En este documento, se describe cómo administrar los registros generados por los recursos contenidos en tu organización de Google Cloud mediante un receptor agregado sin intercepción.
Puedes configurar un receptor agregado para que intercepte o no intercepte, según si deseas controlar en qué registros se pueden consultar o enrutar a través de los receptores en recursos secundarios. En este instructivo, crearás un receptor agregado que enrute los registros de auditoría de tu organización a un bucket de registros. Puedes configurar el filtro del receptor para enrutar otros tipos de entradas de registro. Para obtener más información sobre los receptores agregados, consulta Recopila y enruta los registros de nivel de organización y carpeta a destinos compatibles.
En este instructivo, realizarás los siguientes pasos:
Crear el bucket de Cloud Logging para almacenar los registros agregados
Crear un receptor agregado sin intercepción a nivel de la organización para enrutar los registros al bucket de registros nuevo
Configura el acceso de lectura al nuevo bucket de registros.
Consulta y visualiza tus registros desde la página Explorador de registros.
Antes de comenzar
Asegúrate de que se cumpla lo siguiente:
-
A fin de obtener los permisos que necesitas para crear buckets de registros y receptores de registros agregados, pídele a tu administrador que te otorgue los siguientes roles de IAM:
-
Escritor de configuración de registros (
roles/logging.configWriter
) en el proyecto -
Escritor de configuración de registros (
roles/logging.configWriter
) en tu organización
Si quieres obtener más información para otorgar roles, consulta Administra el acceso.
Es posible que también puedas obtener los permisos necesarios a través de los roles personalizados o de otros roles predefinidos.
-
Escritor de configuración de registros (
-
Si quieres obtener los permisos que necesitas para otorgar roles de principales, pídele a tu administrador que te otorgue el rol de IAM de Propietario (
roles/owner
) en un proyecto. Si usas los Controles del servicio de VPC, debes agregar una regla de entrada al perímetro de servicio. Para obtener más información sobre las limitaciones de los Controles del servicio de VPC, consulta Limitaciones de los receptores agregados y de los Controles del servicio de VPC.
Crea un bucket de registros
Los buckets de registros almacenan los registros que se enrutan desde otras organizaciones, carpetas o proyectos de Google Cloud. Para obtener más información, consulta Configura buckets de registros.
Para crear el bucket de registros en el proyecto de Google Cloud en el que deseas agregar registros, completa los siguientes pasos:
-
Ve a la consola de Google Cloud:
En una terminal de Cloud Shell, ejecuta el comando
gcloud logging buckets create
.Antes de ejecutar el siguiente comando, realiza los siguientes reemplazos:
- BUCKET_NAME: Es el nombre del bucket de registros.
- LOCATION: La ubicación del bucket de registros
- PROJECT_ID: El identificador del proyecto en el que se creará el bucket de registros.
Ejecuta el comando
gcloud logging buckets create
:gcloud logging buckets create BUCKET_NAME \ --location=LOCATION --project=PROJECT_ID
Verifica que se haya creado el bucket de registros:
gcloud logging buckets list --project=PROJECT_ID
Opcional: Configura el período de retención de los registros del bucket. En este ejemplo, se amplía la retención de los registros almacenados en el bucket a 365 días:
gcloud logging buckets update BUCKET_NAME \ --location=LOCATION --project=PROJECT_ID \ --retention-days=365
Crea el receptor agregado
Puedes enrutar los registros a un bucket de registros creando un receptor. Un receptor incluye un filtro de inclusión, un filtro de exclusión opcional y un destino. En este instructivo, el destino es tu bucket de registros nuevo. Para obtener más información sobre los receptores, consulta Enruta registros a destinos compatibles.
Configura el receptor a nivel de la organización
Para crear un receptor agregado, completa los siguientes pasos:
Ejecuta el comando
gcloud logging sinks create
.Antes de ejecutar el siguiente comando, realiza los siguientes reemplazos:
- SINK_NAME: Es el nombre del receptor de registros.
- PROJECT_ID: El identificador del proyecto que almacena el bucket de registros.
- LOCATION: La ubicación del bucket de registros
- BUCKET_NAME: Es el nombre del bucket de registros.
- ORGANIZATION_ID: Es el identificador de la organización.
Ejecuta el comando
gcloud logging sinks create
:gcloud logging sinks create SINK_NAME \ logging.googleapis.com/projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME \ --log-filter='logName:cloudaudit.googleapis.com' \ --description="Audit logs from my organization" \ --organization=ORGANIZATION_ID \ --include-children
La marca
--include-children
es importante para que también se incluyan los registros de todos los proyectos de Google Cloud de tu organización. Para obtener más información, consulta Recopila y enruta registros a nivel de la organización a destinos compatibles.Verifica que se haya creado el receptor:
gcloud logging sinks list --organization=ORGANIZATION_ID
Obtén el nombre de la cuenta de servicio:
gcloud logging sinks describe SINK_NAME --organization=ORGANIZATION_ID
El resultado es similar al siguiente:
writerIdentity: serviceAccount:o1234567890-ORGANIZATION_ID@gcp-sa-logging.iam.gserviceaccount.com
Copia el valor del campo
serviceAccount
en el portapapeles.
Otorga acceso al receptor
Después de crear el receptor, debes otorgarle permiso para escribir en tu bucket de registros. Puedes otorgar permiso con la consola de Google Cloud o editando la política de Identity and Access Management (IAM), como se describe en Configura permisos de destino.
A fin de otorgarle permiso a tu receptor para escribir registros, haz lo siguiente:
-
En la consola de Google Cloud, ve a la página IAM:
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es IAM y administrador.
Selecciona el proyecto de Google Cloud que contiene tu bucket de registros.
Haz clic en
Otorgar acceso.En el campo Principales nuevas, agrega la cuenta de servicio sin el prefijo
serviceAccount:
.En el menú Selecciona un rol, selecciona Escritor de bucket de registros.
Haz clic en Guardar.
Genera registros para asistir en la verificación del receptor
Para verificar que el receptor agregado esté configurado de forma correcta, prueba lo siguiente:
Generar registros de auditoría que deben enrutarse a tu bucket de registros
Si tienes muchos proyectos de Google Cloud en tu organización, es posible que tengas suficiente tráfico de registro de auditoría que no necesites crear para fines de validación. Dirígete al paso siguiente.
De lo contrario, ve a un proyecto diferente, crea una instancia de VM de Compute Engine y, luego, bórrala. Los registros de auditoría se escriben cuando se crea, inicia y borra una VM.
Sigue el procedimiento de la sección Visualiza registros en la página Explorador de registros para ver tus registros de auditoría. Asegúrate de seleccionar la vista
_AllLogs
.
Configura el acceso de lectura a un bucket de registros
Cuando creas un bucket de registros, Cloud Logging crea de forma automática una vista de registro llamada _AllLogs
.
Esta vista incluye todas las entrada de registro almacenadas en el bucket de registros.
Para restringir una principal a fin de que solo tenga acceso a entradas de registro específicas, crea una vista de registro y, luego, realiza una de las siguientes acciones:
Otórgale la función de
roles/logging.viewAccessor
junto con una condición de IAM que restrinja la concesión a la vista de registro.En la política de IAM asociada con la vista de registro, otorga acceso a una principal. Recomendamos este enfoque cuando crees una gran cantidad de vistas de registro.
Para obtener más información sobre estos dos enfoques, consulta Cómo controlar el acceso a una vista de registro.
En los siguientes pasos, le otorgas a una principal el rol de roles/logging.viewAccessor
junto con una condición de IAM que restringe la concesión a la vista llamada _AllLogs
:
-
En la consola de Google Cloud, ve a la página IAM:
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es IAM y administrador.
Asegúrate de haber seleccionado el proyecto de Google Cloud que usas para agregar los registros.
Haga clic en
Agregar.Agrega una principal en el campo Principal nueva.
En el menú Selecciona un rol, elige Descriptor de acceso de vistas de registro.
Agrega una condición de IAM a la vinculación:
- Haz clic en Agregar condición y, luego, ingresa un título y una descripción.
- En el menú Tipo de condición, desplázate hasta Recurso y selecciona Nombre.
- En el menú Operador (Operator), selecciona Termina con (Ends with).
En el campo Valor, ingresa el nombre completo de la vista de registro:
locations/LOCATION/buckets/BUCKET_NAME/views/_AllLogs
Haz clic en Guardar para guardar la condición.
Haz clic en Save para guardar la vinculación.
Ver registros en la página Explorador de registros
Para ver los registros en tu bucket de registros, sigue estos pasos:
-
En la consola de Google Cloud, ve a la página Explorador de registros:
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.
Selecciona Define mejor el permiso.
En el panel Define mejor el permiso, selecciona Limitar permisos por almacenamiento.
Selecciona la vista de registro, o vistas de registro, cuyas entradas de registro quieres ver. Por ejemplo, para ver todos los registros, selecciona la vista llamada
_AllLogs
.Haz clic en Aplicar.
El Explorador de registros se actualiza para mostrar los registros de tu bucket de registros.
Para obtener información sobre cómo usar el Explorador de registros, consulta Usa el Explorador de registros.