Résoudre les problèmes Pub/Sub à l'aide des journaux d'audit

Pub/Sub génère des journaux d'audit qui capturent les activités d'administration et d'accès des ressources Pub/Sub. Exemples d'activités de ce type : créer un thème, mettre à jour un abonnement ou supprimer un instantané. Vous pouvez utiliser ces journaux pour résoudre les problèmes et assurer la sécurité de votre infrastructure de messagerie.

Voici quelques points importants à retenir concernant les journaux d'audit dans Pub/Sub:

  • Les journaux d'audit Pub/Sub utilisent le nom de service pubsub.googleapis.com.

  • Pub/Sub propose différents types de journaux. En voici quelques-unes :

    • Les journaux des activités d'administration enregistrent des actions telles que la création, la suppression ou la mise à jour de sujets et d'abonnements.

    • Les journaux d'accès aux données enregistrent des actions telles que la récupération d'un sujet ou la liste des abonnements.

    • Les journaux des événements système enregistrent des événements tels que la suppression d'abonnements inactifs.

  • Pub/Sub ne consigne pas les opérations de message telles que la publication, l'abonnement ou la confirmation des messages.

Pour en savoir plus sur les journaux d'audit pour Pub/Sub, consultez la section Journalisation.

Afficher les journaux d'audit Pub/Sub

Logs Explorer vous permet d'accéder à toutes vos données de journal de manière centralisée dans Google Cloud. Vous pouvez utiliser l'explorateur de journaux pour afficher les journaux Pub/Sub.

  1. Obtenez les autorisations requises pour afficher l'explorateur de journaux.

    Pour plus d'informations, consultez la section Avant de commencer.

  2. Dans la console Google Cloud , accédez à la page Explorateur de journaux.

    Accéder à l'explorateur de journaux

  3. Sélectionnez un projet, un dossier ou une organisation Google Cloud existant.

  4. Pour afficher tous les journaux d'audit associés à Pub/Sub, saisissez la requête suivante dans le champ de l'éditeur de requête:

     protoPayload.serviceName="pubsub.googleapis.com"
    Illustration montrant comment saisir la requête dans le champ de l'éditeur de requête.
    Figure 1 : Saisissez une requête.

  5. Cliquez sur Exécuter la requête.

  6. Pour afficher les journaux d'audit d'une ressource et d'un type de journal d'audit spécifiques, accédez au volet "Générateur de requêtes" et procédez comme suit:

    1. Pour Toutes les ressources, sélectionnez la ressource Google Cloud dont vous souhaitez afficher les journaux d'audit. Par exemple, sélectionnez Sujet Cloud Pub/Sub, puis le nom du sujet.

    2. Pour Tous les noms de journaux, sélectionnez le type de journal d'audit que vous souhaitez afficher.

      Exemple :

      • Pour les journaux d'audit des activités d'administration, saisissez activity.

      • Pour les journaux d'audit des événements système, sélectionnez system_event.

La requête s'exécute automatiquement.

Utiliser les journaux d'audit pour résoudre les problèmes Pub/Sub

  1. Déterminez le problème spécifique que vous étudiez. Voici une liste des problèmes potentiels:

    • Identifiez qui a créé, supprimé ou modifié des sujets, des abonnements, des instantanés ou des schémas.

    • Suivre les modifications apportées aux paramètres d'un sujet ou d'un abonnement

    • Vérifiez si un thème ou un abonnement existe et son état actuel.

    Toutefois, vous ne pouvez pas utiliser les journaux d'audit pour résoudre les problèmes liés à la publication et à la distribution des messages. Vous ne trouverez pas de journaux pour les échecs de distribution des messages, la duplication des messages ou les problèmes d'ordre des messages. Les journaux d'audit ne vous aideront pas non plus à identifier les abonnés lents ni les problèmes liés aux accusés de réception des messages. Pour résoudre les problèmes au niveau des messages, vous devez vous appuyer sur d'autres outils tels que les métriques de surveillance, les files d'attente de lettres mortes et les journaux d'application.

  2. En fonction du problème, créez une requête pour filtrer les journaux d'audit. Par exemple, pour savoir qui a supprimé un abonnement, filtrez par protoPayload.methodName="google.pubsub.v1.Publisher.DeleteSubscription".

    Pour examiner une erreur potentielle lors de la création d'un abonnement, filtrez par protoPayload.methodName="google.pubsub.v1.Subscriber.CreateSubscription".

  3. Examinez les codes temporels, les principaux et les noms de ressources dans les entrées de journal pour comprendre la séquence d'événements et identifier les anomalies.

Pour en savoir plus sur la création d'une requête de journal d'audit pour Pub/Sub, consultez la section Journalisation.