Almacena los registros de tu organización en un bucket de registros

En esta página, se describe cómo almacenar tus registros en un solo bucket de registros. Una forma común de administrar tus registros es agregarlos en toda tu organización a un solo bucket de registros. En esta guía, se explica este proceso con el ejemplo de agregación de todos los registros de auditoría.

Este proceso implica los siguientes pasos:

  1. Crear el bucket de registros para almacenar los registros agregados

  2. Crear el receptor a nivel de la organización para enrutar los registros al nuevo bucket de registros

  3. Configura el acceso de lectura al bucket de registros nuevo

  4. Busca registros en la página Explorador de registros.

Antes de comenzar

Para completar los pasos de esta guía, deberás saber lo siguiente:

  • ¿A qué proyecto quieres agregar los registros? En este ejemplo, usamos un proyecto llamado logs-test-project.

  • ¿Cuál es el nombre y la ubicación del bucket de registros al que agregarás los registros? En este ejemplo, el nombre del depósito es all-audit-logs-bucket y la ubicación es global.

  • ¿Qué registros deseas incluir? En este ejemplo, se incluyen todos los registros de auditoría, logName:cloudaudit.googleapis.com.

  • ¿Cuál es el nombre del receptor que recopila estos registros? En este ejemplo, el nombre del receptor es all-audit-logs-sink.

  • ¿Cuál es el número de organización? En este ejemplo, el número de organización es 12345.

Crea el bucket de registros

Los depósitos de registros almacenan los registros que se enrutan desde otros proyectos, organizaciones o carpetas. Para obtener más información, consulta Depósitos de registros.

Para crear el bucket en el proyecto al que deseas agregar los registros, completa los siguientes pasos:

  1. Abre Google Cloud Console en el proyecto que usas para agregar los registros.

    Ir a Google Cloud Console

  2. En una terminal de Cloud Shell, ejecuta el siguiente comando para crear un bucket y reemplaza las partes en negrita con tu propia información:

     gcloud alpha logging buckets create all-audit-logs-bucket \
       --location=global \
       --project=logs-test-project
    
  3. Verifica si se creó el bucket:

    gcloud alpha logging buckets list --project=logs-test-project
    
  4. De forma opcional, configura el período de retención de los registros en el bucket. En este ejemplo, se amplía la retención de los registros almacenados en el bucket a 365 días:

    gcloud alpha logging buckets update all-audit-logs-bucket --location=global --project=logs-test-project --retention-days=365
    

Crea el receptor de registros

Puedes enrutar registros a un bucket de registros mediante la creación de un receptor de registros. Un receptor posee un filtro de registros, que selecciona las entradas de registro que se exportarán a través de este receptor y un destino. En esta guía, el destino de exportación es nuestro bucket, all-audit-logs-bucket.

Configura el receptor a nivel de la organización

Para crear un receptor, completa los siguientes pasos.

  1. Ejecuta el siguiente comando, pero reemplaza las partes en negrita con tu propia información:

    gcloud alpha logging sinks create all-audit-logs-sink \
    logging.googleapis.com/projects/logs-test-project/locations/global/buckets/all-audit-logs-bucket \
      --log-filter='logName:cloudaudit.googleapis.com' \
      --description="All audit logs from my org log sink" \
      --organization=12345 \
      --include-children
    

    La marca --include-children es importante para que también se incluyan los registros de todos los proyectos de tu organización. Para obtener más información, consulta la guía Receptores agregados.

  2. Verifica si se creó el receptor:

    gcloud logging sinks list --organization=12345
    
  3. Obtén el nombre de la cuenta de servicio:

    gcloud logging sinks describe all-audit-logs-sink --organization=12345
    

    El resultado es similar al siguiente:

    writerIdentity: serviceAccount:p1234567890-12345@gcp-sa-logging.iam.gserviceaccount.com
    
  4. Copia la string completa para writerIdentity a partir de serviceAccount:.

Configura los permisos para el receptor

Después de crear el receptor, debes otorgar acceso al receptor para escribir en el bucket. Puedes hacerlo a través de Cloud Console o mediante la edición manual de la política de administración de identidades y accesos (IAM), como se describe en Administra buckets de registros.

En esta guía, configuraremos los permisos a través de Cloud Console mediante los siguientes pasos.

  1. En Cloud Console, ve a la página IAM.

    Ir a la página IAM

  2. Haz clic en Agregar.

  3. En el campo Miembro nuevo, agrega la cuenta de servicio sin el prefijo serviceAccount:.

  4. En el menú desplegable Seleccionar una función, selecciona Escritor de depósitos de registros.

  5. Haga clic en Save.

Genera registros para asistir en la verificación del receptor

Si tu receptor usa registros de auditoría, una forma de validar que el receptor enruta registros de forma correcta es iniciar una VM en un proyecto diferente y, luego, desactivar esa VM para ver si aparece en los registros.

Si ya tienes muchos proyectos en tu organización, es posible que tengas suficiente tráfico de registro de auditoría que no sea necesario en este paso.

Configura el acceso de lectura al bucket de registros nuevo

Ahora que tienes el enrutamiento de registros de toda tu organización a tu bucket, estás listo para buscar en todos estos registros. Debes otorgar acceso de lectura para ver las vistas en el depósito nuevo, específicamente la función logs views accessor.

En esta guía, configuraremos los permisos a través de Cloud Console mediante los siguientes pasos.

  1. En el proyecto de Cloud Console del proyecto que usas para agregar los registros, ve a la página de IAM.

    Ir a la página IAM

  2. Haz clic en Agregar.

  3. En el campo Miembro nuevo, agrega tu cuenta de correo electrónico.

  4. En el menú desplegable Seleccionar una función, selecciona descriptor de acceso de vistas de registro.

    Esta función les proporciona a los usuarios acceso de lectura a todas las vistas. Para limitar el acceso de los usuarios a un bucket específico, agrega una condición basada en el nombre del recurso.

    1. Haz clic en Agregar condición:

    2. Ingresa un Título y una Descripción para la condición.

    3. En el menú desplegable Tipo de condición, selecciona Recurso > Nombre.

    4. En el menú desplegable Operador, selecciona Finalizar con.

    5. En el campo Valor, ingresa la ubicación y la parte del nombre del depósito de tu ID del depósito.

      Por ejemplo:

      locations/global/buckets/all-audit-logs-bucket
      
    6. Haga clic en Guardar para agregar la condición.

  5. Haz clic en Guardar para configurar los permisos.

Busca registros en la página Explorador de registros

Después de configurar los permisos en la sección anterior, ve a Cloud Console y completa los siguientes pasos.

  1. En el menú de Logging del proyecto que usas para agregar los registros, selecciona Explorador de registros.

    Ir al Explorador de registros

  2. Selecciona Define mejor el permiso.

  3. En el panel Define mejor el permiso, selecciona Limitar permisos por almacenamiento.

  1. Selecciona all-audit-logs-bucket.

  2. Haga clic en Apply.

  3. El explorador de registros se actualiza para mostrar los registros de tu bucket.

    Para obtener información sobre el uso del Explorador de registros, consulta Usa el Explorador de registros.