Ajude a moldar o futuro das operações de software e manifeste-se na pesquisa de estado de DevOps 1202.

Como gerenciar buckets de registros

Nesta página, você verá como criar e gerenciar buckets de registro.

Antes de começar

Para começar a usar os buckets de registro, faça o seguinte:

  • Familiarize-se com os buckets de registro.
  • Verifique se você ativou o faturamento para o projeto do Google Cloud.
  • Verifique se você e os membros do projeto do Cloud têm o papel ou permissões corretas para criar e gerenciar buckets de registro do projeto do Cloud. Para mais informações, consulte Controle de acesso nesta página.

Como gerenciar buckets

Esta seção descreve como gerenciar seus buckets de registro usando a ferramenta de linha de comando gcloud ou o Console do Google Cloud.

Como criar um bucket de registros

Você precisa da permissão logging.buckets.create para criar um bucket de registro definido pelo usuário. Essa permissão está disponível como parte do papel Gravador de configuração do Logging.

É possível criar no máximo 10 buckets por projeto do Cloud.

Para criar um bucket de registro definido pelo usuário para o projeto do Cloud, conclua as etapas a seguir:

gcloud

Para criar um bucket de registro no projeto do Cloud, execute o comando gcloud logging buckets create:

gcloud logging buckets create BUCKET_ID --location=LOCATION OPTIONAL_FLAGS

Exemplo:

gcloud logging buckets create my-bucket --location global --description "My first bucket"

Console

Para criar um bucket de registro no projeto do Cloud, conclua as seguintes etapas:

  1. No menu do Logging, selecione Armazenamento de registros.

    Acessar o armazenamento de registros

  2. Clique em Criar bucket de registros.

  3. Insira um Nome e uma Descrição para o bucket.

  4. Opcional: para definir uma região do bucket, clique no menu suspenso Selecionar região do bucket de registros e selecione a região em seu bucket. Se você não selecionar uma região, esse valor será definido como global, o que significa que os registros podem ser armazenados fisicamente em qualquer uma das regiões.

  5. Opcional: para definir um período de armazenamento personalizado para os registros no bucket, clique em Avançar.

    No campo Retenção, insira o número de dias, entre 1 dia e 3650 dias, que você quer que o Cloud Logging mantenha seus registros. Se você não personalizar o período de armazenamento, o padrão será 30 days.

    Também é possível configurar a retenção personalizada posteriormente.

  6. Clique em Criar bucket. O novo bucket aparecerá na lista Bucket de registros.

Depois de criar um bucket, é possível configurar visualizações para controlar quem pode acessar os registros no novo bucket e quais registros podem ser acessados por eles.

Como atualizar um bucket de registro

A permissão logging.buckets.update é necessária para atualizar um bucket de registros. Essa permissão está disponível como parte do papel Gravador de configuração do Logging. Também é possível criar um papel personalizado com permissões mais limitadas. Para ver a lista completa de controles de acesso do Logging, consulte Controles de acesso.

Para atualizar os atributos do bucket, siga estas etapas:

gcloud

Para atualizar os atributos do seu bucket, execute o comando gcloud logging buckets:

gcloud logging buckets update BUCKET_ID --location=LOCATION UPDATED_ATTRIBUTES

Exemplo:

gcloud logging buckets update my-bucket --location=global --description "Updated description"

Console

Para atualizar os atributos do bucket, siga estas etapas:

  1. No menu do Logging, selecione Armazenamento de registros.

    Acessar o armazenamento de registros

  2. No bucket que você quer atualizar, clique em Mais .

  3. Selecione Editar bucket.

  4. Edite o bucket conforme necessário.

  5. Clique em Atualizar bucket.

Como bloquear um bucket de registros

Ao bloquear um bucket em relação a atualizações, ele inclui o bloqueio da política de armazenamento do bucket. Depois que uma política de armazenamento estiver bloqueada, você não poderá excluir o bucket até que todos os registros nele atendam ao período de armazenamento do bucket.

A permissão logging.buckets.update é necessária para bloquear um bucket de registros contra atualizações. Essa permissão está disponível como parte do papel Gravador de configuração do Logging. Também é possível criar um papel personalizado com permissões mais limitadas. Para ver a lista completa de controles de acesso do Logging, consulte Controles de acesso.

Para impedir que qualquer pessoa atualize ou exclua um bucket de registro, bloqueie o bucket. Para bloquear o bucket, faça o seguinte:

gcloud

Para bloquear seu bucket, execute o comando gcloud logging buckets update com a sinalização --locked:

gcloud logging buckets update BUCKET_ID --location=LOCATION --locked

Exemplo:

gcloud logging buckets update my-bucket --location=global --locked

Console

O Console do Cloud não é compatível com o bloqueio de um bucket de registro.

Como listar buckets de registro

A permissão logging.buckets.list é necessária para listar os detalhes do bucket de registros. Essa permissão está disponível como parte do papel Gravador de configuração do Logging. Também é possível criar um papel personalizado com permissões mais limitadas. Para ver a lista completa de controles de acesso do Logging, consulte Controles de acesso.

Para listar os buckets de registro associados a um projeto do Cloud e ver detalhes como configurações de retenção, faça o seguinte:

gcloud

Execute o comando gcloud logging buckets list:

gcloud logging buckets list

Você verá os seguintes atributos para os buckets de registros:

  • LOCATION: a região em que os dados do bucket estão armazenados.
  • BUCKET_ID: o nome dado ao bucket quando ele foi criado.
  • RETENTION_DAYS: o número de dias em que os dados do intervalo serão armazenados pelo Cloud Logging.
  • LIFECYCLE_STATE: indica se o bucket está com exclusão pendente pelo Cloud Logging.
  • LOCKED: se o bucket está bloqueado ou desbloqueado.
  • CREATE_TIME: um carimbo de data/hora que indica quando o bucket foi criado.
  • UPDATE_TIME: um carimbo de data/hora que indica quando o bucket foi modificado pela última vez.

Também é possível visualizar os atributos de apenas um bucket. Por exemplo, para visualizar os detalhes do bucket de registro _Default, execute o comando gcloud logging buckets describe:

gcloud logging buckets describe _Default --location=global

Console

Acesse a página Armazenamento de registros:

Acessar o armazenamento de registros

Você verá uma tabela buckets de registros que lista os buckets associados ao projeto atual do Cloud.

A tabela lista os seguintes atributos para cada bucket de registros:

  • Nome: o nome atribuído ao bucket quando ele foi criado.
  • Descrição: a descrição dada ao bucket quando ele foi criado.
  • Período de armazenamento: o número de dias em que os dados do bucket serão armazenados pelo Cloud Logging.
  • Região: a localização geográfica em que os dados do bucket estão armazenados.
  • Status: se o bucket está bloqueado ou desbloqueado.

Se um bucket estiver com exclusão pendente pelo Cloud Logging, a entrada da tabela é anotada com um aviso .

Como ver detalhes dos buckets de registro

A permissão logging.buckets.get é necessária para visualizar os detalhes de um bucket de registro. Essa permissão está disponível como parte do papel Gravador de configuração do Logging. Também é possível criar um papel personalizado com permissões mais limitadas. Para ver a lista completa de controles de acesso do Logging, consulte Controles de acesso.

Para visualizar os detalhes de um único bucket de registro, faça o seguinte:

gcloud

Execute o comando gcloud logging buckets describe:

gcloud logging buckets describe _Default --location=global

Você verá os seguintes atributos para o bucket de registros:

  • createTime: um carimbo de data/hora que indica quando o bucket foi criado.
  • description: a descrição dada ao bucket quando ele foi criado.
  • lifecycleState: indica se o bucket está com exclusão pendente pelo Cloud Logging.
  • name: o nome dado ao bucket quando ele foi criado.
  • retentionDays: o número de dias em que os dados do intervalo serão armazenados pelo Cloud Logging.
  • updateTime: um carimbo de data/hora que indica quando o bucket foi modificado pela última vez.

Console

Acesse a página Armazenamento de registros:

Acessar o armazenamento de registros

No bucket de registro, clique em Mais > Ver detalhes do bucket.

A caixa de diálogo lista os atributos a seguir para o bucket de registros:

  • Nome: o nome atribuído ao bucket quando ele foi criado.
  • Descrição: a descrição dada ao bucket quando ele foi criado.
  • Período de armazenamento: o número de dias em que os dados do bucket serão armazenados pelo Cloud Logging.
  • Região: a localização geográfica em que os dados do bucket estão armazenados.

Como excluir um bucket de registros

A permissão logging.buckets.delete é necessária para excluir um bucket de registros. Essa permissão está disponível como parte do papel Gravador de configuração do Logging. Também é possível criar um papel personalizado com permissões mais limitadas. Para ver a lista completa de controles de acesso do Logging, consulte Controles de acesso.

Para excluir um bucket de registros, faça o seguinte:

gcloud

Para excluir um bucket de registros, execute o comando gcloud logging buckets delete:

gcloud logging buckets delete BUCKET_ID --location=LOCATION

Console

Para excluir um bucket de registros, siga estas etapas:

  1. No menu do Logging, selecione Armazenamento de registros.

    Acessar o armazenamento de registros

  2. No bucket que você quer excluir, clique em Mais .

  3. Selecione Excluir bucket.

  4. No painel de confirmação, clique em Excluir.

  5. Na página Armazenamento de registros, o bucket tem um indicador mostrando que a exclusão está pendente. O bucket e todos os registros contidos nele são excluídos após sete dias.

Como restaurar um bucket de registro excluído

A permissão logging.buckets.undelete é necessária para restaurar um bucket de registro. Essa permissão está disponível como parte do papel Gravador de configuração do Logging. Também é possível criar um papel personalizado com permissões mais limitadas. Para ver a lista completa de controles de acesso do Logging, consulte Controles de acesso.

É possível restaurar ou cancelar a exclusão de um bucket de registros no estado de exclusão pendente. Para restaurar um bucket de registros, faça o seguinte:

gcloud

Para restaurar um bucket de registro com exclusão pendente, execute o comando gcloud logging buckets undelete:

gcloud logging buckets undelete BUCKET_ID --location=LOCATION

Console

Para restaurar um bucket de registro com exclusão pendente, siga estas etapas:

  1. No menu do Logging, selecione Armazenamento de registros.

    Acessar o armazenamento de registros

  2. No bucket que você quer restaurar, clique em Mais .

  3. Selecione Restaurar bucket excluído.

  4. No painel de confirmação, clique em Restaurar.

  5. Na página Armazenamento de registros, o indicador de exclusão pendente é removido do bucket.

Como gravar em um bucket de registros

A permissão logging.logEntries.create é necessária para gravar entradas de registro em um projeto, uma pasta ou uma organização do Cloud. Essa permissão está disponível como parte do Gravador de registros e do Administrador do Logging. Para ver a lista completa de controles de acesso do Logging, consulte Controles de acesso.

Não é possível gravar os registros diretamente em um bucket de registros. Em vez disso, são gravados registros em um projeto, uma pasta ou uma organização do Cloud. Os coletores no recurso pai encaminham os registros para os destinos, incluindo buckets de registro. Um coletor roteia registros para um destino de bucket de registros quando eles correspondem ao filtro do coletor e o coletor tem permissão para encaminhar os registros para o bucket de registro.

Se um coletor de registros encaminhar registros para um bucket de registros no mesmo projeto do Cloud, o coletor não precisará de permissões.

Se um coletor de registros encaminhar os registros para um bucket de registros em um projeto do Cloud diferente, conceda a permissão de registro logging.buckets.write ao coletor de registros. Para conceder essa permissão no projeto do Cloud que contém o bucket de registros, use o papel Gravador de bucket de registros. Esse papel precisa ser concedido a uma conta de serviço do coletor de registros usando uma condição de IAM que corresponda a um bucket de registro específico.

Para instruções sobre como conceder permissões a uma conta de serviço para gravar em um bucket de registros em outro projeto do Cloud, consulte Permissões de destino.

Como ler a partir de um bucket de registros

A permissão logging.views.listLogs é necessária para ler registros de um bucket de registros. Essa permissão está disponível como parte do papel de assistente de visualização de registros. Para ver a lista completa de controles de acesso do Logging, consulte Controles de acesso.

Cada bucket de registros tem um conjunto de visualizações de registros. Para ler registros de um bucket de registros, você precisa ter acesso a uma visualização de registro no bucket de registros. Para mais informações sobre visualizações de registro, consulte Como gerenciar visualizações de registro.

É recomendável definir essas permissões usando uma condição do IAM. Para mais informações sobre como adicionar usuários a uma visualização de registro usando uma condição do IAM, consulte Como adicionar usuários a uma visualização de registro.

Para ler registros de um bucket de registros, faça o seguinte:

gcloud

Para ler registros de um bucket de registro, execute o comando gcloud logging read:

gcloud logging read --bucket=BUCKET_ID --location=LOCATION --view=VIEW_ID

Console

Para instruções sobre como ler registros de um bucket de registros, consulte Refinar escopo.

Como configurar a retenção personalizada

Ao criar um bucket de registros, é possível personalizar o período de tempo em que o Cloud Logging armazena os registros do bucket. É possível configurar o período de armazenamento para qualquer bucket de registro definido pelo usuário e também para o bucket de registros _Default.

Para atualizar o período de armazenamento de um bucket de registros, faça o seguinte:

gcloud

Para atualizar o período de armazenamento do bucket de registros _Default, execute este comando da ferramenta de linha de comando gcloud, depois de definir um valor para RETENTION_DAYS:

gcloud logging buckets update _Default --location=global --retention-days=RETENTION_DAYS

Por exemplo, para manter os registros no bucket _Default por um ano, execute o seguinte comando:

gcloud logging buckets update _Default --location=global --retention-days=365

CONSOLE

Para atualizar o período de armazenamento de um intervalo de registros, siga estas etapas:

  1. No menu do Logging, selecione Armazenamento de registros.

    Acessar o armazenamento de registros

  2. No bucket que você quer atualizar, clique em Mais .

  3. Selecione Editar bucket.

  4. No campo Retenção, insira o número de dias, entre 1 dia e 3650 dias, que você quer que o Cloud Logging mantenha seus registros.

  5. Clique em Atualizar bucket. A nova duração da retenção é exibida na lista de buckets de registros.

Controle de acesso

Os papéis e as permissões do gerenciamento de identidade e acesso regem o acesso aos dados do Logging. Veja a seguir um resumo dos papéis e das permissões comuns que um membro de um projeto do Cloud precisa acessar para acessar buckets de registro.

O Cloud Logging recomenda limitar os privilégios ao configurar os papéis e permissões do gerenciamento de identidade e acesso. Consulte Como usar o IAM com segurança para ver detalhes.

Atividade de buckets de registros Acesso do usuário Permissões IAM Papéis do IAM e configurações de controle de acesso recomendadas
Como gerenciar configurações de bucket de registros Quem pode criar, listar, atualizar, excluir, cancelar exclusão e visualizar detalhes de buckets de registro. logging.buckets.{create,list,get,update,delete,undelete} Essas permissões estão disponíveis como parte do Gravador de configuração de geração de registros ouAdministrador do Logging. Também é possível criar um papel personalizado com permissões mais limitadas.
Gravar entradas de registro em um bucket Quem pode gravar entradas de registro em um bucket de registros específico logging.buckets.write

Se um coletor de registros encaminhar entradas de registro para um bucket no mesmo projeto do Cloud, ele não precisará de permissões.

Se um coletor de registros encaminhar os registros para um bucket de registros em um projeto do Cloud diferente, conceda a permissão de registro logging.buckets.write ao coletor de registros. Use o papel Gravador de bucket de registros para conceder essa permissão no projeto do Cloud que contém o bucket de registro. Esse papel precisa ser concedido para uma conta de serviço do coletor de registros usando uma condição de IAM que corresponda a um bucket de registro específico.

Para um exemplo de como configurar uma condição do IAM em um coletor de registros usando a ferramenta gcloud, consulte Como rotear registros de um projeto para um bucket em um projeto do Cloud diferente.

Como ler entradas de registro de um bucket de registros Quem pode ver as entradas de registros de um bucket de registros específico usando uma visualização de registro. logging.views.{access,listLogs,listResourceKeys,listResourceValues} Use o papel Accessor de visualização de registros para conceder essa permissão. Esse papel precisa ser concedido usando uma condição de IAM que corresponda a uma visualização de registro específica.

Para informações sobre como configurar essa condição do IAM em uma visualização de registro, consulte Como adicionar usuários a uma visualização de registro.

Para ver a lista completa de controles de acesso do Logging, consulte Controles de acesso.

Solução de problemas e perguntas comuns

Se você encontrar problemas ao usar buckets de registros, consulte as etapas de solução de problemas e as respostas a perguntas comuns.

Por que não consigo excluir este bucket?

Primeiro, verifique se você tem as permissões corretas para excluir o bucket.

Em seguida, liste os atributos do bucket para determinar se o bucket está bloqueado. Se o bucket estiver bloqueado, verifique o período de armazenamento dele. Não é possível excluir um bucket bloqueado até que todos os registros nele tenham atingido o período de armazenamento do bucket.

Por que vejo registros de um projeto do Cloud mesmo que eles sejam excluídos do meu coletor _Default?

É possível visualizar registros em um bucket de registros em um projeto centralizado do Cloud, que agrega registros de toda a organização.

Se você estiver acessando registros em um projeto centralizado do Cloud e vir registros excluídos do coletor _Default, talvez veja os registros em uma das seguintes condições:

  • usando o Visualizador de registros legado, que não é compatível com a visualização de registros centralizados;

    Para resolver esse problema, use o Logs Explorer.

  • Como visualizar os registros usando o Logs Explorer comEscopo por projeto selecionada noRefinar escopo que mostra os registros gerados pelo projeto do Cloud, independentemente de onde você os armazena.

    Para resolver esse problema, selecione Escopo por armazenamento no painel Refinar escopo do Explorador de registros e escolha _Default. bucket do seu projeto do Cloud. Você não verá mais os registros excluídos.

Por que não consigo criar métricas com base em registros para o bucket de registro?

As métricas com base em registros se aplicam apenas a um único projeto do Google Cloud. Não é possível criá-los para buckets de registros ou para outros recursos do Google Cloud, como contas ou organizações do Faturamento do Cloud.

A seguir

Para informações sobre os métodos de API de bucket de registros, consulte a documentação de referência de LogBucket.

Para informações sobre como abordar casos de uso comuns com buckets de registro, consulte os seguintes tópicos: