Ce document explique comment créer un ensemble de données associé à un bucket de journaux, et comment interroger et afficher les journaux de cet ensemble de données. Par exemple, vous pouvez créer un ensemble de données associé afin d'exécuter des requêtes sur Log Analytics à l'aide de vos emplacements BigQuery réservés. De même, vous pouvez souhaiter un ensemble de données associé afin de pouvoir écrire des requêtes dans BigQuery ou dans Looker Studio qui associent vos données de journaux à d'autres données d'entreprise.
Si vous ne connaissez pas Log Analytics, consultez la présentation de Log Analytics.
Lorsque vous avez besoin d'un ensemble de données associé
Vous n'avez pas besoin d'un ensemble de données BigQuery associé pour interroger une vue de journal sur la page Log Analytics lorsque vous utilisez le service Cloud Logging par défaut. Vous pouvez enregistrer et partager vos requêtes, et enregistrer les résultats dans un tableau de bord personnalisé.
Vous avez besoin d'un ensemble de données BigQuery associé lorsque vous souhaitez effectuer l'une des opérations suivantes:
- Associer les données des entrée de journal à d'autres ensembles de données BigQuery
- Interrogez les données de journal d'un autre service, comme la page BigQuery Studio ou Looker Studio.
- Améliorez les performances des requêtes que vous exécutez à partir d'Log Analytics en les exécutant sur vos emplacements réservés BigQuery.
- Créez une règle d'alerte qui surveille le résultat d'une requête SQL. Pour en savoir plus, consultez la section Surveiller les résultats de vos requêtes SQL à l'aide d'une règle d'alerte.
Un ensemble de données BigQuery associé à un bucket de journaux permet à BigQuery de lire les données du bucket de journaux.
Si vous exécutez vos requêtes sur des emplacements BigQuery réservés, elles sont soumises à la tarification des calculs de capacité. De plus, si vous interrogez vos données à l'aide d'un service autre que Log Analytics, vos requêtes peuvent être soumises à d'autres frais en fonction de ce service. Consultez la page des tarifs du service que vous utilisez.
Avant de commencer
Cette section décrit les étapes à suivre avant de pouvoir utiliser Log Analytics.
Configurer des buckets de journaux
Assurez-vous que vos buckets de journaux ont été mis à niveau pour utiliser l'Analyse de journaux:
-
Dans la console Google Cloud, accédez à la page Stockage des journaux.
Accéder à la page Stockage des journaux
Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Logging.
- Pour chaque bucket de journaux pour lequel vous souhaitez interroger une vue de journaux, assurez-vous que la colonne Log Analytics disponible affiche Ouvrir. Si l'option Mettre à niveau s'affiche, cliquez sur Mettre à niveau et remplissez la boîte de dialogue.
Configurer les rôles et les autorisations IAM
Cette section décrit les rôles ou autorisations IAM requis pour utiliser Log Analytics:
-
Pour obtenir les autorisations nécessaires pour utiliser Log Analytics et interroger les vues de journaux, demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre projet:
-
Pour interroger les buckets de journaux
_Requiredet_Default: Lecteur de journaux (roles/logging.viewer) -
Pour interroger toutes les vues de journaux d'un projet :
Accesseur de vues de journaux (
roles/logging.viewAccessor)
Vous pouvez limiter un principal à une vue de journaux spécifique en ajoutant une condition IAM à l'attribution du rôle "Accès aux vues de journaux" effectuée au niveau du projet, ou en ajoutant une liaison IAM au fichier de stratégie de la vue de journaux. Pour en savoir plus, consultez la page Contrôler l'accès à une vue de journal.
Il s'agit des mêmes autorisations dont vous avez besoin pour afficher les entrées de journal sur la page Explorateur de journaux. Pour en savoir plus sur les rôles supplémentaires dont vous avez besoin pour interroger des vues sur des buckets définis par l'utilisateur ou pour interroger la vue
_AllLogsdu bucket de journaux_Default, consultez la section Rôles Cloud Logging. -
Pour interroger les buckets de journaux
-
Pour obtenir les autorisations nécessaires pour créer et interroger des ensembles de données associés, demandez à votre administrateur de vous accorder les rôles IAM suivants sur le projet qui stocke le bucket de journaux:
-
Pour créer et afficher des ensembles de données associés :
Rédacteur de configuration des journaux (
roles/logging.configWriter) -
Pour exécuter des requêtes sur des ensembles de données associés à l'aide d'emplacements BigQuery réservés :
-
Utilisateur BigQuery (
roles/bigquery.user) -
Utilisateur de tâche BigQuery (
roles/bigquery.jobUser)
-
Utilisateur BigQuery (
-
Pour afficher les ensembles de données associés dans BigQuery Studio, accordez tous les rôles mentionnés dans cette étape, ainsi que le rôle suivant. Vous pouvez attribuer ce rôle à un ensemble de données ou à votre projet :
Lecteur de données BigQuery (
roles/bigquery.dataViewer)
-
Pour créer et afficher des ensembles de données associés :
Rédacteur de configuration des journaux (
Vérifier votre édition BigQuery
Si vous souhaitez interroger vos données de journal à partir de la page Log Analytics à l'aide d'emplacements BigQuery réservés et si vous utilisez des projets avec VPC Service Controls, assurez-vous d'utiliser l'édition Enterprise de BigQuery. Pour en savoir plus, consultez la page Comprendre les éditions BigQuery.
Créer un ensemble de données BigQuery associé
Lorsque vous souhaitez utiliser les fonctionnalités de BigQuery pour analyser vos données de journaux, mettez à niveau un bucket de journaux pour utiliser l'Analyse de journaux, puis créez un ensemble de données associé. Avec cette configuration, Logging stocke vos données de journaux, mais BigQuery peut les lire.
Console Google Cloud
Pour créer un lien vers un ensemble de données BigQuery pour un bucket de journaux existant, procédez comme suit:
-
Dans la console Google Cloud, accédez à la page Stockage des journaux.
Accéder à la page Stockage des journaux
Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Logging.
Recherchez le bucket de journaux et vérifiez que la colonne Log Analytics disponible affiche Ouvrir.
Si cette colonne affiche Mettre à niveau, cela signifie que le bucket de journaux n'a pas été mis à niveau pour utiliser l'Analyse de journaux. Configurez l'Analyse de journaux:
- Cliquez sur Mettre à jour.
- Cliquez sur Confirmer dans la boîte de dialogue.
Une fois la mise à niveau terminée, passez à l'étape suivante.
Sur le bucket de journaux, cliquez sur Plusmore_vert, puis sur Modifier le bucket.
La boîte de dialogue Modifier le bucket de journaux s'ouvre.
Sélectionnez Créer un ensemble de données BigQuery associé à ce bucket, puis saisissez le nom du nouvel ensemble de données.
Le nom de l'ensemble de données doit être unique pour chaque projet Google Cloud. Si vous saisissez le nom d'un ensemble de données existant, l'erreur suivante s'affiche :
Dataset name must be unique in the selected region.Cliquez sur OK, puis sur Mettre à jour le bucket.
Une fois que Logging affiche le nom de l'ensemble de données associé sur la page Stockage des journaux, BigQuery peut mettre plusieurs minutes à le reconnaître.
gcloud
Pour créer un ensemble de données associé à un bucket de journaux mis à niveau pour utiliser l'Analyse de journaux, exécutez la commande gcloud logging links create:
gcloud logging links create LINK_ID --bucket=BUCKET_ID --location=LOCATION
L'LINK_ID que vous fournissez est utilisé comme nom de l'ensemble de données BigQuery. La valeur de ce champ doit être unique pour votre projet Google Cloud.
La commande links create est asynchrone. Le résultat d'une méthode asynchrone est un objet Operation, qui contient des informations sur la progression de la méthode. Une fois la méthode terminée, l'objet Operation contient l'état. Pour en savoir plus, consultez la page Méthodes d'API asynchrones.
L'exécution de la commande links create prend plusieurs minutes.
Par exemple, la commande suivante crée un ensemble de données associé nommé mylink pour le bucket de journaux nommé my-bucket:
gcloud logging links create mylink --bucket=my-bucket --location=global
Le nom de l'ensemble de données doit être unique pour chaque projet Google Cloud. Si vous essayez de créer un ensemble de données portant le même nom qu'un ensemble de données existant, l'erreur suivante s'affiche:
BigQuery dataset with name "LINK_ID" already exists.
Si vous essayez de créer un ensemble de données associé pour un bucket de journaux qui n'a pas été mis à niveau pour utiliser l'Analyse de journaux, l'erreur suivante s'affiche:
A link can only be created for an analytics-enabled bucket.
REST
Pour créer un ensemble de données BigQuery associé à un bucket de journaux existant mis à niveau à l'aide de l'Analyse de journaux, appelez la méthode projects.locations.buckets.links.create asynchrone de l'API Cloud Logging.
Préparez les arguments de la méthode comme suit :
- Créez le corps de la requête pour la commande
create. Le corps de la requête est au format d'objetLink. - Pour le paramètre de requête de la commande, utilisez
linkId=LINK_ID. L'LINK_ID que vous fournissez est utilisé comme nom de l'ensemble de données BigQuery. La valeur de ce champ doit être unique pour votre projet Google Cloud.
La réponse aux méthodes asynchrones est un objet Operation. Cet objet contient des informations sur la progression de la méthode. Une fois la méthode terminée, l'objet Operation contient l'état. Pour en savoir plus, consultez la page Méthodes d'API asynchrones.
L'exécution de la méthode links.create prend plusieurs minutes.
Le nom de l'ensemble de données doit être unique pour chaque projet Google Cloud. Si vous essayez de créer un ensemble de données portant le même nom qu'un ensemble de données existant, l'erreur suivante s'affiche:
BigQuery dataset with name "LINK_ID" already exists.
Si vous tentez de créer un ensemble de données associé pour un bucket de journaux qui n'a pas été mis à niveau pour utiliser l'Analyse de journaux, l'erreur suivante s'affiche:
A link can only be created for an analytics-enabled bucket.
Exécuter des requêtes à partir de BigQuery
Si vous disposez d'un bucket de journaux qui utilise Log Analytics et des ensembles de données associés, vous pouvez afficher et interroger vos ensembles de données associés à l'aide de la page BigQuery Studio. Avec cette configuration, vous pouvez analyser vos ensembles de données à l'aide de commandes, de workflows et d'ensembles de données disponibles uniquement dans BigQuery Studio.
Pour ouvrir BigQuery à partir de l'Analyse de journaux, puis interroger un ensemble de données associé, procédez comme suit:
Assurez-vous qu'un ensemble de données associé existe pour le bucket de journaux qui héberge la vue de journal que vous souhaitez interroger:
-
Dans la console Google Cloud, accédez à la page Stockage des journaux.
Accéder à la page Stockage des journaux
Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Logging.
Recherchez le bucket de journaux et vérifiez que la colonne Ensemble de données associé à BigQuery affiche une URL. Si l'entrée est vide, vous devez créer un ensemble de données associé. Pour en savoir plus sur ces étapes, consultez la section Créer un ensemble de données BigQuery associé.
-
-
Dans la console Google Cloud, accédez à la page Analyse de journaux:
Accéder à l'Analyse de journaux
Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Logging.
Dans la liste Vues des journaux, recherchez la vue de journal, puis sélectionnez Requête. Le volet Requête est renseigné avec une requête par défaut. Vous pouvez également saisir une requête dans le volet Requête ou modifier une requête affichée.
Dans la barre d'outils, développez le bouton Exécuter la requête ou Exécuter sur BigQuery, puis sélectionnez Ouvrir dans BigQuery.
La page BigQuery Studio s'ouvre. L'instruction
FROMde la requête est modifiée pour spécifier le chemin d'accès à la vue de journal sur l'ensemble de données associé à l'aide de la syntaxe de chemin de table BigQuery.Vous pouvez également modifier la requête affichée.
Sur la page BigQuery Studio, cliquez sur Exécuter la requête.
Exécuter des requêtes Log Analytics sur vos emplacements BigQuery réservés
Lorsque vous souhaitez réduire le temps d'exécution de vos requêtes Log Analytics, exécutez-les sur vos emplacements BigQuery réservés. La page Log Analytics est préconfigurée pour utiliser le service Log Analytics par défaut, ce qui signifie que vos requêtes doivent se battre pour un espace d'emplacement limité avec d'autres requêtes. Lorsque des emplacements ne sont pas disponibles, l'exécution de votre requête est retardée. Vous pouvez éliminer ces retards en exécutant vos requêtes sur des emplacements BigQuery réservés.
Pour envoyer une requête SQL à une vue de journaux, procédez comme suit:
Assurez-vous qu'un ensemble de données associé existe pour le bucket de journaux qui héberge la vue de journaux que vous souhaitez interroger:
-
Dans la console Google Cloud, accédez à la page Stockage des journaux.
Accéder à la page Stockage des journaux
Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Logging.
Recherchez le bucket de journaux et vérifiez que la colonne Ensemble de données associé à BigQuery affiche une URL. Si l'entrée est vide, vous devez créer un ensemble de données associé. Pour en savoir plus sur ces étapes, consultez la section Créer un ensemble de données BigQuery associé.
-
Assurez-vous d'avoir configuré vos emplacements BigQuery réservés:
Configurez Log Analytics pour exécuter vos requêtes sur vos emplacements BigQuery réservés:
-
Dans la console Google Cloud, accédez à la page Analyse de journaux:
Accéder à l'Analyse de journaux
Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Logging.
Dans la liste Vues des journaux, recherchez la vue, puis sélectionnez Requête ou saisissez une requête.
Si le volet de requête affiche un message d'erreur qui fait référence à l'instruction
FROM, la table ne peut pas être résolue en vue de journal spécifique. Pour savoir comment résoudre ce problème, consultez la section ErreurFROM clause must contain exactly one log view.Accédez à la barre d'outils et assurez-vous qu'un bouton intitulé Exécuter sur BigQuery s'affiche.
Si la barre d'outils affiche Run Query (Exécuter une requête), cliquez sur settings Settings (Paramètres) et sélectionnez BigQuery.
Si le bouton Exécuter dans BigQuery est désactivé, vous devez créer un ensemble de données associé.
Exécutez votre requête.
Vous pouvez utiliser les options de la barre d'outils pour mettre en forme votre requête, la supprimer et ouvrir la documentation de référence SQL de BigQuery.
-
Étape suivante
- Enregistrer et partager une requête SQL
- Exemples de requêtes SQL
- Graphique des résultats de la requête SQL