Cloud Logging limite la taille des journaux entrants à 256 Ko et supprime tout ce qui est plus volumineux. Pour s'assurer que Cloud Logging conserve vos journaux volumineux, Fleet Engine peut les diviser en une série de journaux plus petits.
Cloud Logging peut diviser les journaux suivants de Fleet Engine :
Chaque entrée de journal fractionnée contient les champs suivants :
split.uid: identifiant unique du groupe d'entrées de journal qui ont été divisées à partir d'une entrée de journal d'origine commune. La valeur de ce champ est la même pour toutes les entrées fractionnées à partir de l'entrée de journal d'origine.split.index: position de cette entrée dans la série d'entrées fractionnées. La première entrée de la partition présente l'index0.split.index. Cet index est également ajouté au champLogEntry.insertId.split.totalSplits: nombre d'entrées de journal dans lesquelles l'entrée de journal d'origine a été divisée. La valeur de ce champ est la même pour toutes les entrées fractionnées à partir de l'entrée de journal d'origine.
split log 1:
insertId: "XXXX-01"
split {index: 0, uuid: "XXXX"}
splitLog 2:
insertId: "XXX-02"
split {index: 1, uuid: "XXXX"}
Pour trouver tous les journaux qui ont été fractionnés à partir d'un journal spécifique, utilisez une requête comme celle-ci :
split.uid="789+2022-02-22T12:22:22.22+05:00"
sortby split.index OR sortby insertID
La structure de ces journaux fractionnés est presque identique à celle présentée dans le guide Cloud Audit Logs. La principale différence est que, pour les journaux Fleet Engine, la division se produit dans le champ jsonPayload. Pour en savoir plus et obtenir des exemples, consultez Diviser les entrées du journal d'audit.
Étape suivante
Pour compter et filtrer les journaux selon vos critères, créez des métriques basées sur les journaux.