Régionaliser vos journaux

Cette page explique comment stocker vos journaux dans un bucket Cloud Logging dans une région désignée. Pour obtenir la liste des régions acceptées, consultez la section Emplacements.

Ce guide décrit ce processus à l'aide d'un exemple dans lequel tous les journaux sont redirigés vers la région europe-west1. Ce processus comprend les étapes suivantes :

  1. Créer un bucket de journaux dans la région désignée pour stocker les journaux.

  2. Rediriger le récepteur _Default afin d'acheminer les journaux vers le nouveau bucket de journaux.

  3. Rechercher des journaux dans l'explorateur de journaux.

  4. (Facultatif) Mettre à jour la durée de conservation des journaux.

Présentation

Dans Logging, les buckets de journaux sont des ressources régionales: l'infrastructure qui stocke, indexe et recherche vos journaux est située dans un emplacement géographique spécifique. Google gère cette infrastructure afin que vos applications soient disponibles de manière redondante dans les zones de cette région.

Votre organisation peut être amenée à stocker ses données de journaux dans des régions spécifiques. Les principaux facteurs qui déterminent la région dans laquelle vos journaux sont stockés consistent, entre autres, à répondre aux exigences de latence, de disponibilité ou de conformité de votre organisation. Lorsque vous sélectionnez une région pour le stockage des journaux, tenez compte des emplacements des autres produits et services Google Cloud utilisés par votre application.

Concepts clés

Les concepts clés suivants s'appliquent à la régionalisation des données pour Logging.

Emplacements des routeurs de journaux

Le routeur de journaux traite toutes les entrées de journal écrites dans l'API Cloud Logging. Il vérifie chaque entrée de journal par rapport aux règles existantes pour déterminer les entrées de journal à stocker dans les buckets Logging et celles à acheminer vers les destinations compatibles à l'aide de récepteurs. Pour acheminer les journaux de manière fiable, le routeur de journaux les stocke également temporairement, ce qui les met en mémoire tampon pour les protéger contre les perturbations temporaires des récepteurs.

Le routeur de journaux traite les journaux dans la région dans laquelle ils sont reçus. Le routeur de journaux peut envoyer des journaux à une autre région en fonction de la définition d'un récepteur ou si vous avez choisi de partager les données de journaux avec un autre service Google tel que Security Command Center Threat Detection. Les récepteurs s'appliquent aux journaux de manière égale, quelle que soit la région.

Emplacements des buckets de journaux

Les buckets de journaux sont les conteneurs de votre projet, compte de facturation, dossier et organisation Google Cloud qui stockent et organisent les données de vos journaux.

Pour chaque projet, compte de facturation, dossier et organisation Google Cloud, Logging crée automatiquement deux buckets de journaux: _Required et _Default, qui sont définis sur l'emplacement global. Vous ne pouvez pas modifier l'emplacement des buckets existants. Toutefois, votre organisation peut créer une règle qui définit un emplacement par défaut différent pour ces buckets. Pour en savoir plus, consultez Configurer les paramètres par défaut pour les organisations.

Vous pouvez également créer des buckets définis par l'utilisateur pour n'importe quel projet Google Cloud. Lorsque vous créez un bucket défini par l'utilisateur, vous pouvez spécifier un emplacement region pour stocker les données de ses journaux. Une fois que vous avez créé le bucket, l'emplacement ne peut plus être modifié, mais vous pouvez créer un bucket et diriger les journaux vers celui-ci à l'aide de récepteurs. Pour savoir comment définir la région de vos buckets, consultez la section Régionaliser vos journaux.

Logging permet d'interroger les journaux de plusieurs régions simultanément. Dans ce cas, les requêtes sont traitées aux mêmes emplacements que les buckets interrogés, puis agrégées dans la région depuis laquelle la requête a été reçue pour renvoyer les résultats.

Avant de commencer

Pour suivre la procédure décrite dans ce guide, vous devez connaître les informations suivantes :

  • Dans quel projet Google Cloud souhaitez-vous stocker les journaux ? Dans ce guide, nous utilisons un projet Google Cloud appelé logs-test-project.

  • Quels sont le nom et l'emplacement du bucket de journaux dans lequel vous souhaitez stocker les journaux ? Dans ce guide, le nom du bucket est region-1-logs-bucket et son emplacement est europe-west1.

  • Quels journaux voulez-vous inclure ? Dans ce guide, nous incluons tous les journaux acheminés par le récepteur _Default.

Régions où le service est disponible

Lorsque vous créez votre bucket de journaux, vous pouvez choisir l'emplacement où stocker vos journaux. Pour obtenir la liste des régions acceptées, consultez la section Zones.

Créer le bucket de journaux

Les buckets de journaux stockent les journaux acheminés à partir d'autres projets, dossiers ou organisations Google Cloud. Pour en savoir plus, consultez la section Configurer des buckets de journaux.

Pour créer le bucket dans le projet Google Cloud dans lequel vous souhaitez stocker les journaux, procédez comme suit:

  1. Accédez à la console Google Cloud ou cliquez sur le bouton suivant:

    Accéder à Google Cloud Console

  2. Dans un terminal, exécutez la commande suivante pour créer un bucket, en remplaçant les parties en gras par vos propres informations :

     gcloud logging buckets create region-1-logs-bucket \
       --location=europe-west1 \
       --project=logs-test-project
    
  3. Vérifiez que le bucket a été créé :

    gcloud logging buckets list --project=logs-test-project
    

Rediriger le récepteur de journaux _Default

Pour acheminer des journaux vers un bucket de journaux, vous devez créer un récepteur. Un récepteur inclut un filtre qui sélectionne les entrées de journal à exporter via le récepteur, et une destination. Dans ce guide, nous mettons à jour le récepteur _Default existant pour acheminer les journaux vers notre bucket, region-1-logs-bucket.

Pour mettre à jour le récepteur, exécutez la commande suivante, en remplaçant les parties en gras par vos propres informations :

gcloud logging sinks update _Default \
  logging.googleapis.com/projects/logs-test-project/locations/europe-west1/buckets/region-1-logs-bucket \
  --log-filter='NOT LOG_ID("cloudaudit.googleapis.com/activity") AND NOT
    LOG_ID("externalaudit.googleapis.com/activity") AND NOT
    LOG_ID("cloudaudit.googleapis.com/system_event") AND NOT
    LOG_ID("externalaudit.googleapis.com/system_event") AND NOT
    LOG_ID("cloudaudit.googleapis.com/access_transparency") AND NOT
    LOG_ID("externalaudit.googleapis.com/access_transparency")' \
  --description="Updated the _Default sink to route logs to the europe-west1 region"

Créer une entrée de journal pour tester le récepteur

Pour vérifier que le récepteur a bien été mis à jour, procédez comme suit :

  1. Envoyez un message de journal de test au bucket régionalisé à l'aide de la commande gcloud logging write, puis attendez quelques minutes. Exemple :

    gcloud logging write TEST_LOG_NAME "Test to route logs to region-1-logs-bucket" --project=logs-test-project
    
  2. Dans le panneau de navigation de la console Google Cloud, sélectionnez Logging, puis Explorateur de journaux :

    Accéder à l'explorateur de journaux

  3. Dans le volet Champs de journal, sélectionnez le type de ressource Global.

  4. Votre entrée de journal de test s'affiche dans le panneau Résultats de la requête.

Rechercher des journaux dans la console Google Cloud

Après avoir défini les autorisations dans la section précédente, accédez à la console Google Cloud et procédez comme suit:

  1. Dans le panneau de navigation de la console Google Cloud, sélectionnez Logging, puis Explorateur de journaux :

    Accéder à l'explorateur de journaux

  2. Sélectionnez Affiner le niveau d'accès.

  3. Dans le panneau Affiner le niveau d'accès, sélectionnez Recherche par espace de stockage.

  4. Sélectionnez region-1-logs-bucket.

  5. Cliquez sur Appliquer.

  6. L'explorateur de journaux s'actualise pour afficher les journaux du bucket.

    Pour en savoir plus sur l'utilisation de l'explorateur de journaux, consultez la page Utiliser l'explorateur de journaux.

[Facultatif] Mettre à jour la durée de conservation des journaux du bucket

Pour modifier la durée de conservation des journaux dans votre bucket, exécutez la commande suivante :

gcloud logging buckets update region-1-logs-bucket \
  --location=europe-west1 --project=logs-test-project \
  --retention-days=14

Étapes suivantes