Se usó la API de Cloud Translation para traducir esta página.

Agrega y almacena los registros de tu organización

En este documento, se describe cómo administrar los registros generados por los recursos contenidos en tu organización de Google Cloud mediante un receptor agregado sin intercepción.

Puedes configurar un receptor agregado para que intercepte o no intercepte, según si deseas controlar en qué registros se pueden consultar o enrutar a través de los receptores en recursos secundarios. En este instructivo, crearás un receptor agregado que enrute los registros de auditoría de tu organización a un bucket de registros. Puedes configurar el filtro del receptor para enrutar otros tipos de entradas de registro. Para obtener más información sobre los receptores agregados, consulta Recopila y enruta los registros de nivel de organización y carpeta a destinos compatibles.

En este instructivo, realizarás los siguientes pasos:

Crear el bucket de Cloud Logging para almacenar los registros agregados
Crear un receptor agregado sin intercepción a nivel de la organización para enrutar los registros al bucket de registros nuevo
Configura el acceso de lectura al nuevo bucket de registros.
Consulta y visualiza tus registros desde la página Explorador de registros.

Antes de comenzar

Asegúrate de que se cumpla lo siguiente:

A fin de obtener los permisos que necesitas para crear buckets de registros y receptores de registros agregados, pídele a tu administrador que te otorgue los siguientes roles de IAM:
- Escritor de configuración de registros (roles/logging.configWriter) en el proyecto
- Escritor de configuración de registros (roles/logging.configWriter) en tu organización
Si quieres obtener más información para otorgar roles, consulta Administra el acceso.

Es posible que también puedas obtener los permisos necesarios a través de los roles personalizados o de otros roles predefinidos.

Si quieres obtener los permisos que necesitas para otorgar roles de principales, pídele a tu administrador que te otorgue el rol de IAM de Propietario (roles/owner) en un proyecto.
Si usas los Controles del servicio de VPC, debes agregar una regla de entrada al perímetro de servicio. Para obtener más información sobre las limitaciones de los Controles del servicio de VPC, consulta Limitaciones de los receptores agregados y de los Controles del servicio de VPC.

Crea un bucket de registros

Los buckets de registros almacenan los registros que se enrutan desde otras organizaciones, carpetas o proyectos de Google Cloud. Para obtener más información, consulta Configura buckets de registros.

Para crear el bucket de registros en el proyecto de Google Cloud en el que deseas agregar registros, completa los siguientes pasos:

Ve a la consola de Google Cloud:
Ir a la consola de Google Cloud
En una terminal de Cloud Shell, ejecuta el comando gcloud logging buckets create.

Antes de ejecutar el siguiente comando, realiza los siguientes reemplazos:
- BUCKET_NAME: Es el nombre del bucket de registros.
- LOCATION: La ubicación del bucket de registros
- PROJECT_ID: El identificador del proyecto en el que se creará el bucket de registros.
Ejecuta el comando gcloud logging buckets create:
```
 gcloud logging buckets create BUCKET_NAME \
   --location=LOCATION --project=PROJECT_ID
```
Nota: Después de crear el bucket de registros, no podrás cambiar su región.
Verifica que se haya creado el bucket de registros:
```
gcloud logging buckets list --project=PROJECT_ID
```
Opcional: Configura el período de retención de los registros del bucket. En este ejemplo, se amplía la retención de los registros almacenados en el bucket a 365 días:
```
gcloud logging buckets update BUCKET_NAME \
  --location=LOCATION --project=PROJECT_ID \
  --retention-days=365
```

Crea el receptor agregado

Puedes enrutar los registros a un bucket de registros creando un receptor. Un receptor incluye un filtro de inclusión, un filtro de exclusión opcional y un destino. En este instructivo, el destino es tu bucket de registros nuevo. Para obtener más información sobre los receptores, consulta Enruta registros a destinos compatibles.

Configura el receptor a nivel de la organización

Para crear un receptor agregado, completa los siguientes pasos:

Ejecuta el comando gcloud logging sinks create.

Antes de ejecutar el siguiente comando, realiza los siguientes reemplazos:
- SINK_NAME: Es el nombre del receptor de registros.
- PROJECT_ID: El identificador del proyecto que almacena el bucket de registros.
- LOCATION: La ubicación del bucket de registros
- BUCKET_NAME: Es el nombre del bucket de registros.
- ORGANIZATION_ID: Es el identificador de la organización.
Ejecuta el comando gcloud logging sinks create:
```
gcloud logging sinks create SINK_NAME \
logging.googleapis.com/projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME  \
  --log-filter='logName:cloudaudit.googleapis.com' \
  --description="Audit logs from my organization" \
  --organization=ORGANIZATION_ID \
  --include-children
```
La marca --include-children es importante para que también se incluyan los registros de todos los proyectos de Google Cloud de tu organización. Para obtener más información, consulta Recopila y enruta registros a nivel de la organización a destinos compatibles.

Nota: El receptor sin intercepción que creaste no redirecciona las entradas de registro al bucket de registros. En su lugar, tus entradas de registro se almacenan en el bucket de registros, pero también se envían al proyecto de origen para el enrutamiento de los receptores a nivel de proyecto. Como resultado, una entrada de registro se puede almacenar en varios buckets de registros. Para evitar almacenar copias duplicadas de los registros, crea un receptor de intercepción o agrega un filtro de exclusión a tu receptor a nivel de proyecto.

Verifica que se haya creado el receptor:

gcloud logging sinks list --organization=ORGANIZATION_ID

Obtén el nombre de la cuenta de servicio:

gcloud logging sinks describe SINK_NAME --organization=ORGANIZATION_ID

El resultado es similar al siguiente:

writerIdentity: serviceAccount:o1234567890-ORGANIZATION_ID@gcp-sa-logging.iam.gserviceaccount.com

Copia el valor del campo serviceAccount en el portapapeles.

Nota: Para enrutar registros a un recurso protegido por un perímetro de servicio, debes agregar la cuenta de servicio de ese receptor a un nivel de acceso y, luego, asignarla al perímetro de servicio de destino. Esto no es necesario para los receptores no agregados. Para obtener más información, consulta Controles del servicio de VPC: Cloud Logging.

Otorga acceso al receptor

Después de crear el receptor, debes otorgarle permiso para escribir en tu bucket de registros. Puedes otorgar permiso con la consola de Google Cloud o editando la política de Identity and Access Management (IAM), como se describe en Configura permisos de destino.

A fin de otorgarle permiso a tu receptor para escribir registros, haz lo siguiente:

En la consola de Google Cloud, ve a la página IAM:
Ir a IAM

Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es IAM y administrador.
Selecciona el proyecto de Google Cloud que contiene tu bucket de registros.
Haz clic en Otorgar acceso.
En el campo Principales nuevas, agrega la cuenta de servicio sin el prefijo serviceAccount:.
En el menú Selecciona un rol, selecciona Escritor de bucket de registros.
Haz clic en Guardar.

Genera registros para asistir en la verificación del receptor

Para verificar que el receptor agregado esté configurado de forma correcta, prueba lo siguiente:

Generar registros de auditoría que deben enrutarse a tu bucket de registros
- Si tienes muchos proyectos de Google Cloud en tu organización, es posible que tengas suficiente tráfico de registro de auditoría que no necesites crear para fines de validación. Dirígete al paso siguiente.
- De lo contrario, ve a un proyecto diferente, crea una instancia de VM de Compute Engine y, luego, bórrala. Los registros de auditoría se escriben cuando se crea, inicia y borra una VM.
Sigue el procedimiento de la sección Visualiza registros en la página Explorador de registros para ver tus registros de auditoría. Asegúrate de seleccionar la vista _AllLogs.

Configura el acceso de lectura a un bucket de registros

Cuando creas un bucket de registros, Cloud Logging crea de forma automática una vista de registro llamada _AllLogs. Esta vista incluye todas las entrada de registro almacenadas en el bucket de registros.

Para restringir una principal a fin de que solo tenga acceso a entradas de registro específicas, crea una vista de registro y, luego, realiza una de las siguientes acciones:

Otórgale la función de roles/logging.viewAccessor junto con una condición de IAM que restrinja la concesión a la vista de registro.
En la política de IAM asociada con la vista de registro, otorga acceso a una principal. Recomendamos este enfoque cuando crees una gran cantidad de vistas de registro.

Para obtener más información sobre estos dos enfoques, consulta Cómo controlar el acceso a una vista de registro.

En los siguientes pasos, le otorgas a una principal el rol de roles/logging.viewAccessor junto con una condición de IAM que restringe la concesión a la vista llamada _AllLogs:

En la consola de Google Cloud, ve a la página IAM:
Ir a IAM

Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es IAM y administrador.

Asegúrate de haber seleccionado el proyecto de Google Cloud que usas para agregar los registros.
Haga clic en Agregar.
Agrega una principal en el campo Principal nueva.
En el menú Selecciona un rol, elige Descriptor de acceso de vistas de registro.

Nota: Si no agregas una condición a este rol, la principal tiene acceso a todas las vistas de registro en todos los buckets de registros definidos por el usuario en el proyecto de Google Cloud.
Agrega una condición de IAM a la vinculación:
1. Haz clic en Agregar condición y, luego, ingresa un título y una descripción.
2. En el menú Tipo de condición, desplázate hasta Recurso y selecciona Nombre.
3. En el menú Operador (Operator), selecciona Termina con (Ends with).
4. En el campo Valor, ingresa el nombre completo de la vista de registro:
```
locations/LOCATION/buckets/BUCKET_NAME/views/_AllLogs
```
5. Haz clic en Guardar para guardar la condición.
Haz clic en Save para guardar la vinculación.

Ver registros en la página Explorador de registros

Para ver los registros en tu bucket de registros, sigue estos pasos:

En la consola de Google Cloud, ve a la página Explorador de registros:
Ir al Explorador de registros

Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.
Selecciona Define mejor el permiso.
En el panel Define mejor el permiso, selecciona Limitar permisos por almacenamiento.
Selecciona la vista de registro, o vistas de registro, cuyas entradas de registro quieres ver. Por ejemplo, para ver todos los registros, selecciona la vista llamada _AllLogs.
Haz clic en Aplicar.

El Explorador de registros se actualiza para mostrar los registros de tu bucket de registros.

Para obtener información sobre cómo usar el Explorador de registros, consulta Usa el Explorador de registros.