exclure.

  5. Cliquez sur Ajouter une exclusion pour ajouter d'autres filtres si nécessaire.

  6. Lorsque vous avez terminé, cliquez sur Mettre à jour le récepteur.

Supprimer des exclusions

Pour modifier, désactiver ou supprimer un filtre d'exclusion, suivez le guide Modifier les exclusions afin de supprimer une exclusion pour un récepteur spécifique.

Exclusions dans l'API

Pour créer des filtres d'exclusion dans l'API Logging, utilisez la méthode projects.exclusions.create.

Il existe également des méthodes pour afficher, supprimer et mettre à jour les filtres d'exclusion.

L'API contient également des méthodes d'exclusion pour les journaux reçus par les organisations, les comptes de facturation et les dossiers. Ces exclusions ne peuvent être créées que dans l'API Logging. Elles ne sont pas disponibles dans la console Cloud Logging.

Pour voir des exemples de requêtes de journaux pouvant être utiles dans les exclusions, consultez la page Exemples de requêtes.

Exclusions échantillonnées dans l'API

Pour exclure moins de 100 % des entrées de journal correspondantes, utilisez la fonction sample de votre requête de journaux.

Exporter les journaux exclus

Vous pouvez exporter des entrées de journal vers Cloud Storage, BigQuery ou Pub/Sub avant de les exclure, afin de ne pas les perdre définitivement.

Pour commencer à appliquer votre exclusion et exporter les entrées de journal, procédez comme suit :

  1. Créez une requête correspondant aux entrées de journal que vous souhaitez exclure et exporter.

    Conseil : Définissez la requête de sorte qu'elle ne corresponde à aucun journal d'audit activé par défaut. La correspondance de ces entrées de journal d'audit n'affecte pas les exclusions, mais elle provoque l'exportation de nombreuses entrées de journal supplémentaires.

  2. Créez un récepteur d'exportation à l'aide de votre requête de journaux, puis commencez à exporter les entrées de journal correspondantes.

  3. Créez un filtre d'exclusion à l'aide de votre requête de journaux et commencez à exclure les entrées de journal correspondantes.

Pour interrompre les exclusions et l'exportation, désactivez le filtre d'exclusion, puis le récepteur d'exportation.

Pour en savoir plus sur l'exportation de journaux, consultez la page Exporter des journaux.

Tarifs de l'exportation

Les journaux exportés ne sont pas facturés par Cloud Logging, mais des frais de destination peuvent s'appliquer. Pour en savoir plus, consultez la page des tarifs du produit concerné :

Notez également que si vous exportez vos journaux de flux de cloud privé virtuel (VPC) puis que vous les excluez de Cloud Logging, des frais de génération des journaux de flux VPC s'appliquent en plus des frais de destination.