Il est possible qu'une partie ou l'ensemble des informations de cette page ne s'appliquent pas au Cloud de confiance S3NS. Pour en savoir plus, consultez Différences par rapport à Google Cloud.

Cette page a été traduite par l'API Cloud Translation.

Stocker les entrées de journal

Ce document présente les buckets de journaux, qui sont les conteneurs utilisés par Cloud Logging pour stocker vos données de journaux. Il fournit des informations sur l'emplacement, la gestion de la clé de chiffrement et la conservation des données pour les buckets de journaux. Il indique également où vous pouvez utiliser des règles d'administration ou des paramètres de ressources par défaut pour contrôler l'emplacement et le chiffrement des nouveaux buckets de journaux dans les dossiers ou les organisations.

À propos des buckets de journaux

Par défaut, Cloud Logging chiffre le contenu client stocké au repos. Les données stockées dans des buckets de journaux par Logging sont chiffrées à l'aide de clés de chiffrement de clés, un processus appelé chiffrement encapsulé. L'accès à vos données de journalisation nécessite l'accès à ces clés de chiffrement de clé. Par défaut, ces paramètres sont définis sur Google Cloud-powered encryption keys et ne nécessitent aucune action de votre part.

Votre organisation peut avoir des exigences de chiffrement réglementaires, de conformité ou avancées que notre chiffrement au repos par défaut ne fournit pas. Pour répondre aux exigences de votre organisation, vous pouvez gérer vos propres clés au lieu d'utiliserGoogle Cloud-powered encryption keys.

Les buckets de journaux sont des ressources régionales avec un emplacement fixe. Cloud de Confiance by S3NS gère cette infrastructure afin que vos applications soient disponibles de manière redondante dans les zones de cette région.

La durée de conservation des données stockées par un bucket de journaux dépend de ce bucket. Ce document contient des informations sur la conservation des données.

Vous pouvez créer des vues de journaux dans un bucket de journaux. Une vue de journaux ne donne accès qu'à un sous-ensemble des données de journaux stockées dans un bucket de journaux. Pour chaque bucket de journaux, Cloud Logging crée automatiquement une vue de journaux qui permet d'accéder à chaque entrée de journal du bucket. Vous contrôlez l'accès à une vue des journaux à l'aide d'Identity and Access Management (IAM).

Pour interroger et afficher vos données de journal, utilisez l'explorateur de journaux. Cette page vous aide à résoudre les problèmes et à analyser les performances de vos services et applications. Vous pouvez afficher des entrées de journal individuelles et filtrer vos données de journaux. Cette interface comporte un paramètre de champ d'application qui vous permet de rechercher des données de journaux par projet, bucket de journaux ou vue de journaux.

Pour en savoir plus, consultez Interroger et afficher les entrées de journal.

Prise en charge des organisations et des dossiers

Pour aider votre organisation à répondre à ses besoins de conformité et réglementaires, la journalisation est compatible avec les règles d'administration et les paramètres de ressources par défaut :

Les paramètres de ressources par défaut spécifient l'emplacement et la façon dont les clés de chiffrement sont gérées pour les buckets de journaux créés par le système lorsque de nouvelles ressources sont créées dans un dossier ou une organisation. Par exemple, vous pouvez forcer ces buckets de journaux créés par le système à se trouver dans un emplacement spécifique.
Une règle d'administration peut restreindre l'emplacement des nouveaux buckets de journaux définis par l'utilisateur. La journalisation est compatible avec les règles d'administration qui spécifient les régions dans lesquelles les buckets de journaux peuvent ou ne peuvent pas être créés.

Buckets de journaux créés par le système

Pour chaque projet, compte de facturation, dossier ou organisation Cloud de Confiance , Cloud Logging crée deux buckets de journaux, l'un nommé _Required et l'autre _Default. Sauf si des paramètres de ressources par défaut sont configurés, ces buckets de journaux ontGoogle Cloud-powered encryption keys et Cloud Logging sélectionne leur emplacement.

Vous ne pouvez pas supprimer les buckets de journaux créés par le système.

Bucket de journaux `_Required`

Le bucket de journaux _Required stocke les entrées de journal requises à des fins de conformité ou d'audit. Pour cette raison, vous ne pouvez pas supprimer ce bucket de journaux ni modifier les entrées de journaux qui y sont stockées. Les entrées de journal de ce bucket sont conservées pendant 400 jours. Vous ne pouvez pas modifier cette durée de conservation.

Les entrées de journal stockées dans le bucket de journaux _Required d'une ressource proviennent également de cette ressource. En d'autres termes, le bucket de journaux _Required d'un projet Cloud de Confiance ne peut stocker que les entrées de journal provenant de ce projet.

Le bucket de journaux _Required stocke les types d'entrées de journal suivants :

Journaux d'audit pour les activités d'administration
Journaux d'audit d'événements système
Journaux d'audit des administrateurs Google Workspace
Journaux d'audit des groupes Enterprise
Journaux d'audit de connexion

Bucket de journaux `_Default`

Le bucket de journaux _Default stocke les entrées de journal qui ne sont pas automatiquement stockées dans le bucket de journaux _Required. Étant donné que le bucket de journaux _Default est créé par le système, vous ne pouvez pas le supprimer. Toutefois, vous pouvez modifier les entrées de journal stockées dans ce bucket de journaux.

Cloud Logging conserve les entrées de journal du bucket _Default pendant 30 jours.

Par exemple, ce bucket de journaux stocke :

Journaux d'audit pour l'accès aux données
Journaux d'audit des refus de règles
Journaux générés par les applications et les services Cloud de Confiance by S3NS .

Buckets de journaux définis par l'utilisateur

Vous pouvez créer des buckets de journaux définis par l'utilisateur dans n'importe quel projetCloud de Confiance . Lorsque vous créez un bucket de journaux défini par l'utilisateur, vous sélectionnez l'emplacement. Vous pouvez fournir une clé de chiffrement gérée par le client.

Vous pouvez modifier et supprimer les buckets de journaux définis par l'utilisateur. Pour éviter de supprimer un bucket de journaux qui stocke des entrées de journal dont la période de conservation n'est pas encore terminée, vous pouvez verrouiller le bucket de journaux pour empêcher toute modification.

Contrôler l'accès à un bucket de journaux

Les autorisations et les rôles IAM contrôlent l'accès aux données de journaux. Par exemple, vous pouvez effectuer les opérations suivantes :

Accorder un accès en lecture et en modification à un bucket de journaux.
Accorder l'accès en modification à un bucket de journaux en fonction de l'appartenance à un groupe en utilisant des tags.
Contrôlez l'accès à des champs spécifiques dans une entrée de journal en configurant l'accès au niveau du champ dans un bucket de journaux.
Accordez l'accès à un sous-ensemble d'entrées de journal dans un bucket de journaux en créant une vue de journaux sur ce bucket.

Chaque bucket de journaux possède une vue de journaux par défaut, qui inclut généralement chaque entrée de journal du bucket de journaux. Pour le bucket de journaux _Default, la vue de journaux par défaut exclut les entrées de journal d'accès aux données.

Pour accorder à un utilisateur les autorisations nécessaires pour afficher et analyser les entrées de journaux, l'un des rôles IAM suivants est généralement attribué :

Rôle Lecteur de journaux (roles/logging.viewer) : accorde l'accès à toutes les entrées de journal du bucket _Required, ainsi qu'à la vue des journaux par défaut du bucket _Default.
Rôle Lecteur des journaux privés (roles/logging.privateLogViewer) : accorde l'accès à tous les journaux des buckets _Required et _Default, y compris les journaux d'accès aux données.

Si vous créez des buckets de journaux ou des vues de journaux définis par l'utilisateur sur des buckets de journaux, des autorisations supplémentaires sont requises. Pour en savoir plus sur les rôles, consultez Contrôle des accès avec IAM.

Liste des régions disponibles

Les buckets de journaux sont des ressources régionales. L'infrastructure qui stocke, indexe et recherche vos entrées de journal est située dans un emplacement géographique spécifique. À l'exception des buckets de journaux dans les régions global, eu ou us, Cloud de Confiance by S3NS gère l'infrastructure afin que vos applications soient disponibles de manière redondante dans les zones de la région du bucket de journaux.

Les régions suivantes sont compatibles avec Cloud Logging :

Nom de la région Description de la région

u-france-east1 France

Nom de la région	Description de la région
`u-france-east1`	France
`global`	Journaux stockés dans des centres de données situés dans une région acceptée. Les journaux peuvent être déplacés vers différents centres de données. Aucune garantie de redondance supplémentaire. Si vous souhaitez choisir l'emplacement de stockage de vos données de journaux, utilisez un bucket de journaux régional.

global

Journaux stockés dans des centres de données situés dans une région acceptée. Les journaux peuvent être déplacés vers différents centres de données. Aucune garantie de redondance supplémentaire.

Si vous souhaitez choisir l'emplacement de stockage de vos données de journaux, utilisez un bucket de journaux régional.