Il est possible qu'une partie ou l'ensemble des informations de cette page ne s'appliquent pas au Cloud de confiance S3NS.

Cette page a été traduite par l'API Cloud Translation.

Stocker les entrées de journal

Ce document présente les buckets de journaux, qui sont les conteneurs utilisés par Cloud Logging pour stocker vos données de journaux. Il fournit des informations sur l'emplacement, la gestion de la clé de chiffrement et la conservation des données pour les buckets de journaux. Il indique également où vous pouvez utiliser des règles d'administration ou des paramètres de ressources par défaut pour contrôler l'emplacement et le chiffrement des nouveaux buckets de journaux dans des dossiers ou des organisations.

À propos des buckets de journaux

Par défaut, Cloud Logging chiffre le contenu client stocké au repos. Les données stockées dans des buckets de journaux par Logging sont chiffrées à l'aide de clés de chiffrement de clés, un processus appelé chiffrement encapsulé. L'accès à vos données de journalisation nécessite l'accès à ces clés de chiffrement de clé. Par défaut, il s'agit de Google Cloud-powered encryption keys , et aucune action de votre part n'est requise.

Votre organisation peut avoir des exigences de chiffrement réglementaires, de conformité ou avancées que notre chiffrement au repos par défaut ne fournit pas. Pour répondre aux exigences de votre organisation, vous pouvez gérer vos propres clés au lieu d'utiliserGoogle Cloud-powered encryption keys.

Les buckets de journaux sont des ressources régionales dont l'emplacement est fixe. Trusted Cloud by S3NS gère cette infrastructure afin que vos applications soient disponibles de manière redondante dans les zones de cette région.

La période de conservation des données stockées par un bucket de journaux dépend du bucket de journaux. Ce document contient des informations sur la conservation des données.

Vous pouvez créer des vues de journaux dans un bucket de journaux. Une vue de journal n'offre l'accès qu'à un sous-ensemble des données de journal stockées dans un bucket de journaux. Pour chaque bucket de journaux, Cloud Logging crée automatiquement une vue de journal qui permet d'accéder à chaque entrée de journal du bucket. Vous contrôlez l'accès à une vue des journaux à l'aide de Identity and Access Management (IAM).

Pour interroger et afficher vos données de journal, utilisez l'explorateur de journaux. Cette page vous aide à résoudre les problèmes et à analyser les performances de vos services et applications. Vous pouvez afficher des entrées de journal individuelles et filtrer vos données de journal. Cette interface dispose d'un paramètre de champ d'application, qui vous permet de rechercher des données de journal par projet, bucket de journaux ou vue de journaux.

Pour en savoir plus, consultez Interroger et afficher des entrées de journal.

Prise en charge des organisations et des dossiers

Pour aider votre organisation à répondre à ses besoins de conformité et réglementaires, la journalisation est compatible à la fois avec les règles d'administration et les paramètres de ressources par défaut :

Les paramètres de ressources par défaut spécifient l'emplacement et la manière dont les clés de chiffrement sont gérées pour les buckets de journaux créés par le système lorsque de nouvelles ressources sont créées dans un dossier ou une organisation. Par exemple, vous pouvez forcer ces buckets de journaux créés par le système à se trouver dans un emplacement spécifique.
Une règle d'administration peut restreindre l'emplacement des nouveaux buckets de journaux définis par l'utilisateur. La journalisation est compatible avec les règles d'administration qui spécifient les régions dans lesquelles des buckets de journaux peuvent être créés ou non.

Buckets de journaux créés par le système

Pour chaque Trusted Cloud projet, compte de facturation, dossier ou organisation, Cloud Logging crée deux buckets de journaux, l'un nommé _Required et l'autre nommé _Default. Sauf si les paramètres de ressources par défaut sont configurés, ces buckets de journaux ontGoogle Cloud-powered encryption keys et Cloud Logging sélectionne leur emplacement.

Vous ne pouvez pas supprimer les buckets de journaux créés par le système.

Bucket de journaux `_Required`

Le bucket de journaux _Required stocke les entrées de journal requises à des fins de conformité ou d'audit. Pour cette raison, vous ne pouvez pas supprimer ce bucket de journaux ni modifier les entrées de journaux qui y sont stockées. Les entrées de journal de ce bucket de journaux sont conservées pendant 400 jours ; vous ne pouvez pas modifier cette durée.

Les entrées de journal stockées dans le bucket de journaux _Required d'une ressource proviennent également de cette ressource. Autrement dit, le bucket de journaux _Required d'un projet Trusted Cloud ne peut stocker que les entrées de journal provenant de ce projet.

Le bucket de journaux _Required stocke les types d'entrées de journal suivants :

Journaux d'audit pour les activités d'administration
Journaux d'audit d'événements système
Journaux d'audit Google Workspace pour les administrateurs
Journaux d'audit des groupes Enterprise
Journaux d'audit de connexion

Bucket de journaux `_Default`

Le bucket de journaux _Default stocke les entrées de journal qui ne sont pas automatiquement stockées dans le bucket de journaux _Required. Étant donné que le bucket de journaux _Default est créé par le système, vous ne pouvez pas le supprimer. Toutefois, vous pouvez modifier les entrées de journal stockées dans ce bucket de journaux.

Cloud Logging conserve les entrées de journal dans le bucket _Default pendant 30 jours.

Par exemple, ce bucket de journaux stocke :

Journaux d'audit pour l'accès aux données
Journaux d'audit des refus de règles
Journaux générés par les applications et les Trusted Cloud by S3NS services.

Buckets de journaux définis par l'utilisateur

Vous pouvez créer des buckets de journaux définis par l'utilisateur dans n'importe quel projetTrusted Cloud . Lorsque vous créez un bucket de journaux défini par l'utilisateur, vous sélectionnez l'emplacement. Vous pouvez fournir une clé de chiffrement gérée par le client.

Vous pouvez modifier et supprimer des buckets de journaux définis par l'utilisateur. Pour éviter de supprimer un bucket de journaux qui stocke des entrées de journal pendant leur période de conservation, vous pouvez verrouiller le bucket de journaux contre les mises à jour.

Contrôler l'accès à un bucket de journaux

Les autorisations et les rôles IAM contrôlent l'accès aux données de journal. Par exemple, vous pouvez effectuer les opérations suivantes :

Accordez un accès en lecture et en modification à un bucket de journaux.
Accordez l'accès en modification à un bucket de journaux en fonction de l'appartenance à un groupe à l'aide de tags.
Contrôlez l'accès à des champs spécifiques d'une entrée de journal en configurant l'accès au niveau du champ sur un bucket de journaux.
Accordez l'accès à un sous-ensemble d'entrées de journal dans un bucket de journaux en créant une vue de journal sur ce bucket de journaux.

Chaque bucket de journaux dispose d'une vue de journal par défaut, qui inclut généralement toutes les entrée de journal du bucket. Pour le bucket de journaux _Default, la vue de journaux par défaut exclut les entrées de journal des accès aux données.

Pour accorder à un utilisateur les autorisations dont il a besoin pour afficher et analyser les entrées de journal, on lui accorde généralement l'un des rôles IAM suivants :

Rôle Lecteur de journaux (roles/logging.viewer) : accorde un accès à toutes les entrées de journal du bucket _Required et à la vue des journaux par défaut du bucket _Default.
Rôle Lecteur de journaux privés (roles/logging.privateLogViewer) : accorde l'accès à tous les journaux des buckets _Required et _Default, y compris aux journaux d'accès aux données.

Si vous créez des buckets de journaux ou des vues de journaux définis par l'utilisateur, des autorisations supplémentaires sont requises. Pour en savoir plus sur les rôles, consultez la page Contrôle des accès avec IAM.

Liste des régions où le service est disponible

Les buckets de journaux sont des ressources régionales. L'infrastructure qui stocke, indexe et recherche vos entrées de journal est située dans un emplacement géographique spécifique. À l'exception des buckets de journaux situés dans les régions global, eu ou us, Trusted Cloud by S3NS gère l'infrastructure afin que vos applications soient disponibles de manière redondante dans les zones de la région du bucket de journaux.

Les régions suivantes sont compatibles avec Cloud Logging :

Nom de la région Description de la région

u-france-east1 France

Nom de la région	Description de la région
`u-france-east1`	France
`global`	Journaux stockés dans tous les centres de données situés dans une région prise en charge. Les journaux peuvent être déplacés vers différents centres de données. Aucune garantie de redondance supplémentaire. Si vous souhaitez choisir l'emplacement de stockage de vos données de journal, utilisez un bucket de journaux régional.

global

Journaux stockés dans tous les centres de données situés dans une région prise en charge. Les journaux peuvent être déplacés vers différents centres de données. Aucune garantie de redondance supplémentaire.

Si vous souhaitez choisir l'emplacement de stockage de vos données de journal, utilisez un bucket de journaux régional.