Agrega y almacena los registros de tu organización

En este documento, se describe cómo administrar los registros generados por los recursos contenidos en tu organización de Google Cloud mediante un receptor agregado sin intercepción.

Puedes configurar un receptor agregado para que intercepte o no intercepte, según si deseas controlar en qué registros se pueden consultar o enrutar a través de los receptores en recursos secundarios. En este instructivo, crearás un receptor agregado que enrute los registros de auditoría de tu organización a un bucket de registros. Puedes configurar el filtro del receptor para enrutar otros tipos de entradas de registro. Para obtener más información sobre los receptores agregados, consulta Recopila y enruta los registros de nivel de organización y carpeta a destinos compatibles.

En este instructivo, realizarás los siguientes pasos:

Crear el bucket de Cloud Logging para almacenar los registros agregados
Crear un receptor agregado sin intercepción a nivel de la organización para enrutar los registros al bucket de registros nuevo
Configura el acceso de lectura al nuevo bucket de registros.
Consulta y visualiza tus registros desde la página Explorador de registros.

Antes de comenzar

Asegúrate de que se cumpla lo siguiente:

Tienes una de las siguientes funciones de IAM para la organización o carpeta de Google Cloud desde la que enrutas los registros.
- Propietario (roles/owner)
- Administrador de Logging (roles/logging.admin)
- Escritor de configuración de registros (roles/logging.configWriter)
Los permisos contenidos en estos roles te permiten crear, borrar o modificar receptores. Para obtener información sobre cómo configurar las funciones de IAM, consulta la Guía de control de acceso de Logging.
Si usas los Controles del servicio de VPC, debes agregar una regla de entrada al perímetro de servicio. Para obtener más información sobre las limitaciones de los Controles del servicio de VPC, consulta Limitaciones de los receptores agregados y de los Controles del servicio de VPC.

Crea un bucket de registros

Los buckets de registros almacenan los registros que se enrutan desde otras organizaciones, carpetas o proyectos de Google Cloud. Para obtener más información, consulta Configura buckets de registros.

Para crear el bucket de registros en el proyecto de Google Cloud en el que deseas agregar registros, completa los siguientes pasos:

Navega a la consola de Google Cloud o haz clic en el siguiente botón:
Ir a la consola de Google Cloud
En una terminal de Cloud Shell, ejecuta el siguiente comando para crear un bucket de registros y reemplaza las variables por los valores adecuados:
```
 gcloud logging buckets create all-audit-logs-bucket \
   --location=global \
   --project=logs-test-project
```
Nota: Después de crear el bucket de registros, no podrás cambiar su región.

Verifica que se haya creado el bucket de registros:

gcloud logging buckets list --project=logs-test-project

Opcional: Configura el período de retención de los registros del bucket. En este ejemplo, se amplía la retención de los registros almacenados en el bucket a 365 días:
```
gcloud logging buckets update all-audit-logs-bucket --location=global --project=logs-test-project --retention-days=365
```

Crea el receptor

Puedes enrutar los registros a un bucket de registros creando un receptor. Un receptor incluye un filtro de inclusión, un filtro de exclusión opcional y un destino. En este instructivo, el destino es un bucket de registros, all-audit-logs-bucket. Para obtener más información sobre los receptores, consulta Enruta registros a destinos compatibles.

Configura el receptor a nivel de la organización

Para crear un receptor, completa los siguientes pasos.

Ejecuta el siguiente comando y reemplaza las variables por los valores adecuados:
```
gcloud logging sinks create all-audit-logs-sink \
logging.googleapis.com/projects/logs-test-project/locations/global/buckets/all-audit-logs-bucket \
  --log-filter='logName:cloudaudit.googleapis.com' \
  --description="All audit logs from my org log sink" \
  --organization=12345 \
  --include-children
```
La marca --include-children es importante para que también se incluyan los registros de todos los proyectos de Google Cloud de tu organización. Para obtener más información, consulta Recopila y enruta registros a nivel de la organización a destinos compatibles.

Nota: El receptor sin intercepción que creaste no redirecciona las entradas de registro al bucket de registros. En su lugar, tus entradas de registro se almacenan en el bucket de registros, pero también se envían al proyecto de origen para el enrutamiento de los receptores a nivel de proyecto. Como resultado, una entrada de registro se puede almacenar en varios buckets de registros. Para evitar almacenar copias duplicadas de los registros, crea un receptor de intercepción o agrega un filtro de exclusión a tu receptor a nivel de proyecto.

Verifica si se creó el receptor:

gcloud logging sinks list --organization=12345

Obtén el nombre de la cuenta de servicio:

gcloud logging sinks describe all-audit-logs-sink --organization=12345

El resultado es similar al siguiente:

writerIdentity: serviceAccount:o1234567890-12345@gcp-sa-logging.iam.gserviceaccount.com

Copia la string completa para writerIdentity a partir de serviceAccount:.

Nota: Para enrutar registros a un recurso protegido por un perímetro de servicio, debes agregar la cuenta de servicio de ese receptor a un nivel de acceso y, luego, asignarla al perímetro de servicio de destino. Esto no es necesario para los receptores no agregados. Para obtener más información, consulta Controles del servicio de VPC: Cloud Logging.

Otorga acceso al receptor

Después de crear el receptor, debes otorgarle permiso para escribir en tu bucket de registros. Puedes hacerlo a través de la consola de Google Cloud o mediante la edición manual de la política de Identity and Access Management (IAM), como se describe en Configura permisos de destino.

En este instructivo, configuramos los permisos en la consola de Google Cloud con los siguientes pasos.

En el panel de navegación de la consola de Google Cloud, elige IAM:
Ir a IAM
Asegúrate de haber seleccionado el proyecto de Google Cloud de destino que contiene el bucket a nivel de la organización que usas para agregar los registros.
Haz clic en Otorgar acceso.
En el campo Principales nuevas, agrega la cuenta de servicio sin el prefijo serviceAccount:.
En el menú Selecciona un rol, selecciona Escritor de bucket de registros.
Haz clic en Guardar.

Genera registros para asistir en la verificación del receptor

Si tu receptor usa registros de auditoría, una forma de validar que el receptor enruta correctamente los registros es iniciar una VM en un proyecto de Google Cloud diferente y, luego, apagar esa VM para ver si este evento aparece en los registros.

Si ya tienes muchos proyectos de Google Cloud en tu organización, es posible que tengas suficiente tráfico de registro de auditoría que este paso no sea necesario.

Configura el acceso de lectura al nuevo bucket de registros

Ahora que el receptor enruta los registros de toda tu organización al bucket de registros, estás listo para buscar en todos estos registros. Puedes usar vistas de registro para restringir quién tiene acceso a los registros dentro de tus buckets de registros; para ello, crea una vista de registro y otorga a las principales el rol de IAM roles/logging.viewAccessor.

En este instructivo, configuramos los permisos en la consola de Google Cloud mediante los siguientes pasos.

En el panel de navegación de la consola de Google Cloud, elige IAM:
Ir a IAM

Asegúrate de haber seleccionado el proyecto de Google Cloud que usas para agregar los registros.
Haga clic en Agregar.
En el campo Principal nuevo, agrega tu cuenta de correo electrónico.
En el menú Selecciona un rol, elige Descriptor de acceso de vistas de registro.

Este rol proporciona a una principal acceso de lectura a las vistas de registro en los buckets de registros del proyecto de Google Cloud. Para limitar el acceso de un usuario, crea o selecciona una vista de registro existente y agrega una condición que le permita al usuario leer solo desde tu bucket de registros nuevo:
1. Haz clic en Agregar condición:
2. Ingresa un Título y una Descripción para la condición.
3. En el menú Tipo de condición, selecciona Recurso y, luego, Nombre.
4. En el menú Operador (Operator), selecciona Termina con (Ends with).
5. En el campo Valor, ingresa el nombre de la vista de registro. Para obtener información sobre las vistas de registro, consulta Configura vistas de registro en un bucket de registros.
  
  El nombre de una vista de registro tiene el siguiente formato:
```
locations/global/buckets/all-audit-logs-bucket/views/view_id
```
6. Haga clic en Guardar para agregar la condición.
Haz clic en Guardar para configurar los permisos.

Busca registros en la página Explorador de registros

Después de configurar los permisos en la sección anterior, ve a la consola de Google Cloud y completa los siguientes pasos:

En el panel de navegación de la consola de Google Cloud, elige Logging y, luego, Explorador de registros:
Ir al Explorador de registros
Selecciona Define mejor el permiso.
En el panel Define mejor el permiso, selecciona Limitar permisos por almacenamiento.
Seleccione all-audit-logs-bucket.
Haz clic en Aplicar.

El Explorador de registros se actualiza para mostrar los registros de tu bucket de registros.

Para obtener información sobre cómo usar el Explorador de registros, consulta Usa el Explorador de registros.