Ce document explique comment utiliser le récepteur _Default pour acheminer vos entrées de journal vers un bucket Cloud Logging situé dans une région spécifique. Pour obtenir la liste
des régions disponibles, consultez la page Emplacements.
Vous pouvez également définir un emplacement de stockage par défaut pour les nouveaux buckets _Default et _Required en configurant les paramètres par défaut de votre organisation ou de votre dossier. Pour
en savoir plus,
consultez la section Définir l'emplacement de stockage par défaut.
Ce guide décrit ce processus à l'aide d'un exemple dans lequel tous les journaux sont redirigés vers une région. Ce processus comprend les étapes suivantes :
Créer un bucket de journaux dans la région désignée pour stocker les journaux.
Rediriger le récepteur
_Defaultafin d'acheminer les journaux vers le nouveau bucket de journaux.Rechercher des journaux dans l'explorateur de journaux.
Présentation
Dans Logging, les buckets de journaux
sont des ressources régionales: l'infrastructure qui stocke, indexe et recherche
vos journaux est située dans un emplacement géographique spécifique. À l'exception des
buckets de journaux situés dans les régions global, eu ou us,
Cloud de Confiance by S3NS gère l'infrastructure afin que vos applications
soient disponibles de manière redondante dans les zones de la région du bucket de journaux.
Votre organisation peut être amenée à stocker ses données de journaux dans des régions spécifiques. Les principaux facteurs qui déterminent la région dans laquelle vos journaux sont stockés consistent, entre autres, à répondre aux exigences de latence, de disponibilité ou de conformité de votre organisation. Lorsque vous sélectionnez une région pour le stockage des journaux, tenez compte des emplacements des autres Cloud de Confiance by S3NS produits et services utilisés par votre application.
Si vous avez des exigences de résidence des données, n'activez pas les services qui peuvent interroger les données de journaux, puis stocker le résultat de la requête dans un emplacement global. Gemini Cloud Assist en est un exemple.
Concepts clés
Les concepts clés suivants s'appliquent à la régionalisation des données pour Logging.
Emplacements des routeurs de journaux
Le routeur de journaux traite toutes les entrées de journal écrites dans l'API Cloud Logging. Il vérifie chaque entrée de journal par rapport aux règles existantes pour déterminer les entrées de journal à stocker dans les buckets Logging et celles à acheminer vers les destinations compatibles à l'aide de récepteurs. Pour acheminer de manière fiable des journaux, le routeur de journaux les stocke temporairement, ce qui les met en mémoire tampon pour les protéger contre les interruptions temporaires des récepteurs.
Le routeur de journaux traite les journaux dans la région dans laquelle ils sont reçus.
Emplacements des buckets de journaux
Les buckets de journaux sont les conteneurs de votre Cloud de Confiance projet, compte de facturation, dossier et organisation qui stockent et organisent les données de vos journaux.
Pour chaque Cloud de Confiance projet, compte de facturation, dossier et organisation,
Logging crée automatiquement deux buckets de journaux : _Required et
_Default, qui se trouvent dans l'emplacement global.
Vous ne pouvez pas modifier l'emplacement des buckets existants.
Toutefois, votre organisation peut créer une règle qui définit un emplacement par défaut différent pour ces buckets. Pour en savoir plus,
consultez
la page Configurer les paramètres par défaut pour les organisations et les dossiers.
Vous pouvez également créer des buckets de journaux définis par l'utilisateur pour n'importe quel Cloud de Confiance projet. Lorsque vous créez un bucket de journaux défini par l'utilisateur, vous pouvez spécifier son emplacement. Une fois que vous avez créé le bucket de journaux, l'emplacement ne peut plus être modifié, mais vous pouvez créer un bucket et diriger les entrées de journal vers celui-ci à l'aide de récepteurs. Pour savoir comment définir l' emplacement de vos buckets, consultez la page Régionaliser vos journaux.
Logging accepte l'interrogation simultanée de journaux provenant de plusieurs régions, auquel cas les requêtes sont traitées aux mêmes emplacements que les buckets interrogés, puis agrégées dans la région dans laquelle la requête a été reçue pour renvoyer les résultats.
La région d'un bucket de journaux s'affiche sur la page Stockage des journaux et dans certaines boîtes de dialogue. Par exemple, lorsque vous accédez à la page Explorateur de journaux et que vous utilisez le sélecteur Affiner le champ d'application pour afficher la liste des vues de journaux, les informations sur la région s'affichent également.
Avant de commencer
- Identifiez le Cloud de Confiance projet dans lequel vous stockerez vos entrées de journal.
- Identifiez le nom et l'emplacement du bucket de journaux dans lequel vous stockerez vos entrées de journal.
- Déterminez les entrées de journal que vous souhaitez acheminer vers votre bucket de journaux.
Dans ce guide, nous incluons tous les journaux acheminés par le
_Defaultrécepteur. -
Installez la Google Cloud CLI, puis connectez-vous à la gcloud CLI avec votre identité fédérée. Après vous être connecté, initialisez la Google Cloud CLI en exécutant la commande suivante :
gcloud init
Régions où le service est disponible
Lorsque vous créez votre bucket de journaux, vous pouvez choisir où stocker vos journaux. Pour obtenir la liste des régions disponibles, consultez la page Emplacements.
Créer le bucket de journaux
Les buckets de journaux stockent les entrées de journal. Les projets, les dossiers et les organisations contiennent des récepteurs de journaux qui acheminent les entrées de journal vers des buckets de journaux ou d'autres destinations. Lorsque la destination d'un récepteur est un bucket de journaux, ce bucket peut se trouver dans la même ressource que le récepteur de journaux ou dans une autre ressource. Pour en savoir plus, consultez la page Configurer les buckets de journaux.
Ouvrez un shell.
Pour créer un bucket de journaux, exécutez la
gcloud logging buckets createcommande dans le shell. Avant d'exécuter l'exemple de commande, effectuez les remplacements suivants :- BUCKET_ID : nom ou ID du bucket de journaux.
- LOCATION : emplacement du bucket de journaux.
- PROJECT_ID : identifiant du projet.
Exemple de commande :
gcloud logging buckets create BUCKET_ID \ --location=LOCATION \ --project=PROJECT_IDVérifiez que le bucket a été créé :
gcloud logging buckets list --project=PROJECT_ID
Rediriger le récepteur de journaux _Default
Pour acheminer des journaux vers un bucket de journaux, vous devez créer un récepteur. Un récepteur inclut un filtre qui sélectionne les entrées de journal à exporter via le récepteur, et une destination. Dans ce guide, nous mettons à jour le récepteur _Default existant pour acheminer les entrées de journal vers le bucket de journaux créé à l'étape précédente.
Pour modifier un récepteur, exécutez la
gcloud logging sinks update commande.
Avant d'exécuter l'exemple de commande, effectuez le remplacement suivant :
- _Default : cet exemple met à jour la destination du
récepteur nommé
_Default. Si vous souhaitez modifier un autre récepteur, modifiez le nom de cette variable. - BUCKET_ID : nom ou ID du bucket de journaux.
- LOCATION : emplacement du bucket de journaux.
- PROJECT_ID : identifiant du projet.
Exemple de commande :
gcloud logging sinks update _Default \
logging.googleapis.com/projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_ID \
--log-filter='NOT LOG_ID("cloudaudit.googleapis.com/activity") AND NOT
LOG_ID("externalaudit.googleapis.com/activity") AND NOT
LOG_ID("cloudaudit.googleapis.com/system_event") AND NOT
LOG_ID("externalaudit.googleapis.com/system_event") AND NOT
LOG_ID("cloudaudit.googleapis.com/access_transparency") AND NOT
LOG_ID("externalaudit.googleapis.com/access_transparency")' \
--description="Updated the _Default sink to route logs to the LOCATION region"
Créer une entrée de journal pour tester le récepteur
Pour vérifier que le récepteur a bien été mis à jour, procédez comme suit :
Envoyez un message de journal de test à votre bucket régionalisé à l'aide de la
gcloud logging writecommande. Avant d'exécuter l'exemple de commande, effectuez les remplacements suivants :- LOG_NAME : nom de votre journal.
- BUCKET_ID : nom ou ID du bucket de journaux.
- PROJECT_ID : identifiant du projet.
Exemple de commande :
gcloud logging write LOG_NAME "Test to route logs to BUCKET_ID" \ --project=PROJECT_IDAffichez votre entrée de journal :
-
Dans la Cloud de Confiance console, accédez à la Explorateur de journaux :
Accéder à l'explorateur de journaux
Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Logging.
Dans la barre d'outils, cliquez sur Affiner le champ d'application, puis sélectionnez Projet actuel.
L'explorateur de journaux est configuré pour afficher les entrées de journal provenant de votre projet.
Dans le volet Champs de journal, sélectionnez le type de ressource Global.
Votre entrée de journal de test s'affiche dans le panneau Résultats de la requête.
-
Rechercher des journaux dans la Cloud de Confiance console
Pour afficher les entrées de journal dans votre bucket de journaux, accédez à la Cloud de Confiance console et procédez comme suit :
-
Dans la Cloud de Confiance console, accédez à la Explorateur de journaux :
Accéder à l'explorateur de journaux
Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Logging.
Sélectionnez Affiner le niveau d'accès.
Dans le panneau Affiner le niveau d'accès, sélectionnez Vue de journal.
Sélectionnez la vue
_AllLogsassociée à votre BUCKET_NAME.Cliquez sur Appliquer.
L'explorateur de journaux s'actualise pour afficher les journaux du bucket.
Pour en savoir plus sur l'utilisation de l'explorateur de journaux, consultez la page Afficher les journaux à l'aide de l'explorateur de journaux.