Esquema do BigQuery para registros

Nesta página, detalhamos a formatação e as regras que se aplicam ao rotear entradas de registro do Cloud Logging para o BigQuery.

Visão geral

É possível rotear entradas de registro do Cloud Logging para o BigQuery usando coletores. Ao criar um coletor, você define um conjunto de dados do BigQuery como destino. O Logging envia entradas de registro que correspondem às regras do coletor para tabelas particionadas criadas para você nesse conjunto de dados do BigQuery.

Os esquemas de tabelas do BigQuery para dados recebidos do Cloud Logging são baseados na estrutura do tipo LogEntry e no conteúdo dos payloads da entrada de registro. O Cloud Logging também aplica regras para encurtar nomes de campo de esquema do BigQuery para registros de auditoria e para determinados campos de payload estruturados.

Os coletores de registro transmitem os dados de geração de registros para o BigQuery em pequenos lotes, o que permite consultar dados sem executar um job de carregamento. Para mais detalhes, consulte Como fazer streaming de dados para o BigQuery. Para informações sobre preços, consulte a seção de inserções por streaming em Preços do BigQuery: preços de ingestão de dados.

Convenções de nomenclatura de campo

Há algumas convenções de nomenclatura que se aplicam aos campos de entrada de registro ao enviar registros para o BigQuery:

  • Os nomes de campos de entrada de registro não podem ter mais de 128 caracteres.

  • Os nomes dos campos de entrada de registro podem ser compostos apenas por caracteres alfanuméricos. Todos os caracteres incompatíveis são removidos dos nomes dos campos e substituídos por caracteres sublinhados. Por exemplo, jsonPayload.foo%% seria transformado em jsonPayload.foo__.

    Os nomes dos campos de entrada de registro precisam começar com um caractere alfanumérico, mesmo após a transformação. Os sublinhados iniciais são removidos.

  • Para os campos de entrada de registro que fazem parte do tipo LogEntry, os nomes de campo correspondentes do BigQuery são iguais a eles.

  • Para qualquer campo de entrada de registro fornecido pelo usuário, os nomes de campo correspondentes do BigQuery são normalizados para letras minúsculas, mas a nomenclatura é preservada.

  • Para campos em payloads estruturados, contanto que o especificador @type não esteja presente, os nomes de campo correspondentes do BigQuery são normalizados para letras minúsculas, mas a nomenclatura é preservada.

    Para informações sobre payloads estruturados em que o especificador @type está presente, consulte Campos de payload com @type nesta página.

Os exemplos a seguir mostram como essas convenções de nomenclatura são aplicadas:

Campo de entrada de registro Mapeamento do tipo LogEntry Nome do campo do BigQuery
insertId insertId insertId
textPayload textPayload textPayload
httpRequest.status httpRequest.status httpRequest.status
httpRequest.requestMethod.GET httpRequest.requestMethod.[ABC] httpRequest.requestMethod.get
resource.labels.moduleid resource.labels.[ABC] resource.labels.moduleid
jsonPayload.MESSAGE jsonPayload.[ABC] jsonPayload.message
jsonPayload.myField.mySubfield jsonPayload.[ABC].[XYZ] jsonPayload.myfield.mysubfield

Campos de payload com @type

Nesta seção, discutimos nomes de campo especiais de esquema do BigQuery para entradas de registro com payloads que contêm o especificador @type. Isso inclui entradas de registro de auditoria roteadas para o BigQuery.

Os payloads nas entradas de registro podem conter dados estruturados. Qualquer um desses campos pode incluir um especificador de tipo opcional no seguinte formato:

@type: type.googleapis.com/[TYPE]

As regras de nomenclatura explicam por que o campo protoPayload de uma entrada de registro de auditoria pode ser mapeado para o campo do esquema do BigQuery protopayload_auditlog.

Regras de nomenclatura para @type

Os campos estruturados que têm especificadores de tipo recebem nomes de campo do BigQuery com [TYPE] anexado a eles. O valor de [TYPE] pode ser qualquer string.

As regras de nomenclatura para @type se aplicam somente ao nível superior de jsonPayload ou protoPayload. Campos aninhados são ignorados. Ao tratar campos de payload estruturados de nível superior, o Logging remove o prefixo type.googleapis.com.

Por exemplo, na tabela a seguir você verá o mapeamento de campos de payload estruturados em nível superior em nomes de campo do BigQuery:

Payload @type do payload Campo de payload Nome do campo do BigQuery
jsonPayload (nenhum) statusCode jsonPayload.statusCode
jsonPayload type.googleapis.com/abc.Xyz statusCode jsonpayload_abc_xyz.statuscode
protoPayload (nenhum) statusCode protoPayload.statuscode
protoPayload type.googleapis.com/abc.Xyz statusCode protopayload_abc_xyz.statuscode

Algumas exceções se aplicam às regras anteriores para campos com especificadores de tipo:

  • Nos registros de solicitação do App Engine, o nome do payload nos registros roteados para o BigQuery é protoPayload, embora o payload inclua um especificador de tipo.

  • O Cloud Logging aplica algumas regras especiais para encurtar os nomes de campo do esquema do BigQuery para registros de auditoria. Isso é discutido na seção Campos do registro de auditoria nesta página.

Exemplo

Este exemplo mostra como os campos de payload estruturados são nomeados e usados quando recebidos pelo BigQuery.

Suponha que o payload de uma entrada de registro esteja estruturado assim:

jsonPayload: {
  @type: "type.googleapis.com/google.cloud.v1.CustomType"
    name_a: {
      sub_a: "A value"
    }
    name_b: {
      sub_b: 22
    }
  }

O mapeamento nos campos do BigQuery será o seguinte:

  • O campo estruturado de nível superior jsonPayload contém um especificador @type. O nome do BigQuery é jsonpayload_v1_customtype.

  • Os campos aninhados são tratados com as regras de nomenclatura padrão do BigQuery, já que as regras de especificador de tipo não se aplicam a campos aninhados.

Assim, são definidos os seguintes nomes do BigQuery para o payload da entrada de registro:

  jsonpayload_v1_customtype
  jsonpayload_v1_customtype._type
  jsonpayload_v1_customtype.name_b
  jsonpayload_v1_customtype.name_b.sub_b
  jsonpayload_v1_customtype.name_a
  jsonpayload_v1_customtype.name_a.sub_a

Campos de registros de auditoria

Se você não estiver trabalhando com registros de auditoria que foram roteados para o BigQuery, ignore esta seção.

Os campos de payload protoPayload.request, protoPayload.response e protoPayload.metadata do registro de auditoria têm especificadores @type, mas são tratados como dados JSON. Ou seja, seus nomes de esquema do BigQuery são os nomes dos campos com Json anexados a eles, contendo dados de string no formato JSON.

Os dois conjuntos de nomes de campo do payload do registro de auditoria estão listados na tabela a seguir:

Campo de entrada de registro Nome do campo do BigQuery
protoPayload protopayload_auditlog
protopayload.metadata protopayload_auditlog.metadataJson
protoPayload.serviceData protopayload_auditlog.servicedata_v1_bigquery
Exemplo: protopayload_auditlog.servicedata_v1_bigquery.tableInsertRequest
protoPayload.request protopayload_auditlog.requestJson
protoPayload.response protopayload_auditlog.responseJson

Observe que a convenção de nomenclatura serviceData é específica para registros de auditoria gerados pelo BigQuery e roteados do Cloud Logging para o BigQuery. Essas entradas de registro de auditoria contêm um campo serviceData que tem um especificador @type de type.googleapis.com/google.cloud.bigquery.logging.v1.auditdata.

Exemplo

Uma entrada de registro de auditoria gerada pelo BigQuery tem um campo com o seguinte nome:

protoPayload.serviceData.tableInsertRequest

Se essa entrada de registro fosse roteada para o BigQuery, como seria o campo tableInsertRequest? Antes do encurtamento do nome, o nome do campo correspondente no BigQuery seria:

protopayload_google_cloud_audit_auditlog.servicedata_google_cloud_bigquery_logging_v1_auditdata.tableInsertRequest

Depois de encurtá-lo, o mesmo campo aparece nas tabelas do BigQuery assim:

protopayload_auditlog.servicedata_v1_bigquery.tableInsertRequest

Tabelas particionadas

Nesta seção, você tem uma visão geral das tabelas particionadas para registros roteados para o BigQuery.

Quando você encaminha registros para um conjunto de dados do BigQuery, o Logging cria tabelas para armazenar as entradas de registro. Há dois tipos de tabelas pelas quais o Logging organiza os dados que roteia: tabelas fragmentadas por datas e tabelas particionadas. Os dois tipos de tabela particionam os dados de registros com base nos campos timestamp de entradas de registro. No entanto, há duas diferenças principais entre os tipos de tabela, da seguinte maneira:

  • Desempenho: uma tabela particionada divide uma tabela grande em partições menores para melhorar o desempenho da consulta e, assim, controlar melhor os custos do BigQuery, reduzindo o número de bytes lidos por uma consulta.

  • Nomenclatura de tabela: os tipos de tabela usam diferentes convenções de nomenclatura, conforme discutido na seção abaixo.

Organização da tabela

As entradas de registro são fragmentadas em tabelas do BigQuery com organização e nomes baseados nos nomes de registro e carimbos de data/hora das entradas.

Os nomes das tabelas são sufixados com a data do calendário do carimbo de data/hora UTC da entrada de registro, usando o formato básico ISO 8601 (AAAAMMDD).

Na tabela a seguir, você verá exemplos de como nomes de registro e amostras de carimbos de data/hora são mapeados para nomes de tabela no BigQuery:

Nome do registro Entrada de registro timestamp Nome da tabela do BigQuery
(organizado por data)
Nome da tabela do BigQuery
(particionado)
syslog 2017-05-23T18:19:22.135Z syslog_20170523 syslog
apache-access 2017-01-01T00:00:00.000Z apache_access_20170101 apache_access
compute.googleapis.com/activity_log 2017-12-31T23:59:59.999Z compute_googleapis_com_activity_log_20171231 compute_googleapis_com_activity_log

Como criar tabelas particionadas

Ao criar um coletor para rotear seus registros para o BigQuery, é possível usar tabelas fragmentadas por datas ou tabelas particionadas. A seleção padrão é uma tabela fragmentada por datas.

Para instruções sobre como usar o Console do Google Cloud, consulte Configurar e gerenciar coletores.

Para receber instruções usando a ferramenta de linha de comando gcloud, consulte gcloud logging sinks create.

Incompatibilidades no esquema

A primeira entrada de registro recebida pelo BigQuery determina o esquema da tabela de destino do BigQuery. O BigQuery cria uma tabela com colunas baseadas nos campos da primeira entrada de registro e seus tipos.

Uma incompatibilidade de esquema ocorre quando as entradas de registro são gravadas na tabela de destino e um dos seguintes erros ocorre:

  • Uma entrada de registro posterior altera o tipo de campo de um campo existente na tabela.

    Por exemplo, se o campo jsonPayload.user_id da entrada de registro inicial for string, essa entrada de registro gerará uma tabela com um tipo de string para esse campo. Se, posteriormente, você começar a registrar jsonPayload.user_id como um array, isso causará uma incompatibilidade de esquema.

  • Novos campos são adicionados a uma entrada de registro e isso faz com que o número de colunas na tabela de destino exceda o limite de colunas do BigQuery. Para mais informações sobre o limite de colunas, consulte Cotas e limites do BigQuery.

Quando o BigQuery identifica uma incompatibilidade de esquema, ele cria uma tabela no conjunto de dados correspondente para armazenar as informações de erro. O tipo da tabela determina o nome dela. Para tabelas fragmentadas por data, o formato de nomenclatura é export_errors_YYYYMMDD. Para tabelas particionadas, o formato de nomenclatura é export_errors. Para mais informações, consulte Organização da tabela.

Ao encaminhar entradas de registro, o Logging envia mensagens como um lote para o BigQuery. O BigQuery usa as seguintes regras para determinar em qual tabela as entradas de registro no lote atual de mensagens são gravadas:

  • Quando ocorre uma alteração de tipo de campo, apenas as entradas de registro que causaram uma incompatibilidade de esquema são gravadas na tabela de erros. As entradas de registro no lote atual de mensagens que não causam uma incompatibilidade de esquema são gravadas na tabela de destino original.

  • Quando o limite de colunas é excedido, todas as entradas de registro no lote atual de mensagens são gravadas na tabela de erros.

A tabela de erros contém dados de LogEntry e informações sobre a incompatibilidade:

  • Campos LogEntry gravados na tabela de erros:

    • logName
    • timestamp
    • receiveTimestamp
    • severity
    • insertId
    • trace
    • resource.type
  • Informações de incompatibilidade de esquema gravadas na tabela de erros:

    • Caminho completo do recurso para o coletor de registros
    • A mensagem de erro completa retornada pelo BigQuery
    • A entrada de registro completa. No entanto, a entrada de registro é convertida de JSON em uma string

O Logging comunica incompatibilidades de esquema ao projeto do Cloud que contém o coletor de roteamento das seguintes maneiras:

  • Os proprietários do projeto recebem um e-mail. Os detalhes incluem: ID do projeto do Google Cloud, nome do coletor e destino.
  • A página "Atividade do Console do Google Cloud" exibe um erro, Stackdriver Config error. Os detalhes incluem o nome do coletor e o destino e um link com um exemplo de uma entrada de registro que causou o erro.
  • A métrica com base em registros do sistema exports/error_count informa o número total de entradas de registro que não foram roteadas devido a erros.

Para corrigir inconsistências de tipo de campo em entradas de registro posteriores, corrija o tipo de campo para que ele corresponda ao esquema atual. Também é possível renomear a tabela ou alterar os parâmetros do coletor, para que o Logging recrie a tabela em um conjunto de dados diferente. Para instruções, consulte Configurar e gerenciar coletores.

Veja os registros

Para instruções sobre como visualizar os registros roteados no BigQuery, consulte Visualizar registros nos destinos do coletor.