Cette page a été traduite par l'API Cloud Translation.

Interroger et analyser des journaux avec l'Analyse de journaux

Ce document explique comment interroger et analyser les données de journaux stockées dans des buckets de journaux qui ont été mis à niveau pour utiliser l'analyse de journaux. Vous pouvez interroger les journaux de ces buckets à l'aide de SQL, ce qui vous permet de les filtrer et de les agréger. Pour afficher les résultats de votre requête, vous pouvez utiliser le format tabulaire ou visualiser les données à l'aide de graphiques. Vous pouvez enregistrer ces tableaux et graphiques dans vos tableaux de bord personnalisés.

Vous pouvez interroger une vue de journal sur un bucket de journaux ou une vue d'analyse. Lorsque vous interrogez une vue de journaux, le schéma correspond à celui de la structure de données LogEntry. Étant donné que le créateur d'une vue Analytics détermine le schéma, l'un des cas d'utilisation des vues Analytics consiste à transformer les données de journaux du format LogEntry en un format qui vous convient mieux.

Vous pouvez utiliser l'explorateur de journaux pour afficher les entrées de journal stockées dans des buckets de journaux de votre projet, que le bucket de journaux ait été mis à niveau ou non pour utiliser l'analyse de journaux.

Log Analytics ne déduplique pas les entrées de journal, ce qui peut avoir une incidence sur la façon dont vous rédigez vos requêtes. L'utilisation de l'analyse de journaux est également soumise à certaines restrictions. Pour en savoir plus sur ces thèmes, consultez les documents suivants :

À propos des ensembles de données associés

L'analyse de journaux permet de créer des ensembles de données BigQuery associés, qui autorisent BigQuery à accéder en lecture aux données sous-jacentes. Si vous choisissez de créer un ensemble de données associé, vous pouvez effectuer les actions suivantes :

Joignez les données des entrée de journal à d'autres ensembles de données BigQuery.
Interrogez les données de journaux d'un autre service, comme la page BigQuery Studio ou Looker Studio.
Améliorez les performances des requêtes que vous exécutez à partir de l'analyse de journaux en les exécutant sur vos emplacements réservés BigQuery.
Créez une règle d'alerte qui surveille le résultat d'une requête SQL. Pour en savoir plus, consultez Surveiller les résultats de vos requêtes SQL avec une règle d'alerte.

Ce document ne décrit pas comment créer un ensemble de données associé ni comment configurer Log Analytics pour exécuter des requêtes sur des emplacements réservés. Si ces sujets vous intéressent, consultez Interroger un ensemble de données associé dans BigQuery.

Avant de commencer

Cette section décrit les étapes à suivre avant de pouvoir utiliser Log Analytics.

Configurer des buckets de journaux

Assurez-vous que vos buckets de journaux ont été mis à niveau pour utiliser l'Analyse de journaux :

Dans la console Google Cloud , accédez à la page Stockage des journaux :
Accéder à la page Stockage des journaux

Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Logging.
Pour chaque bucket de journaux comportant une vue de journaux que vous souhaitez interroger, assurez-vous que la colonne Log Analytics disponible affiche Ouvrir. Si l'option Mettre à niveau s'affiche, cliquez dessus et remplissez la boîte de dialogue.

Configurer les rôles et autorisations IAM

Cette section décrit les rôles ou autorisations IAM requis pour utiliser Log Analytics :

Pour obtenir les autorisations nécessaires pour utiliser Log Analytics et interroger les vues de journaux, demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre projet :
- Pour interroger les buckets de journaux _Required et _Default : Lecteur de journaux (roles/logging.viewer)
- Pour interroger toutes les vues de journaux d'un projet : Accesseur de vues de journaux (roles/logging.viewAccessor)
Vous pouvez limiter une entité principale à une vue de journaux spécifique en ajoutant une condition IAM à l'attribution du rôle "Accesseur de vues de journaux" effectuée au niveau du projet, ou en ajoutant une liaison IAM au fichier de stratégie de la vue de journaux. Pour en savoir plus, consultez Contrôler l'accès à une vue de journal.

Il s'agit des mêmes autorisations que celles dont vous avez besoin pour afficher les entrées de journal sur la page Explorateur de journaux. Pour en savoir plus sur les rôles supplémentaires dont vous avez besoin pour interroger les vues sur les buckets définis par l'utilisateur ou pour interroger la vue _AllLogs du bucket de journaux _Default, consultez Rôles Cloud Logging.
Pour obtenir les autorisations nécessaires pour interroger les vues d'analyse, demandez à votre administrateur de vous attribuer le rôle IAM Utilisateur Observability Analytics (roles/observability.analyticsUser) sur votre projet.

Interroger une vue de journaux ou une vue analytique

Lorsque vous résolvez un problème, vous pouvez compter les entrées de journal avec un champ correspondant à un modèle ou calculer la latence moyenne des requêtes HTTP. Pour ce faire, exécutez une requête SQL sur une vue de journaux.

Pour exécuter une requête SQL sur une vue de journaux :

Dans la console Google Cloud , accédez à la page Analyse de journaux :
Accéder à l'Analyse de journaux

Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Logging.
Si vous souhaitez charger la requête par défaut, procédez comme suit :
1. Dans le menu Vues, accédez à la section Journaux ou Vues Analytics, puis sélectionnez la vue que vous souhaitez interroger.
  
  Pour trouver une vue, vous pouvez utiliser la barre de filtre ou faire défiler la liste :
  - Les vues de journaux sont listées par BUCKET_ID.LOG_VIEW_ID, où ces champs font référence aux ID du bucket de journaux et de la vue de journaux.
  - Les vues Analytics sont listées par LOCATION.ANALYTICS_VIEW_ID, où ces champs font référence à l'emplacement et à l'ID d'une vue Analytics. Les vues Analytics sont en version Preview publique.
2. Dans la barre d'outils Schéma, cliquez sur Requête.
  
  Le volet Requête est mis à jour avec une requête SQL qui interroge la vue analytique que vous avez sélectionnée.
Si vous souhaitez saisir une requête, procédez comme suit :
- Pour spécifier une plage de dates, nous vous recommandons d'utiliser le sélecteur de plage de dates. Si vous pouvez ajouter une clause WHERE qui spécifie le champ timestamp, cette valeur remplace le paramètre du sélecteur de période, qui est alors désactivé.
- Pour obtenir des exemples, consultez Exemples de requêtes.
- Pour interroger une vue de journal, la clause FROM de votre requête doit avoir le format suivant :
```
FROM `PROJECT_ID.LOCATION.BUCKET_ID.LOG_VIEW_ID`
```
- Pour interroger une vue Analytics, la clause FROM de votre requête doit se présenter au format suivant :
```
FROM `analytics_view.PROJECT_ID.LOCATION.ANALYTICS_VIEW_ID`
```
Voici la signification des champs dans les expressions précédentes :
- PROJECT_ID : identifiant du projet.
- LOCATION : emplacement de la vue des journaux ou de la vue des données analytiques.
- BUCKET_ID : nom ou ID du bucket de journaux.
- LOG_VIEW_ID : identifiant de la vue de journal, limité à 100 caractères et ne pouvant inclure que des lettres, des chiffres, des traits de soulignement et des traits d'union.
- ANALYTICS_VIEW_ID : ID de la vue Analytics, limité à 100 caractères et ne pouvant inclure que des lettres, des chiffres, des traits de soulignement et des traits d'union.
Remarque : Si vous interrogez une vue de journaux et que le volet de requête affiche un message d'erreur faisant référence à l'instruction FROM, cela signifie que la table ne peut pas être résolue en une vue de journaux spécifique. Pour savoir comment résoudre cet échec, consultez Erreur FROM clause must contain exactly one log view.
Dans la barre d'outils, assurez-vous qu'un bouton intitulé Exécuter la requête s'affiche.

Si la barre d'outils affiche Exécuter dans BigQuery, cliquez sur Paramètres, puis sélectionnez Analyse de journaux (par défaut).
Exécutez votre requête.

La requête est exécutée et son résultat s'affiche dans l'onglet Résultats.

Vous pouvez utiliser les options de la barre d'outils pour mettre en forme votre requête, l'effacer et ouvrir la documentation de référence sur le SQL BigQuery.
Explorez les résultats de la requête. Vous pouvez afficher les résultats sous forme de tableau ou de graphique. Vous pouvez enregistrer des graphiques dans un tableau de bord personnalisé. Pour en savoir plus, consultez Représenter les résultats de requêtes SQL sous forme de graphiques.

Afficher le schéma

Le schéma définit sa structure et le type de données de chaque champ. Ces informations sont importantes pour vous, car elles déterminent la façon dont vous construisez vos requêtes. Par exemple, supposons que vous souhaitiez calculer la latence moyenne des requêtes HTTP. Vous devez savoir comment accéder au champ de latence et s'il est stocké sous forme d'entier (100) ou de chaîne ("100"). Lorsque les données de latence sont stockées sous forme de chaîne, la requête doit caster la valeur en valeur numérique avant de calculer une moyenne.

Log Analytics déduit automatiquement les champs d'une colonne lorsque le type de données est JSON. Pour savoir à quelle fréquence ces champs inférés apparaissent dans vos données, cliquez sur Options, puis sélectionnez Afficher les infos et la description.

Pour identifier le schéma, procédez comme suit :

Dans la console Google Cloud , accédez à la page Analyse de journaux :
Accéder à l'Analyse de journaux

Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Logging.
Dans le volet Vues, recherchez la vue des journaux ou la vue Analytics, puis sélectionnez-la.

Le schéma s'affiche. Pour les vues de journaux, le schéma est fixe et correspond à la structure de données LogEntry. Pour les vues analytiques, vous pouvez modifier la requête SQL afin de changer le schéma.