Cloud Logging limite la taille des journaux entrants à 256 Ko et supprime tout ce qui dépasse cette limite. Pour s'assurer que Cloud Logging conserve vos journaux volumineux, Fleet Engine peut les diviser en une série de journaux plus petits.
Cloud Logging peut diviser les journaux suivants de Fleet Engine :
Chaque entrée de journal divisée contient les champs suivants :
split.uid: identifiant unique du groupe d'entrées de journal qui ont été divisées à partir d'une entrée de journal d'origine commune. La valeur de ce champ est la même pour toutes les entrées divisées à partir de l'entrée de journal d'origine.split.index: position de cette entrée dans la série d'entrées divisées. La première entrée de la division a l'index0.split.index. Cet index est également ajouté au champLogEntry.insertId.split.totalSplits: nombre d'entrées de journal dans lesquelles l'entrée de journal d'origine a été divisée. La valeur de ce champ est la même pour toutes les entrées divisées à partir de l'entrée de journal d'origine.
split log 1:
insertId: "XXXX-01"
split {index: 0, uuid: "XXXX"}
splitLog 2:
insertId: "XXX-02"
split {index: 1, uuid: "XXXX"}
Pour trouver tous les journaux qui ont été divisés à partir d'un journal spécifique, utilisez une requête comme celle-ci :
split.uid="789+2022-02-22T12:22:22.22+05:00"
sortby split.index OR sortby insertID
La structure de ces journaux divisés est presque identique à celle présentée dans
le guide des journaux d'audit Cloud. La principale différence est que pour les journaux Fleet Engine, la division se produit dans le champ jsonPayload. Pour en savoir plus et obtenir des exemples, consultez la section
Diviser les entrées du journal d'audit.
Étape suivante
Pour compter et filtrer les journaux en fonction de vos critères, créez des métriques basées sur les journaux.