Ce document présente les buckets de journaux, qui sont les conteneurs utilisés par Cloud Logging pour stocker vos données de journaux. Il fournit des informations sur l'emplacement, la gestion de la clé de chiffrement et la conservation des données pour les buckets de journaux. Il indique également où vous pouvez utiliser des règles d'administration ou des paramètres de ressources par défaut pour contrôler l'emplacement et le chiffrement des nouveaux buckets de journaux dans des dossiers ou des organisations.
À propos des buckets de journaux
Par défaut, Cloud Logging chiffre le contenu client stocké au repos. Les données stockées dans des buckets de journaux par Logging sont chiffrées à l'aide de clés de chiffrement de clés, un processus appelé chiffrement encapsulé. L'accès à vos données de journalisation nécessite l'accès à ces clés de chiffrement de clé. Par défaut, il s'agit de Google-owned and Google-managed encryption keys , et aucune action de votre part n'est requise.
Votre organisation peut avoir des exigences de chiffrement réglementaires, de conformité ou avancées que notre chiffrement au repos par défaut ne fournit pas. Pour répondre aux exigences de votre organisation, vous pouvez gérer vos propres clés au lieu d'utiliserGoogle-owned and Google-managed encryption keys.
Les buckets de journaux sont des ressources régionales dont l'emplacement est fixe. Google Cloud gère cette infrastructure afin que vos applications soient disponibles de manière redondante dans les zones de cette région.
La période de conservation des données stockées par un bucket de journaux dépend du bucket de journaux. Ce document contient des informations sur la conservation des données.
Vous pouvez créer des vues de journaux dans un bucket de journaux. Une vue de journal n'offre l'accès qu'à un sous-ensemble des données de journal stockées dans un bucket de journaux. Pour chaque bucket de journaux, Cloud Logging crée automatiquement une vue de journal qui permet d'accéder à chaque entrée de journal du bucket. Vous contrôlez l'accès à une vue des journaux à l'aide de Identity and Access Management (IAM).
Pour interroger et afficher vos données de journal, utilisez l'explorateur de journaux ou les pages Log Analytics de la console Google Cloud :
La page de l'explorateur de journaux vous aide à résoudre les problèmes et à analyser les performances de vos services et applications. Vous pouvez afficher des entrées de journal individuelles et filtrer vos données de journal. Cette interface dispose d'un paramètre de champ d'application, qui vous permet de rechercher des données de journal par projet, bucket de journaux ou vue de journaux.
La page "Analyse de journaux" propose une interface SQL qui vous permet d'effectuer une analyse globale sur vos données de journaux stockées dans un bucket de journaux mis à niveau pour utiliser l'analyse. Par exemple, utilisez cette interface pour calculer et représenter graphiquement les tendances. Vous pouvez interroger les vues de journaux et les vues d'analyse.
Pour en savoir plus, consultez Interroger et afficher des entrées de journal.
Prise en charge des organisations et des dossiers
Pour aider votre organisation à répondre à ses besoins de conformité et réglementaires, la journalisation est compatible à la fois avec les règles d'administration et les paramètres de ressources par défaut :
Les paramètres de ressources par défaut spécifient l'emplacement et la manière dont les clés de chiffrement sont gérées pour les buckets de journaux créés par le système lorsque de nouvelles ressources sont créées dans un dossier ou une organisation. Par exemple, vous pouvez forcer ces buckets de journaux créés par le système à se trouver dans un emplacement spécifique.
Une règle d'administration peut restreindre l'emplacement des nouveaux buckets de journaux définis par l'utilisateur. La journalisation est compatible avec les règles d'administration qui spécifient les régions dans lesquelles des buckets de journaux peuvent être créés ou non.
Buckets de journaux créés par le système
Pour chaque Google Cloud projet, compte de facturation, dossier ou organisation, Cloud Logging crée deux buckets de journaux, l'un nommé _Required et l'autre nommé _Default. Sauf si les paramètres de ressources par défaut sont configurés, ces buckets de journaux ontGoogle-owned and Google-managed encryption keys et Cloud Logging sélectionne leur emplacement.
Vous ne pouvez pas supprimer les buckets de journaux créés par le système.
Vous pouvez mettre à niveau les buckets de journaux créés par le système pour utiliser l'analyse. Cette mise à niveau vous permet d'interroger vos données de journaux à l'aide de la page Analyse de journaux, qui est compatible avec SQL.
Bucket de journaux _Required
Le bucket de journaux _Required stocke les entrées de journal requises à des fins de conformité ou d'audit. Pour cette raison, vous ne pouvez pas supprimer ce bucket de journaux ni modifier les entrées de journaux qui y sont stockées.
Les entrées de journal de ce bucket de journaux sont conservées pendant 400 jours ; vous ne pouvez pas modifier cette durée.
Les entrées de journal stockées dans le bucket de journaux _Required d'une ressource proviennent également de cette ressource. Autrement dit, le bucket de journaux _Required d'un projet Google Cloud ne peut stocker que les entrées de journal provenant de ce projet.
Le bucket de journaux _Required stocke les types d'entrées de journal suivants :
- Journaux d'audit pour les activités d'administration
- Journaux d'audit d'événements système
- Journaux d'audit Google Workspace pour les administrateurs
- Journaux d'audit des groupes Enterprise
- Journaux d'audit de connexion
Bucket de journaux _Default
Le bucket de journaux _Default stocke les entrées de journal qui ne sont pas automatiquement stockées dans le bucket de journaux _Required. Étant donné que le bucket de journaux _Default est créé par le système, vous ne pouvez pas le supprimer. Toutefois, vous pouvez modifier les entrées de journal stockées dans ce bucket de journaux.
Cloud Logging conserve les entrées de journal du bucket _Default pendant 30 jours, sauf si vous configurez la conservation personnalisée pour le bucket.
Par exemple, ce bucket de journaux stocke :
- Journaux d'audit pour l'accès aux données
- Journaux d'audit des refus de règles
- Journaux générés par les applications et les Google Cloud services.
Buckets de journaux définis par l'utilisateur
Vous pouvez créer des buckets de journaux définis par l'utilisateur dans n'importe quel projetGoogle Cloud . Lorsque vous créez un bucket de journaux défini par l'utilisateur, vous sélectionnez l'emplacement et définissez la période de conservation des données. Vous pouvez fournir une clé de chiffrement gérée par le client.
Vous pouvez mettre à niveau les buckets de journaux définis par l'utilisateur pour utiliser l'analyse. Cette mise à niveau vous permet d'interroger vos données de journaux à l'aide de la page Analyse de journaux, qui est compatible avec SQL.
Vous pouvez modifier et supprimer des buckets de journaux définis par l'utilisateur. Pour éviter de supprimer un bucket de journaux qui stocke des entrées de journal pendant leur période de conservation, vous pouvez verrouiller le bucket de journaux contre les mises à jour.
Contrôler l'accès à un bucket de journaux
Les autorisations et les rôles IAM contrôlent l'accès aux données de journal. Par exemple, vous pouvez effectuer les opérations suivantes :
- Accordez un accès en lecture et en modification à un bucket de journaux.
- Accordez l'accès en modification à un bucket de journaux en fonction de l'appartenance à un groupe à l'aide de tags.
- Contrôlez l'accès à des champs spécifiques d'une entrée de journal en configurant l'accès au niveau du champ sur un bucket de journaux.
Accordez l'accès à un sous-ensemble d'entrées de journal dans un bucket de journaux en créant une vue de journal sur ce bucket de journaux.
Chaque bucket de journaux dispose d'une vue de journal par défaut, qui inclut généralement toutes les entrée de journal du bucket. Pour le bucket de journaux
_Default, la vue de journaux par défaut exclut les entrées de journal des accès aux données.
Pour accorder à un utilisateur les autorisations dont il a besoin pour afficher et analyser les entrées de journal, on lui accorde généralement l'un des rôles IAM suivants :
Rôle Lecteur de journaux (
roles/logging.viewer) : accorde un accès à toutes les entrées de journal du bucket_Requiredet à la vue des journaux par défaut du bucket_Default.Rôle Lecteur de journaux privés (
roles/logging.privateLogViewer) : accorde l'accès à tous les journaux des buckets_Requiredet_Default, y compris aux journaux d'accès aux données.
Si vous créez des buckets de journaux ou des vues de journaux définis par l'utilisateur, des autorisations supplémentaires sont requises. Pour en savoir plus sur les rôles, consultez la page Contrôle des accès avec IAM.
Liste des régions où le service est disponible
Les buckets de journaux sont des ressources régionales. L'infrastructure qui stocke, indexe et recherche vos entrées de journal est située dans un emplacement géographique spécifique. À l'exception des buckets de journaux situés dans les régions global, eu ou us, Google Cloud gère l'infrastructure afin que vos applications soient disponibles de manière redondante dans les zones de la région du bucket de journaux.
Cloud Logging est compatible avec les régions suivantes :
Monde
| Nom de la région | Description de la région |
|---|---|
global |
Journaux stockés dans n'importe quel centre de données du monde. Les journaux peuvent être déplacés vers différents centres de données. Contrairement aux autres ressources globales dans Google Cloud, les buckets de journaux globaux dans Cloud Logging ne fournissent pas de garanties de redondance supplémentaires par rapport à un bucket de journaux régional. |
Multirégions : UE et États-Unis
| Nom de la région | Description de la région |
|---|---|
eu |
Journaux stockés dans n'importe quel centre de données de l'Union européenne. Les journaux peuvent être déplacés vers différents centres de données. Aucune garantie de redondance supplémentaire. |
us |
Journaux stockés dans n'importe quel centre de données situé aux États-Unis. Les journaux peuvent être déplacés vers différents centres de données. Aucune garantie de redondance supplémentaire. |
Afrique
| Nom de la région | Description de la région |
|---|---|
africa-south1 |
Johannesburg |
Amériques
| Nom de la région | Description de la région |
|---|---|
northamerica-northeast1 |
Montréal |
northamerica-northeast2 |
Toronto |
northamerica-south1 |
Mexique |
southamerica-east1 |
São Paulo |
southamerica-west1 |
Santiago |
us-central1 |
Iowa |
us-east1 |
Caroline du Sud |
us-east4 |
Virginie du Nord |
us-east5 |
Columbus |
us-south1 |
Dallas |
us-west1 |
Oregon |
us-west2 |
Los Angeles |
us-west3 |
Salt Lake City |
us-west4 |
Las Vegas |
Asie-Pacifique
| Nom de la région | Description de la région |
|---|---|
asia-east1 |
Taïwan |
asia-east2 |
Hong Kong |
asia-northeast1 |
Tokyo |
asia-northeast2 |
Osaka |
asia-northeast3 |
Séoul |
asia-south1 |
Mumbai |
asia-south2 |
Delhi |
asia-southeast1 |
Singapour |
asia-southeast2 |
Jakarta |
australia-southeast1 |
Sydney |
australia-southeast2 |
Melbourne |
Europe
| Nom de la région | Description de la région |
|---|---|
europe-central2 |
Varsovie |
europe-north1 |
Finlande |
europe-north2 |
Stockholm |
europe-southwest1 |
Madrid |
europe-west1 |
Belgique |
europe-west2 |
Londres |
europe-west3 |
Francfort |
europe-west4 |
Pays-Bas |
europe-west6 |
Zurich |
europe-west8 |
Milan |
europe-west9 |
Paris |
europe-west10 |
Berlin |
europe-west12 |
Turin |
Moyen-Orient
| Nom de la région | Description de la région |
|---|---|
me-central1 |
Doha |
me-central2 |
Dammam |
me-west1 |
Tel Aviv |
Étapes suivantes
- Données de journal de route
- Interroger et afficher des entrées de journal
- Configurez et gérez les buckets de journaux.
- Configurez les paramètres par défaut pour les organisations et les dossiers.