Cette page a été traduite par l'API Cloud Translation.

Présentation des récepteurs agrégés

Ce document décrit les récepteurs agrégés, qui vous permettent de regrouper et d'acheminer les entrées de journaux provenant de ressources d'un dossier ou d'une organisation vers une destination compatible. Nous vous recommandons d'utiliser des collecteurs agrégés pour acheminer vos données de journaux vers un emplacement de stockage centralisé.

À propos des récepteurs agrégés

Un récepteur agrégé est semblable à un récepteur au niveau du projet, car il contient des filtres et une destination. Toutefois, le routeur de journaux envoie les entrées de journal suivantes à un récepteur agrégé :

Toutes les entrées de journal provenant d'un dossier ou d'une organisation.
Toutes les entrées de journal provenant des ressources enfants du dossier ou de l'organisation.

Par exemple, si vous créez un récepteur agrégé au niveau du dossier, le routeur de journaux envoie à ce récepteur toutes les entrées de journal qui proviennent du dossier ou des ressources enfants du dossier.

Lorsque des récepteurs agrégés existent dans la hiérarchie des ressources d'une entrée de journal, le routeur de journaux envoie d'abord l'entrée de journal à ces récepteurs. Étant donné que les récepteurs agrégés peuvent être interceptés ou non, il est possible que le routeur de journaux n'envoie pas une entrée de journal acheminée par un récepteur agrégé vers les récepteurs au niveau du projet.

Récepteur agrégé d'interception

Un récepteur agrégé d'interception empêche le routage des entrées de journal vers les récepteurs des ressources enfants, à l'exception des récepteurs _Required dans les ressources où les entrées de journal sont générées. Un récepteur agrégé d'interception peut être utile pour empêcher le stockage de copies en double des entrées de journaux à plusieurs endroits.

Par exemple, supposons que vous deviez activer les journaux d'audit pour l'accès aux données à des fins d'audit. Pour simplifier votre analyse, vous devez stocker ces journaux dans un emplacement central. Toutefois, pour des raisons de sécurité et de coût, vous souhaitez également empêcher le stockage de ces journaux au niveau du projet. Dans ce scénario, vous pouvez créer un récepteur agrégé d'interception.

Récepteur agrégé non interceptant

Un récepteur agrégé sans interception n'affecte pas la façon dont les entrées de journal sont acheminées vers d'autres récepteurs. En d'autres termes, même lorsqu'une entrée de journal correspond au filtre d'un récepteur agrégé non interceptant, elle est ensuite transférée vers d'autres récepteurs de la hiérarchie des ressources de l'entrée de journal. Un récepteur agrégé sans interception vous permet de conserver la visibilité sur les entrées de journaux dans les ressources dans lesquelles elles ont été générées.

Par exemple, vous pouvez créer un récepteur agrégé non interceptant qui achemine toutes les entrées de journal générées à partir des dossiers contenus dans une organisation vers un bucket de journaux central. Les entrées de journal sont stockées dans le bucket de journaux central. Toutefois, comme le récepteur n'est pas interceptif, le routeur de journaux envoie également les entrées de journal aux récepteurs de journaux de la ressource dans laquelle elles ont été générées.

Exemples de routage

Cette section explique comment une entrée de journal provenant d'un projet peut transiter par les récepteurs de sa hiérarchie de ressources.

Exemple : Aucun récepteur agrégé n'existe

Lorsqu'aucun récepteur agrégé n'existe dans la hiérarchie des ressources de l'entrée de journal, celle-ci est envoyée aux récepteurs de journaux du projet dans lequel elle a été créée. Un récepteur au niveau du projet achemine l'entrée de journal vers la destination du récepteur lorsque l'entrée de journal correspond au filtre d'inclusion du récepteur, mais ne correspond à aucun de ses filtres d'exclusion.

Exemple : Un récepteur agrégé sans interception existe

Supposons qu'un récepteur agrégé non interceptant existe dans la hiérarchie des ressources pour une entrée de journal. Une fois que le routeur de journaux a envoyé l'entrée de journal au récepteur agrégé sans interception, les événements suivants se produisent :

Le récepteur agrégé sans interception achemine l'entrée de journal vers la destination du récepteur lorsque l'entrée de journal correspond au filtre d'inclusion, mais ne correspond à aucun filtre d'exclusion.
Le routeur de journaux envoie l'entrée de journal aux récepteurs de journaux du projet dans lequel elle a été générée.

Un récepteur au niveau du projet achemine l'entrée de journal vers la destination du récepteur lorsque l'entrée de journal correspond au filtre d'inclusion du récepteur, mais ne correspond à aucun de ses filtres d'exclusion.

Exemple : Un récepteur agrégé d'interception existe

Supposons qu'un récepteur agrégé d'interception existe dans la hiérarchie des ressources pour une entrée de journal. Une fois que le routeur de journaux a envoyé l'entrée de journal au récepteur agrégé d'interception, l'une des situations suivantes se produit :

L'entrée de journal correspond au filtre d'inclusion, mais pas à un filtre d'exclusion :
1. L'entrée de journal est acheminée vers la destination du récepteur agrégé d'interception.
2. L'entrée de journal est envoyée au récepteur _Required du projet dans lequel elle a été générée.
L'entrée de journal ne correspond pas au filtre d'inclusion ou correspond à au moins un filtre d'exclusion :
1. L'entrée de journal n'est pas acheminée par le récepteur agrégé d'interception.
2. Le routeur de journaux envoie l'entrée de journal aux récepteurs de journaux du projet dans lequel elle a été générée.
  
  Un récepteur au niveau du projet achemine l'entrée de journal vers la destination du récepteur lorsque l'entrée de journal correspond au filtre d'inclusion du récepteur, mais ne correspond à aucun de ses filtres d'exclusion.

Destinations acceptées pour les récepteurs agrégés

Cette section liste les destinations compatibles avec les récepteurs agrégés.

Récepteurs d'interception

La destination d'un récepteur agrégé d'interception doit être un projetGoogle Cloud .

Les récepteurs de journaux du projet de destination redirigent les entrées de journal vers leurs destinations. Toutes les destinations sont acceptées, à l'exception des projets. Par exemple, les collecteurs de journaux du projet de destination peuvent rediriger les entrées de journaux vers un bucket de journaux.

Récepteurs sans interception

La destination d'un récepteur agrégé non interceptant peut être l'une des suivantes :

La destination d'un récepteur peut se trouver dans une ressource différente de celle du récepteur. Par exemple, vous pouvez utiliser un récepteur de journaux pour acheminer des entrées de journaux d'un projet vers un bucket de journaux stocké dans un autre projet.

Les destinations suivantes sont acceptées :

Google Cloud projet: Sélectionnez cette destination lorsque vous souhaitez que les récepteurs de journaux du projet de destination réacheminent vos entrées de journal ou lorsque vous avez créé un récepteur agrégé d'interception. Les récepteurs de journaux du projet qui est la destination du récepteur peuvent rediriger les entrées de journal vers n'importe quelle destination compatible, à l'exception d'un projet.

Remarque : Il s'agit du seul type de destination vers lequel les entrées de journaux sont redirigées. Par exemple, si vous acheminez des entrées de journal d'un projet vers un bucket de journaux dans un autre projet, ces entrées de journal ne sont pas réacheminées par les récepteurs de journaux du projet qui stocke le bucket de journaux.

Bucket de journaux

Sélectionnez cette destination lorsque vous souhaitez stocker vos données de journaux dans des ressources gérées par Cloud Logging. Les données de journaux stockées dans des buckets de journaux peuvent être consultées et analysées à l'aide de services tels que l'explorateur de journaux et l'analyse de journaux.

Si vous souhaitez joindre vos données de journaux à d'autres données d'entreprise, vous pouvez stocker vos données de journaux dans un bucket de journaux et créer un ensemble de données BigQuery associé. Un ensemble de données associé est un ensemble de données en lecture seule qui peut être interrogé comme n'importe quel autre ensemble de données BigQuery.

Ensemble de données BigQuery: Sélectionnez cette destination lorsque vous souhaitez associer vos données de journaux à d'autres données d'entreprise. L'ensemble de données que vous spécifiez doit être activé en écriture. Ne définissez pas la destination d'un récepteur sur un ensemble de données BigQuery associé. Les ensembles de données associés sont en lecture seule.

Bucket Cloud Storage: Sélectionnez cette destination si vous souhaitez stocker vos données de journaux à long terme. Le bucket Cloud Storage peut se trouver dans le même projet que celui d'où proviennent les entrées de journal ou dans un autre projet. Les entrées de journaux sont stockées sous forme de fichiers JSON.

Sujet Pub/Sub: Sélectionnez cette destination lorsque vous souhaitez exporter vos données de journaux depuisGoogle Cloud , puis utiliser des intégrations tierces comme Splunk ou Datadog. Les entrées de journal sont mises au format JSON, puis acheminées vers un sujet Pub/Sub.

Bonnes pratiques

Nous vous recommandons de définir la destination d'un récepteur agrégé sur un projet Google Cloud . Avec cette destination, les récepteurs de journaux du projet Google Cloud de destination redirigent les entrées de journal. Le récepteur _Required n'achemine que les entrées de journal qui correspondent à son filtre et qui proviennent de la ressource dans laquelle le récepteur est défini. Par conséquent, si vous souhaitez stocker des copies supplémentaires des entrées de journaux correspondant au filtre du récepteur _Required, vous devez créer un récepteur de journaux personnalisé ou modifier le filtre du récepteur de journaux _Default.

Lorsque vous créez un récepteur d'interception, nous vous recommandons d'effectuer les opérations suivantes :

Déterminez si les ressources enfants ont besoin d'un contrôle indépendant du routage de leurs entrées de journal. Si une ressource enfant a besoin d'un contrôle indépendant de certaines entrées de journal, vérifiez que votre récepteur d'interception ne les route pas.
Ajoutez des coordonnées à la description d'un récepteur d'interception. Cela peut être utile si les personnes qui gèrent le récepteur d'interception sont différentes de celles qui gèrent les projets dont les entrées de journal sont interceptées.
Testez la configuration de votre récepteur en créant d'abord un récepteur agrégé non interceptant pour vérifier que les entrées de journal appropriées sont acheminées.

Intercepter les récepteurs agrégés et les métriques basées sur les journaux

Les métriques basées sur les journaux sont des métriques Cloud Monitoring dérivées du contenu des entrées de journal. La façon dont une entrée de journal est routée détermine les métriques basées sur les journaux auxquelles elle peut contribuer. Étant donné qu'un récepteur agrégé d'interception affecte le routage des entrées de journal, la création de ce type de récepteur peut entraîner des modifications des valeurs des métriques basées sur les journaux existantes.

Pour en savoir plus, consultez Comment le routage des entrées de journal affecte les métriques basées sur les journaux.

Sinks agrégés et VPC Service Controls

Les limites suivantes s'appliquent lorsque vous utilisez des récepteurs agrégés et VPC Service Controls :

Les récepteurs agrégés peuvent accéder aux données des projets situés à l'intérieur d'un périmètre de service. Pour empêcher les récepteurs agrégés d'accéder aux données d'un périmètre, nous vous recommandons d'utiliser IAM pour gérer les autorisations Logging.
VPC Service Controls ne permet pas d'ajouter des ressources de dossier ou d'organisation à des périmètres de service. Par conséquent, vous ne pouvez pas utiliser VPC Service Controls pour protéger les journaux au niveau des dossiers et des organisations, y compris les journaux agrégés. Pour gérer les autorisations Logging au niveau du dossier ou de l'organisation, nous vous recommandons d'utiliser IAM.
Si vous acheminez des journaux à l'aide d'un récepteur au niveau d'un dossier ou d'une organisation vers une ressource protégée par un périmètre de service, vous devez ajouter une règle d'entrée au périmètre de service. La règle d'entrée doit autoriser l'accès à la ressource à partir du compte de service utilisé par le récepteur agrégé. Pour en savoir plus, consultez les articles suivants :
- Ingress et de sortie
- Gérer les périmètres de service
Lorsque vous spécifiez une règle d'entrée ou de sortie pour un périmètre de service, vous ne pouvez pas utiliser ANY_SERVICE_ACCOUNT et ANY_USER_ACCOUNT en tant que type d'identité lorsque vous utilisez un récepteur de journaux pour acheminer les journaux vers des ressources Cloud Storage. Toutefois, vous pouvez utiliser ANY_IDENTITY comme type d'identité.

Étapes suivantes

Pour savoir comment créer un récepteur agrégé, consultez Générer et acheminer des journaux au niveau de l'organisation et des dossiers vers des destinations compatibles.
Pour suivre un tutoriel, consultez Agréger et stocker les journaux de votre organisation.
Pour en savoir plus sur la gestion des récepteurs existants, consultez Acheminer les journaux vers des destinations compatibles : gérer les récepteurs.
Pour savoir comment afficher vos journaux dans leur destination, et découvrir comment les journaux sont formatés et organisés, consultez la page Afficher les journaux dans les destinations de récepteur.