Traiter les journaux par lot et les router de manière rétroactive

Cette page explique comment copier manuellement des entrées de journal déjà stockées dans des buckets de journaux Cloud Logging vers des buckets Cloud Storage. Vous pouvez copier des entrées de journal depuis des buckets de journaux vers des buckets Cloud Storage pour les raisons suivantes:

  • Si vous avez oublié d'acheminer des entrées de journal vers Cloud Storage avant de les stocker dans Logging.
  • Pour partager les entrées de journal avec des auditeurs en dehors de Logging.
  • Pour analyser des entrées de journal avec des scripts dans Cloud Storage.

Après avoir copié des entrées de journal dans Cloud Storage, les entrées de journal restent stockées dans le bucket à partir duquel elles ont été copiées.

Les opérations de copie ne remplacent pas les récepteurs, qui envoient automatiquement toutes les entrées de journal entrantes vers une destination de stockage compatible présélectionnée, y compris les buckets Cloud Storage. Utilisez des récepteurs lorsque vous savez que vous voulez stocker des entrées debucket Cloud Storagel

Pour copier des journaux, puis gérer et surveiller les opérations, vous devez utiliser la Google Cloud CLI.

Limites

Les limites suivantes s'appliquent lors de la copie d'entrées de journal :

  • Vous ne pouvez copier des journaux que dans des buckets Cloud Storage ; les autres destinations ne sont pas disponibles.

  • Vous ne pouvez pas copier de journaux à partir de buckets de journaux pour lesquels une CMEK est configurée.

Avant de commencer

Avant de commencer à copier des journaux, procédez comme suit :

  • Pour obtenir les autorisations dont vous avez besoin pour copier des entrées de journal à partir de Logging, puis les écrire dans Cloud Storage, demandez à votre administrateur de vous attribuer les rôles IAM suivants dans votre projet:

  • Pour obtenir les autorisations nécessaires pour afficher et gérer l'état d'une opération de copie, demandez à votre administrateur de vous attribuer le rôle IAM Rédacteur de configuration des journaux (roles/logging.configWriter) sur votre projet.

Copier les entrées de journal

Logging ne copie que les entrées de journal stockées dans le bucket de journaux au démarrage de l'opération de copie. Les entrées de journal stockées dans des buckets de journaux après le démarrage de l'opération de copie ne sont pas copiées dans Cloud Storage.

Pour copier des entrées de journal dans Cloud Storage, vous devez disposer des informations suivantes :

  • ID et emplacement du bucket de journaux à partir duquel vous effectuez la copie. Pour récupérer l'ID du bucket de journaux et son emplacement, utilisez la commande gcloud CLI gcloud logging buckets list.
  • Nom du bucket Cloud Storage vers lequel vous effectuez la copie. Pour savoir comment récupérer le nom du bucket Cloud Storage, consultez la section Obtenir des informations sur le bucket Cloud Storage.
  • Un filtre pour les entrées de journal que vous souhaitez copier.

Pour copier des entrées de journal, exécutez la commande gcloud logging copy:

gcloud logging copy BUCKET_ID storage.googleapis.com/CLOUD_STORAGE_BUCKET_NAME
--location=LOCATION [--log-filter=FILTER] --project=PROJECT_ID

Avant d'exécuter la commande précédente, procédez comme suit:

  • Remplacez BUCKET_ID par le nom de votre bucket de journaux.
  • Remplacez CLOUD_STORAGE_BUCKET_NAME par le nom de votre bucket Cloud Storage.
  • Remplacez LOCATION par l'emplacement du bucket de journaux.

  • (Facultatif) Remplacez FILTER par le filtre qui définit les journaux à copier.

  • Remplacez PROJECT_ID par l'ID de votre projet Google Cloud. Vous pouvez omettre cette option lorsque la configuration active de la gcloud CLI est définie sur le bon projet Google Cloud.

Exemple de commande :

gcloud logging copy my-log-bucket storage.googleapis.com/my-gcs-bucket \
--location=global --log-filter='timestamp > "2021-03-18T10:00:00.0Z"' \
--project=my-project

Cette commande crée une opération de longue durée à exécuter en arrière-plan et renvoie le nom de l'opération de copie et l'emplacement du bucket de journaux :

name: projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID

L'emplacement de l'opération de copie est identique à celui du bucket de journaux à partir duquel vous copiez les journaux.

Afficher et gérer les opérations de copie

Vous pouvez afficher et gérer vos opérations de copie à l'aide des commandes gcloud logging operations, qui vous permettent de répertorier, d'afficher et d'annuler des opérations.

Les commandes suivantes nécessitent que vous spécifiiez l'emplacement de l'opération. Utilisez l'emplacement de votre bucket de journaux. Pour savoir comment trouver l'emplacement de votre bucket de journaux, consultez la section Afficher les détails d'un bucket.

Répertorier les opérations de copie

Vous pouvez répertorier les opérations de copie récentes, y compris les opérations planifiées, en cours, terminées, en échec et annulées. Les opérations de copie récentes s'affichent dans les résultats jusqu'à 30 jours après l'heure de fin.

Pour répertorier les opérations de copie, exécutez la commande suivante :

gcloud logging operations list --location=LOCATION \
--operation-filter=request_type=CopyLogEntries \
--project=PROJECT_ID

Avant d'exécuter la commande précédente, procédez comme suit:

  • Remplacez LOCATION par l'emplacement du bucket de journaux à partir duquel vous copiez les journaux.
  • Remplacez PROJECT_ID par l'ID de votre projet Google Cloud.

La commande renvoie des informations sur l'opération de longue durée, y compris l'ID d'opération :

projects/PROJECT_ID/locations/LOCATION/operations/OPERATION_ID

Afficher l'état d'une opération de copie

Vous pouvez récupérer l'état et d'autres métadonnées relatives aux opérations de copie, y compris :

  • startTime : horodatage indiquant la création de l'opération.
  • endTime : horodatage indiquant la fin de l'opération.
  • state : état de l'opération (planifiée, en cours d'exécution, annulée, échoué ou réussie).
  • cancellation : indique si l'utilisateur a demandé l'annulation de l'opération.
  • progress: progression estimée de l'opération (0-100%).
  • destination : nom du bucket Cloud Storage dans lequel l'opération copie des journaux.
  • filter : filtre spécifiant les entrées de journal à copier.
  • name: nom du bucket de journaux à partir duquel l'opération copie des journaux.
  • logEntriesCopiedCount : nombre d'entrées de journal copiées dans le bucket Cloud Storage par l'opération.

Notez que tous les champs de métadonnées répertoriés ne s'appliquent pas à chaque opération de copie. Par exemple, si une opération de copie est toujours en cours d'exécution, les métadonnées endtime ne s'appliquent pas à l'opération. Autre exemple, si l'option --log-filter=FILTER n'est pas utilisée lors de l'exécution de la commande gcloud logging copy, les métadonnées filter ne s'appliquent pas à l'opération.

Pour obtenir des informations sur une opération de copie, exécutez la commande suivante :

gcloud logging operations describe OPERATION_ID \
--location=LOCATION --project=PROJECT_ID

Avant d'exécuter la commande précédente, procédez comme suit:

  • Remplacez OPERATION_ID par l'ID de l'opération.
  • Remplacez LOCATION par l'emplacement du bucket de journaux à partir duquel vous copiez les journaux.
  • Remplacez PROJECT_ID par l'ID de votre projet Google Cloud.

La commande renvoie des métadonnées sur l'opération de copie. Par exemple, voici le résultat pour une opération en cours :

done: false
metadata:
  `@type`: type.googleapis.com/google.logging.v2.CopyLogEntriesMetadata
  progress: 75
  destination: storage.googleapis.com/my-storage-bucket-1
  source: projects/my-test-project/locations/us-central1/buckets/my-logging-bucket-2
  verb: copy
  startTime: `2023-05-23T10:52:40.039751Z`
  state: OPERATION_STATE_RUNNING
name: projects/my-test-project/locations/us-central1/buckets/my-logging-bucket-2
   </pre>

Annuler une opération de copie

Vous pouvez annuler une opération de copie en cours. Si vous annulez une opération de copie, toutes les entrées de journal copiées avant l'annulation restent dans le bucket Cloud Storage.

Une fois une opération de copie annulée, Logging termine tous les processus en cours avant de terminer l'annulation. Certaines entrées de journal peuvent donc persister dans Cloud Storage après l'annulation de l'opération.

Pour annuler une opération de copie, exécutez la commande suivante :

gcloud logging operations cancel OPERATION_ID \
--location=LOCATION --project=PROJECT_ID

Avant d'exécuter la commande précédente, procédez comme suit:

  • Remplacez OPERATION_ID par l'ID de l'opération.
  • Remplacez LOCATION par l'emplacement du bucket de journaux à partir duquel vous copiez les journaux.
  • Remplacez PROJECT_ID par l'ID de votre projet Google Cloud.

Afficher les journaux dans Cloud Storage

Pour afficher et comprendre les journaux que vous avez copiés dans Cloud Storage, consultez la page Afficher les journaux acheminés vers Cloud Storage.

Quotas et limites

Toutes les opérations de copie prennent au moins une heure, quelle que soit la quantité de données copiées.

Pour copier un volume élevé, par exemple des pétaoctets, divisez la copie entre plusieurs opérations de copie à l'aide du champ timestamp de l'option --filter.

Tarification

Cloud Logging ne facture pas l'acheminement des journaux vers une destination compatible. Toutefois, la destination peut appliquer des frais. À l'exception du bucket de journaux _Required, Cloud Logging facture la diffusion des journaux dans les buckets de journaux et leur stockage plus longtemps que la durée de conservation par défaut du bucket.

Cloud Logging ne facture pas la copie des journaux ni les requêtes émises via la page Explorateur de journaux ou Analyse de journaux.

Pour en savoir plus, consultez les documents suivants :