Stocker les entrées de journal

Ce document présente les buckets de journaux, qui sont les conteneurs utilisés par Cloud Logging pour stocker vos données de journaux. Il fournit des informations sur l'emplacement, la gestion de la clé de chiffrement et la conservation des données pour les buckets de journaux. Il indique également où vous pouvez utiliser des règles d'administration ou des paramètres de ressources par défaut pour contrôler l'emplacement et le chiffrement des nouveaux buckets de journaux dans les dossiers ou les organisations.

À propos des buckets de journaux

Par défaut, Cloud Logging chiffre le contenu client stocké au repos. Les données stockées dans des buckets de journaux par Logging sont chiffrées à l'aide de clés de chiffrement de clé, un processus appelé chiffrement encapsulé. L'accès à vos données de journalisation nécessite l'accès à ces clés de chiffrement de clé. Par défaut, ces paramètres sont définis sur Google-owned and Google-managed encryption keys et ne nécessitent aucune action de votre part.

Votre organisation peut avoir des exigences de chiffrement réglementaires, de conformité ou avancées que notre chiffrement au repos par défaut ne fournit pas. Pour répondre aux exigences de votre organisation, vous pouvez gérer vos propres clés au lieu d'utiliserGoogle-owned and Google-managed encryption keys.

Les buckets de journaux sont des ressources régionales avec un emplacement fixe. Google Cloud gère cette infrastructure afin que vos applications soient disponibles de manière redondante dans les zones de cette région.

La durée de conservation des données stockées par un bucket de journaux dépend de ce bucket. Ce document contient des informations sur la conservation des données.

Vous pouvez créer des vues de journaux dans un bucket de journaux. Une vue de journaux ne donne accès qu'à un sous-ensemble des données de journaux stockées dans un bucket de journaux. Pour chaque bucket de journaux, Cloud Logging crée automatiquement une vue de journaux qui permet d'accéder à chaque entrée de journal du bucket. Vous contrôlez l'accès à une vue des journaux à l'aide d'Identity and Access Management (IAM).

Pour interroger et afficher vos données de journaux, utilisez les pages "Explorateur de journaux" ou "Analyse des journaux" de la console Google Cloud  :

  • La page de l'explorateur de journaux vous aide à résoudre les problèmes et à analyser les performances de vos services et applications. Vous pouvez afficher des entrées de journal individuelles et filtrer vos données de journaux. Cette interface comporte un paramètre de champ d'application qui vous permet de rechercher des données de journaux par projet, bucket de journaux ou vue de journaux.

  • La page "Analyse de journaux" propose une interface SQL qui vous permet d'effectuer une analyse agrégée de vos données de journaux stockées dans un bucket de journaux mis à niveau pour utiliser l'analyse. Par exemple, utilisez cette interface pour calculer et représenter les tendances. Vous pouvez interroger les vues de journaux et les vues d'analyse.

Pour en savoir plus, consultez Interroger et afficher les entrées de journal.

Prise en charge des organisations et des dossiers

Pour aider votre organisation à répondre à ses besoins de conformité et réglementaires, la journalisation est compatible avec les règles d'administration et les paramètres de ressources par défaut :

Buckets de journaux créés par le système

Pour chaque projet, compte de facturation, dossier ou organisation Google Cloud , Cloud Logging crée deux buckets de journaux, l'un nommé _Required et l'autre _Default. Sauf si des paramètres de ressources par défaut sont configurés, ces buckets de journaux ontGoogle-owned and Google-managed encryption keys et Cloud Logging sélectionne leur emplacement.

Vous ne pouvez pas supprimer les buckets de journaux créés par le système.

Vous pouvez mettre à niveau les buckets de journaux créés par le système pour utiliser l'analyse. Cette mise à niveau vous permet d'interroger vos données de journaux à l'aide de la page Analyse de journaux, qui est compatible avec SQL.

Bucket de journaux _Required

Le bucket de journaux _Required stocke les entrées de journal requises à des fins de conformité ou d'audit. Pour cette raison, vous ne pouvez pas supprimer ce bucket de journaux ni modifier les entrées de journaux qui y sont stockées. Les entrées de journal de ce bucket sont conservées pendant 400 jours. Vous ne pouvez pas modifier cette durée de conservation.

Les entrées de journal stockées dans le bucket de journaux _Required d'une ressource proviennent également de cette ressource. En d'autres termes, le bucket de journaux _Required d'un projet Google Cloud ne peut stocker que les entrées de journal provenant de ce projet.

Le bucket de journaux _Required stocke les types d'entrées de journal suivants :

Bucket de journaux _Default

Le bucket de journaux _Default stocke les entrées de journal qui ne sont pas automatiquement stockées dans le bucket de journaux _Required. Étant donné que le bucket de journaux _Default est créé par le système, vous ne pouvez pas le supprimer. Toutefois, vous pouvez modifier les entrées de journal stockées dans ce bucket de journaux.

Cloud Logging conserve les entrées de journal du bucket _Default pendant 30 jours, sauf si vous configurez la conservation personnalisée pour le bucket.

Par exemple, ce bucket de journaux stocke :

Buckets de journaux définis par l'utilisateur

Vous pouvez créer des buckets de journaux définis par l'utilisateur dans n'importe quel projetGoogle Cloud . Lorsque vous créez un bucket de journaux défini par l'utilisateur, vous sélectionnez l'emplacement et définissez la période de conservation des données. Vous pouvez fournir une clé de chiffrement gérée par le client.

Vous pouvez mettre à niveau les buckets de journaux définis par l'utilisateur pour utiliser l'analyse. Cette mise à niveau vous permet d'interroger vos données de journaux à l'aide de la page Analyse de journaux, qui est compatible avec SQL.

Vous pouvez modifier et supprimer les buckets de journaux définis par l'utilisateur. Pour éviter de supprimer un bucket de journaux qui stocke des entrées de journal dont la période de conservation n'est pas encore terminée, vous pouvez verrouiller le bucket de journaux pour empêcher toute modification.

Contrôler l'accès à un bucket de journaux

Les autorisations et les rôles IAM contrôlent l'accès aux données de journaux. Par exemple, vous pouvez effectuer les opérations suivantes :

  • Accorder un accès en lecture et en modification à un bucket de journaux.
  • Accorder l'accès en modification à un bucket de journaux en fonction de l'appartenance à un groupe en utilisant des tags.
  • Contrôlez l'accès à des champs spécifiques dans une entrée de journal en configurant l'accès au niveau du champ dans un bucket de journaux.
  • Accordez l'accès à un sous-ensemble d'entrées de journal dans un bucket de journaux en créant une vue de journaux sur ce bucket.

    Chaque bucket de journaux possède une vue de journaux par défaut, qui inclut généralement chaque entrée de journal du bucket de journaux. Pour le bucket de journaux _Default, la vue de journaux par défaut exclut les entrées de journal d'accès aux données.

Pour accorder à un utilisateur les autorisations nécessaires pour afficher et analyser les entrées de journaux, l'un des rôles IAM suivants est généralement attribué :

  • Rôle Lecteur de journaux (roles/logging.viewer) : accorde l'accès à toutes les entrées de journal du bucket _Required, ainsi qu'à la vue des journaux par défaut du bucket _Default.

  • Rôle Lecteur des journaux privés (roles/logging.privateLogViewer) : accorde l'accès à tous les journaux des buckets _Required et _Default, y compris les journaux d'accès aux données.

Si vous créez des buckets de journaux ou des vues de journaux définis par l'utilisateur sur des buckets de journaux, des autorisations supplémentaires sont requises. Pour en savoir plus sur les rôles, consultez Contrôle des accès avec IAM.

Liste des régions disponibles

Les buckets de journaux sont des ressources régionales. L'infrastructure qui stocke, indexe et recherche vos entrées de journal est située dans un emplacement géographique spécifique. À l'exception des buckets de journaux dans les régions global, eu ou us, Google Cloud gère l'infrastructure afin que vos applications soient disponibles de manière redondante dans les zones de la région du bucket de journaux.

Les régions suivantes sont compatibles avec Cloud Logging :

Monde

Nom de la région Description de la région
global

Journaux stockés dans n'importe quel centre de données au monde. Les journaux peuvent être déplacés vers différents centres de données. Contrairement aux autres ressources mondiales dans Google Cloud, les buckets de journaux mondiaux dans Cloud Logging n'offrent pas de garanties de redondance supplémentaires par rapport à un bucket de journaux régional.

Multirégions : UE et États-Unis

Nom de la région Description de la région
eu

Journaux stockés dans des centres de données situés dans l'Union européenne Les journaux peuvent être déplacés vers différents centres de données. Aucune garantie de redondance supplémentaire.

us

Journaux stockés dans des centres de données situés aux États-Unis. Les journaux peuvent être déplacés vers différents centres de données. Aucune garantie de redondance supplémentaire.

Afrique

Nom de la région Description de la région
africa-south1 Johannesburg

Amériques

Nom de la région Description de la région
northamerica-northeast1 Montréal
northamerica-northeast2 Toronto
northamerica-south1 Mexique
southamerica-east1 São Paulo
southamerica-west1 Santiago
us-central1 Iowa
us-east1 Caroline du Sud
us-east4 Virginie du Nord
us-east5 Columbus
us-south1 Dallas
us-west1 Oregon
us-west2 Los Angeles
us-west3 Salt Lake City
us-west4 Las Vegas

Asie-Pacifique

Nom de la région Description de la région
asia-east1 Taïwan
asia-east2 Hong Kong
asia-northeast1 Tokyo
asia-northeast2 Osaka
asia-northeast3 Séoul
asia-south1 Mumbai
asia-south2 Delhi
asia-southeast1 Singapour
asia-southeast2 Jakarta
australia-southeast1 Sydney
australia-southeast2 Melbourne

Europe

Nom de la région Description de la région
europe-central2 Varsovie
europe-north1 Finlande
europe-north2 Stockholm
europe-southwest1 Madrid
europe-west1 Belgique
europe-west2 Londres
europe-west3 Francfort
europe-west4 Pays-Bas
europe-west6 Zurich
europe-west8 Milan
europe-west9 Paris
europe-west10 Berlin
europe-west12 Turin

Moyen-Orient

Nom de la région Description de la région
me-central1 Doha
me-central2 Dammam
me-west1 Tel Aviv

Étapes suivantes