Ce document présente les buckets de journaux, qui sont les conteneurs utilisés par Cloud Logging pour stocker vos données de journaux. Il fournit des informations sur l'emplacement, la gestion de la clé de chiffrement et la conservation des données pour les buckets de journaux. Il indique également où vous pouvez utiliser des règles d'administration ou des paramètres de ressources par défaut pour contrôler l'emplacement et le chiffrement des nouveaux buckets de journaux dans les dossiers ou les organisations.
À propos des buckets de journaux
Par défaut, Cloud Logging chiffre le contenu client stocké au repos. Les données stockées dans des buckets de journaux par Logging sont chiffrées à l'aide de clés de chiffrement de clé, un processus appelé chiffrement encapsulé. L'accès à vos données de journalisation nécessite l'accès à ces clés de chiffrement de clé. Par défaut, ces paramètres sont définis sur Google-owned and Google-managed encryption keys et ne nécessitent aucune action de votre part.
Votre organisation peut avoir des exigences de chiffrement réglementaires, de conformité ou avancées que notre chiffrement au repos par défaut ne fournit pas. Pour répondre aux exigences de votre organisation, vous pouvez gérer vos propres clés au lieu d'utiliserGoogle-owned and Google-managed encryption keys.
Les buckets de journaux sont des ressources régionales avec un emplacement fixe. Google Cloud gère cette infrastructure afin que vos applications soient disponibles de manière redondante dans les zones de cette région.
La durée de conservation des données stockées par un bucket de journaux dépend de ce bucket. Ce document contient des informations sur la conservation des données.
Vous pouvez créer des vues de journaux dans un bucket de journaux. Une vue de journaux ne donne accès qu'à un sous-ensemble des données de journaux stockées dans un bucket de journaux. Pour chaque bucket de journaux, Cloud Logging crée automatiquement une vue de journaux qui permet d'accéder à chaque entrée de journal du bucket. Vous contrôlez l'accès à une vue des journaux à l'aide d'Identity and Access Management (IAM).
Pour interroger et afficher vos données de journaux, utilisez les pages "Explorateur de journaux" ou "Analyse des journaux" de la console Google Cloud :
La page de l'explorateur de journaux vous aide à résoudre les problèmes et à analyser les performances de vos services et applications. Vous pouvez afficher des entrées de journal individuelles et filtrer vos données de journaux. Cette interface comporte un paramètre de champ d'application qui vous permet de rechercher des données de journaux par projet, bucket de journaux ou vue de journaux.
La page "Analyse de journaux" propose une interface SQL qui vous permet d'effectuer une analyse agrégée de vos données de journaux stockées dans un bucket de journaux mis à niveau pour utiliser l'analyse. Par exemple, utilisez cette interface pour calculer et représenter les tendances. Vous pouvez interroger les vues de journaux et les vues d'analyse.
Pour en savoir plus, consultez Interroger et afficher les entrées de journal.
Prise en charge des organisations et des dossiers
Pour aider votre organisation à répondre à ses besoins de conformité et réglementaires, la journalisation est compatible avec les règles d'administration et les paramètres de ressources par défaut :
Les paramètres de ressources par défaut spécifient l'emplacement et la façon dont les clés de chiffrement sont gérées pour les buckets de journaux créés par le système lorsque de nouvelles ressources sont créées dans un dossier ou une organisation. Par exemple, vous pouvez forcer ces buckets de journaux créés par le système à se trouver dans un emplacement spécifique.
Une règle d'administration peut restreindre l'emplacement des nouveaux buckets de journaux définis par l'utilisateur. La journalisation est compatible avec les règles d'administration qui spécifient les régions dans lesquelles les buckets de journaux peuvent ou ne peuvent pas être créés.
Buckets de journaux créés par le système
Pour chaque projet, compte de facturation, dossier ou organisation Google Cloud , Cloud Logging crée deux buckets de journaux, l'un nommé _Required
et l'autre _Default
. Sauf si des paramètres de ressources par défaut sont configurés, ces buckets de journaux ontGoogle-owned and Google-managed encryption keys et Cloud Logging sélectionne leur emplacement.
Vous ne pouvez pas supprimer les buckets de journaux créés par le système.
Vous pouvez mettre à niveau les buckets de journaux créés par le système pour utiliser l'analyse. Cette mise à niveau vous permet d'interroger vos données de journaux à l'aide de la page Analyse de journaux, qui est compatible avec SQL.
Bucket de journaux _Required
Le bucket de journaux _Required
stocke les entrées de journal requises à des fins de conformité ou d'audit. Pour cette raison, vous ne pouvez pas supprimer ce bucket de journaux ni modifier les entrées de journaux qui y sont stockées.
Les entrées de journal de ce bucket sont conservées pendant 400 jours. Vous ne pouvez pas modifier cette durée de conservation.
Les entrées de journal stockées dans le bucket de journaux _Required
d'une ressource proviennent également de cette ressource. En d'autres termes, le bucket de journaux _Required
d'un projet Google Cloud ne peut stocker que les entrées de journal provenant de ce projet.
Le bucket de journaux _Required
stocke les types d'entrées de journal suivants :
- Journaux d'audit pour les activités d'administration
- Journaux d'audit d'événements système
- Journaux d'audit des administrateurs Google Workspace
- Journaux d'audit des groupes Enterprise
- Journaux d'audit de connexion
Bucket de journaux _Default
Le bucket de journaux _Default
stocke les entrées de journal qui ne sont pas automatiquement stockées dans le bucket de journaux _Required
. Étant donné que le bucket de journaux _Default
est créé par le système, vous ne pouvez pas le supprimer. Toutefois, vous pouvez modifier les entrées de journal stockées dans ce bucket de journaux.
Cloud Logging conserve les entrées de journal du bucket _Default
pendant 30 jours, sauf si vous configurez la conservation personnalisée pour le bucket.
Par exemple, ce bucket de journaux stocke :
- Journaux d'audit pour l'accès aux données
- Journaux d'audit des refus de règles
- Journaux générés par les applications et les services Google Cloud .
Buckets de journaux définis par l'utilisateur
Vous pouvez créer des buckets de journaux définis par l'utilisateur dans n'importe quel projetGoogle Cloud . Lorsque vous créez un bucket de journaux défini par l'utilisateur, vous sélectionnez l'emplacement et définissez la période de conservation des données. Vous pouvez fournir une clé de chiffrement gérée par le client.
Vous pouvez mettre à niveau les buckets de journaux définis par l'utilisateur pour utiliser l'analyse. Cette mise à niveau vous permet d'interroger vos données de journaux à l'aide de la page Analyse de journaux, qui est compatible avec SQL.
Vous pouvez modifier et supprimer les buckets de journaux définis par l'utilisateur. Pour éviter de supprimer un bucket de journaux qui stocke des entrées de journal dont la période de conservation n'est pas encore terminée, vous pouvez verrouiller le bucket de journaux pour empêcher toute modification.
Contrôler l'accès à un bucket de journaux
Les autorisations et les rôles IAM contrôlent l'accès aux données de journaux. Par exemple, vous pouvez effectuer les opérations suivantes :
- Accorder un accès en lecture et en modification à un bucket de journaux.
- Accorder l'accès en modification à un bucket de journaux en fonction de l'appartenance à un groupe en utilisant des tags.
- Contrôlez l'accès à des champs spécifiques dans une entrée de journal en configurant l'accès au niveau du champ dans un bucket de journaux.
Accordez l'accès à un sous-ensemble d'entrées de journal dans un bucket de journaux en créant une vue de journaux sur ce bucket.
Chaque bucket de journaux possède une vue de journaux par défaut, qui inclut généralement chaque entrée de journal du bucket de journaux. Pour le bucket de journaux
_Default
, la vue de journaux par défaut exclut les entrées de journal d'accès aux données.
Pour accorder à un utilisateur les autorisations nécessaires pour afficher et analyser les entrées de journaux, l'un des rôles IAM suivants est généralement attribué :
Rôle Lecteur de journaux (
roles/logging.viewer
) : accorde l'accès à toutes les entrées de journal du bucket_Required
, ainsi qu'à la vue des journaux par défaut du bucket_Default
.Rôle Lecteur des journaux privés (
roles/logging.privateLogViewer
) : accorde l'accès à tous les journaux des buckets_Required
et_Default
, y compris les journaux d'accès aux données.
Si vous créez des buckets de journaux ou des vues de journaux définis par l'utilisateur sur des buckets de journaux, des autorisations supplémentaires sont requises. Pour en savoir plus sur les rôles, consultez Contrôle des accès avec IAM.
Liste des régions disponibles
Les buckets de journaux sont des ressources régionales. L'infrastructure qui stocke, indexe et recherche vos entrées de journal est située dans un emplacement géographique spécifique. À l'exception des buckets de journaux dans les régions global
, eu
ou us
, Google Cloud gère l'infrastructure afin que vos applications soient disponibles de manière redondante dans les zones de la région du bucket de journaux.
Les régions suivantes sont compatibles avec Cloud Logging :
Monde
Nom de la région | Description de la région |
---|---|
global |
Journaux stockés dans n'importe quel centre de données au monde. Les journaux peuvent être déplacés vers différents centres de données. Contrairement aux autres ressources mondiales dans Google Cloud, les buckets de journaux mondiaux dans Cloud Logging n'offrent pas de garanties de redondance supplémentaires par rapport à un bucket de journaux régional. |
Multirégions : UE et États-Unis
Nom de la région | Description de la région |
---|---|
eu |
Journaux stockés dans des centres de données situés dans l'Union européenne Les journaux peuvent être déplacés vers différents centres de données. Aucune garantie de redondance supplémentaire. |
us |
Journaux stockés dans des centres de données situés aux États-Unis. Les journaux peuvent être déplacés vers différents centres de données. Aucune garantie de redondance supplémentaire. |
Afrique
Nom de la région | Description de la région |
---|---|
africa-south1 |
Johannesburg |
Amériques
Nom de la région | Description de la région |
---|---|
northamerica-northeast1 |
Montréal |
northamerica-northeast2 |
Toronto |
northamerica-south1 |
Mexique |
southamerica-east1 |
São Paulo |
southamerica-west1 |
Santiago |
us-central1 |
Iowa |
us-east1 |
Caroline du Sud |
us-east4 |
Virginie du Nord |
us-east5 |
Columbus |
us-south1 |
Dallas |
us-west1 |
Oregon |
us-west2 |
Los Angeles |
us-west3 |
Salt Lake City |
us-west4 |
Las Vegas |
Asie-Pacifique
Nom de la région | Description de la région |
---|---|
asia-east1 |
Taïwan |
asia-east2 |
Hong Kong |
asia-northeast1 |
Tokyo |
asia-northeast2 |
Osaka |
asia-northeast3 |
Séoul |
asia-south1 |
Mumbai |
asia-south2 |
Delhi |
asia-southeast1 |
Singapour |
asia-southeast2 |
Jakarta |
australia-southeast1 |
Sydney |
australia-southeast2 |
Melbourne |
Europe
Nom de la région | Description de la région |
---|---|
europe-central2 |
Varsovie |
europe-north1 |
Finlande |
europe-north2 |
Stockholm |
europe-southwest1 |
Madrid |
europe-west1 |
Belgique |
europe-west2 |
Londres |
europe-west3 |
Francfort |
europe-west4 |
Pays-Bas |
europe-west6 |
Zurich |
europe-west8 |
Milan |
europe-west9 |
Paris |
europe-west10 |
Berlin |
europe-west12 |
Turin |
Moyen-Orient
Nom de la région | Description de la région |
---|---|
me-central1 |
Doha |
me-central2 |
Dammam |
me-west1 |
Tel Aviv |
Étapes suivantes
- Router les données de journaux.
- Interroger et afficher les entrées de journal
- Configurer et gérer les buckets de journaux
- Configurer les paramètres par défaut pour les organisations et les dossiers