Présentation de l'interrogation et de l'affichage des journaux

Ce document explique comment interroger, afficher et analyser des entrées de journal à l'aide de la console Google Cloud. Deux interfaces sont disponibles : l'explorateur de journaux et Log Analytics. Vous pouvez interroger, afficher et analyser les journaux avec les deux interfaces. Toutefois, elles utilisent des langages de requêtes différents et ont des fonctionnalités différentes. Pour résoudre les problèmes et explorer les données de journal, nous vous recommandons d'utiliser l'explorateur de journaux. Pour générer des insights et des tendances, nous vous recommandons d'utiliser Log Analytics. Vous pouvez interroger vos journaux et enregistrer vos requêtes en émettant des commandes API Logging. Vous pouvez également interroger vos journaux à l'aide de la Google Cloud CLI.

Explorateur de journaux

L'explorateur de journaux est conçu pour vous aider à résoudre les problèmes et à analyser les performances de vos services et applications. Par exemple, un histogramme affiche le taux d'erreurs. Si vous constatez une augmentation soudaine du nombre d'erreurs ou un élément intéressant, vous pouvez rechercher et afficher les entrées de journal correspondantes. Lorsqu'une entrée de journal est associée à un groupe d'erreurs, elle est annotée d'un menu d'options qui vous permet d'accéder à plus d'informations sur le groupe d'erreurs.

Le même langage de requête est compatible avec l'API Cloud Logging, la Google Cloud CLI et l'explorateur de journaux. Pour simplifier la création de requêtes lorsque vous utilisez l'explorateur de journaux, vous pouvez créer des requêtes à l'aide de menus, en saisissant du texte et, dans certains cas, à l'aide d'options incluses dans l'affichage d'une entrée de journal individuelle.

L'explorateur de journaux n'est pas compatible avec les opérations agrégatives, comme le comptage du nombre d'entrées de journal contenant un modèle spécifique. Pour effectuer des opérations d'agrégation, activez l'analyse sur le bucket de journaux, puis utilisez l'Analyse de journaux.

Pour en savoir plus sur la recherche et l'affichage des journaux à l'aide de l'explorateur de journaux, consultez la page Afficher les journaux à l'aide de l'explorateur de journaux.

Analyse de journaux

L'Analyse de journaux vous permet d'exécuter des requêtes qui analysent vos données de journaux, puis d'afficher ou de créer des graphiques à partir des résultats de la requête. Les graphiques vous permettent d'identifier des tendances et des schémas dans vos journaux au fil du temps. La capture d'écran suivante illustre les fonctionnalités de création de graphiques dans Log Analytics:

Interface utilisateur pour l'Analyse de journaux.

Par exemple, supposons que vous résolviez un problème et que vous souhaitiez connaître la latence moyenne des requêtes HTTP envoyées à une URL spécifique au fil du temps. Lorsqu'un bucket de journaux est mis à niveau pour utiliser l'Analyse de journaux, vous pouvez utiliser des requêtes SQL pour interroger les journaux stockés dans votre bucket de journaux. Ces requêtes SQL peuvent également inclure la syntaxe de pipe. En regroupant et en agrégant vos journaux, vous pouvez obtenir des insights sur vos données de journaux, ce qui peut vous aider à réduire le temps consacré au dépannage.

L'Analyse de journaux vous permet d'interroger les vues de journaux. Les vues de journaux ont un schéma fixe qui correspond à la structure de données LogEntry.

Vous pouvez également utiliser BigQuery pour interroger une vue de journal. Par exemple, supposons que vous souhaitiez utiliser BigQuery pour comparer les URL de vos journaux à un ensemble de données public d'URL malveillantes connues. Pour que BigQuery puisse voir vos données de journaux, mettez à niveau votre bucket pour utiliser l'Analyse de journaux, puis créez un ensemble de données associé.

Vous pouvez continuer à résoudre les problèmes et à afficher des entrées de journal individuelles dans les buckets de journaux mis à niveau à l'aide de l'explorateur de journaux.

Restrictions

  • Pour mettre à niveau un bucket de journaux existant pour utiliser l'Analyse de journaux, les restrictions suivantes s'appliquent:

    • Le bucket de journaux est déverrouillé, sauf s'il s'agit du bucket _Required.
    • Aucune mise à jour du bucket n'est en attente.

  • Vous ne pouvez pas désactiver la compatibilité avec Log Analytics pour les buckets de journaux mis à niveau pour utiliser Log Analytics.

  • Seules les entrées de journal écrites après la fin de la mise à niveau sont disponibles pour l'analyse.

  • Vous ne pouvez pas utiliser la page Log Analytics pour interroger les vues de journaux lorsque des contrôles d'accès au niveau du champ sont configurés pour le bucket de journaux. Toutefois, vous pouvez envoyer des requêtes via la page Explorateur de journaux et interroger un ensemble de données BigQuery associé. Comme BigQuery n'applique pas les contrôles des accès au niveau des champs, si vous interrogez un ensemble de données associé, vous pouvez interroger tous les champs des entrées de journal.

  • Si vous interrogez plusieurs buckets de journaux configurés avec différentes clés Cloud KMS, la requête échoue, sauf si les contraintes suivantes sont respectées:

    • Les buckets de journaux se trouvent au même emplacement.
    • Un dossier ou une organisation qui est une ressource parente des buckets de journaux est configuré avec une clé par défaut.
    • La clé par défaut se trouve au même emplacement que les buckets de journaux.

    Lorsque les contraintes précédentes sont satisfaites, la clé Cloud KMS du parent chiffre toutes les données temporaires générées par une requête Log Analytics.

  • Les entrées de journal en double ne sont pas supprimées avant l'exécution d'une requête. Ce comportement est différent de celui que vous obtenez lorsque vous interrogez des entrées de journal à l'aide de l'explorateur de journaux, qui supprime les entrées en double en comparant les noms de journal, les codes temporels et les champs d'ID d'insertion. Pour en savoir plus, consultez la page Dépannage: des entrées de journal en double apparaissent dans mes résultats Log Analytics.

Tarifs

Cloud Logging ne facture pas l'acheminement des journaux vers une destination compatible. Toutefois, la destination peut appliquer des frais. À l'exception du bucket de journaux _Required, Cloud Logging facture le streaming de journaux dans des buckets de journaux et le stockage pendant une durée supérieure à la période de conservation par défaut du bucket de journaux.

Cloud Logging ne facture pas la copie des journaux, la définition des champs d'application des journaux ni les requêtes émises via les pages Explorateur de journaux ou Analyse de journaux.

Pour en savoir plus, consultez les documents suivants :

Aucun coût d'ingestion ni de stockage BigQuery ne vous est facturé lorsque vous mettez à niveau un bucket pour utiliser l'Analyse de journaux, puis créez un ensemble de données associé. Lorsque vous créez un ensemble de données associé pour un bucket de journaux, vous n'ingérez pas vos données de journal dans BigQuery. Vous bénéficiez plutôt d'un accès en lecture aux données de journal stockées dans votre bucket de journaux via l'ensemble de données associé.

Des frais d'analyse BigQuery s'appliquent lorsque vous exécutez des requêtes SQL sur des ensembles de données associés BigQuery, y compris lorsque vous utilisez la page BigQuery Studio, l'API BigQuery et l'outil de ligne de commande BigQuery.

Blogs

Pour en savoir plus sur l'Analyse de journaux, consultez les articles de blog suivants:

Étape suivante