Almacenar los registros de tu organización en un bucket de registros

En esta página, se describe cómo almacenar tus registros en un solo bucket de registro. Una manera común de administrar los registros es agregarlos desde toda la organización en un solo bucket de registros. En esta guía, se explica este proceso con el ejemplo de agregación de todos los registros de auditoría.

Este proceso implica los siguientes pasos:

  1. Crea el bucket de registros para almacenar los registros agregados.

  2. Crear el receptor a nivel de la organización para enrutar los registros al nuevo bucket de registros

  3. Configuración del acceso de lectura al bucket de registros nuevo.

  4. Busca registros en la página Explorador de registros.

Antes de comenzar

Para completar los pasos de esta guía, deberás saber lo siguiente:

  • ¿En qué proyecto de Cloud deseas agregar los registros? En el ejemplo de esta guía, usamos un proyecto de Cloud llamado logs-test-project.

  • ¿Cuál es el nombre y la ubicación del bucket de registros en el que agregarás registros? En este ejemplo, el nombre del depósito es all-audit-logs-bucket y la ubicación es global.

  • ¿Qué registros deseas incluir? En este ejemplo, se incluyen todos los registros de auditoría, logName:cloudaudit.googleapis.com.

  • ¿Cuál es el nombre del receptor que recopila estos registros? En este ejemplo, el nombre del receptor es all-audit-logs-sink.

  • ¿Cuál es el número de organización? En este ejemplo, el número de organización es 12345.

Crea un bucket de registros

Los depósitos de registros almacenan los registros que se enrutan desde otras organizaciones, proyectos o carpetas de Cloud. Para obtener más información, consulta Administra depósitos de registro.

Para crear el bucket en el proyecto de Cloud en el que deseas agregar registros, completa los siguientes pasos:

  1. Abre Google Cloud Console en el proyecto de Cloud que usas para agregar los registros.

    Ir a Google Cloud Console

  2. En una terminal de Cloud Shell, ejecuta el siguiente comando para crear un bucket y reemplaza las variables por valores adecuados:

     gcloud logging buckets create all-audit-logs-bucket \
       --location=global \
       --project=logs-test-project
    
  3. Verifica si se creó el bucket:

    gcloud logging buckets list --project=logs-test-project
    
  4. De forma opcional, configura el período de retención de los registros en el bucket. En este ejemplo, se amplía la retención de los registros almacenados en el bucket a 365 días:

    gcloud logging buckets update all-audit-logs-bucket --location=global --project=logs-test-project --retention-days=365
    

Crea el receptor de registros

Puedes enrutar registros a un bucket de registros mediante la creación de un receptor de registros. Un receptor posee un filtro de registros, que selecciona las entradas de registro que se exportarán a través de este receptor y un destino. En esta guía, el destino de exportación es nuestro bucket, all-audit-logs-bucket.

Configura el receptor a nivel de la organización

Para crear un receptor, completa los siguientes pasos.

  1. Ejecuta el siguiente comando y reemplaza las variables por los valores adecuados:

    gcloud logging sinks create all-audit-logs-sink \
    logging.googleapis.com/projects/logs-test-project/locations/global/buckets/all-audit-logs-bucket \
      --log-filter='logName:cloudaudit.googleapis.com' \
      --description="All audit logs from my org log sink" \
      --organization=12345 \
      --include-children
    

    La marca --include-children es importante para que también se incluyan los registros de todos los proyectos de Cloud dentro de la organización. Para obtener más información, consulta la guía Receptores agregados.

  2. Verifica si se creó el receptor:

    gcloud logging sinks list --organization=12345
    
  3. Obtén el nombre de la cuenta de servicio:

    gcloud logging sinks describe all-audit-logs-sink --organization=12345
    

    El resultado es similar al siguiente:

    writerIdentity: serviceAccount:p1234567890-12345@gcp-sa-logging.iam.gserviceaccount.com
    
  4. Copia la string completa para writerIdentity a partir de serviceAccount:.

Configura los permisos para el receptor

Después de crear el receptor, debes otorgar acceso al receptor para escribir en el bucket. Puedes hacerlo a través de Cloud Console o mediante la edición manual de la política de administración de identidades y accesos (IAM), como se describe en Administra buckets de registros.

En esta guía, configuraremos los permisos a través de Cloud Console mediante los siguientes pasos.

  1. En Cloud Console, ve a la página IAM:

    Ve a la página IAM

  2. Asegúrate de haber seleccionado el proyecto de Cloud de destino que contiene el bucket a nivel de la organización que usas para agregar los registros.

  3. Haz clic en Agregar.

  4. En el campo Principal principal, agrega la cuenta de servicio sin el prefijo serviceAccount:.

  5. En el menú desplegable Seleccionar una función, selecciona Escritor de depósitos de registros.

  6. Haz clic en Guardar.

Genera registros para ayudar en la verificación del receptor

Si tu receptor usa registros de auditoría, una forma de validar que el receptor esté enrutando los registros de forma correcta es iniciar una VM en un proyecto de Cloud diferente y, luego, desactivar esa VM para ver si este evento aparece en el registros.

Si ya tienes muchos proyectos de Cloud en tu organización, es posible que tengas suficiente tráfico de registro de auditoría que no sea necesario para este paso.

Configura el acceso de lectura al nuevo bucket de registro

Ahora que el receptor enruta los registros de toda la organización al bucket, estás listo para buscar en todos los registros. Debes otorgar acceso de lectura para ver las vistas en el bucket nuevo, específicamente la función roles/logging.viewAccessor.

En esta guía, configuraremos los permisos a través de Cloud Console mediante los siguientes pasos.

  1. En Cloud Console, ve a la página IAM:

    Ve a la página IAM

    Asegúrate de seleccionar el proyecto de Cloud que usas para agregar los registros.

  2. Haz clic en Agregar.

  3. En el campo Principal principal, agrega tu cuenta de correo electrónico.

  4. En el menú desplegable Seleccionar una función, selecciona descriptor de acceso de vistas de registro.

    Esta función les proporciona a los usuarios acceso de lectura a todas las vistas. Para limitar el acceso de los usuarios a un bucket específico, agrega una condición basada en el nombre del recurso.

    1. Haz clic en Agregar condición:

    2. Ingresa un Título y una Descripción para la condición.

    3. En el menú desplegable Tipo de condición, selecciona Recurso > Nombre.

    4. En el menú desplegable Operador, selecciona Finalizar con.

    5. En el campo Valor, ingresa la ubicación y la parte del nombre del depósito de tu ID del depósito.

      Por ejemplo:

      locations/global/buckets/all-audit-logs-bucket
      
    6. Haga clic en Guardar para agregar la condición.

  5. Haz clic en Guardar para configurar los permisos.

Busca registros en la página Explorador de registros

Después de configurar los permisos en la sección anterior, ve a Cloud Console y completa los siguientes pasos.

  1. En el menú de Logging del proyecto de Cloud que usas para agregar los registros, selecciona Explorador de registros.

    Ir al Explorador de registros

  2. Selecciona Define mejor el permiso.

  3. En el panel Define mejor el permiso, selecciona Limitar permisos por almacenamiento.

  1. Selecciona all-audit-logs-bucket.

  2. Haga clic en Apply.

  3. El explorador de registros se actualiza para mostrar los registros de tu bucket.

    Para obtener información sobre el uso del Explorador de registros, consulta Usa el Explorador de registros.