Descripción general de las exportaciones de registros

Puedes exportar copias de algunos o de todos tus registros fuera de Stackdriver Logging. Puede que quieras exportar registros por las siguientes razones:

  • Para almacenar registros por períodos prolongados. Logging suele almacenar registros por semanas, no años. Si deseas obtener más información, consulta la política de cuotas
  • Para usar herramientas de análisis de macrodatos en tus registros
  • Para transmitir tus registros a otras aplicaciones, otros repositorios o a terceros

Si quieres aprender a exportar tus registros, consulta la sección Próximos pasos al final de esta página.

Descripción general de las exportaciones

En el siguiente diagrama se ilustra cómo se manejan las entradas de registro exportadas en Stackdriver Logging:

La vida de un registro

Para exportar debes escribir un filtro que seleccione las entradas de registro que quieres exportar y elegir un destino en Cloud Storage, BigQuery o Cloud Pub/Sub. El filtro y destino se almacenan en un objeto llamado receptor. Los receptores pueden crearse en proyectos, organizaciones, carpetas y cuentas de facturación.

No hay costos o limitaciones en Logging para exportar registros, pero en los destinos de exportación se cobra por el almacenamiento o la transmisión de datos de los registros.

Propiedades y terminologías de los receptores

Los receptores tienen las siguientes propiedades:

  • Identificador de receptor: un nombre para el receptor. Por ejemplo, "my-vm-error-sink".

  • Recurso superior: el recurso en el que se crea el receptor. El superior suele ser un proyecto, pero puede ser cualquiera de los siguientes recursos:

    "projects/[PROJECT_ID]"
    "folders/[FOLDER_ID]"
    "billingAccounts/[BILLINGACCOUNT_ID]"
    "organizations/[ORGANIZATION_ID]"
    

    El receptor solo puede exportar registros que pertenecen a su recurso superior. Si quieres obtener información sobre la excepción a esta regla, consulta la siguiente propiedad de Exportaciones agregadas.

    El nombre completo del recurso de un receptor incluye a su recurso superior y a su identificador de receptor. Por ejemplo:

    "projects/[PROJECT_ID]/sinks/[SINK_ID]"
    
  • Filtro de registros: selecciona las entradas de registro que se exportarán a través de este receptor. Para obtener más información, consulta Filtros de registro avanzados. Por ejemplo, el siguiente filtro selecciona todas las entradas de registro con la severidad ERROR o superior en una instancia de VM específica de Compute Engine:

    resource.type = gce_instance AND
       resource.labels.instance_id = "[INSTANCE_ID]" AND
       severity >= ERROR
    
  • Destino: una ubicación singular a la cual enviar las entradas de registro que coinciden con tu filtro. Existen 3 destinos compatibles:

    • Los depósitos de Cloud Storage ofrecen un almacenamiento económico a largo plazo:

      storage.googleapis.com/[BUCKET_ID]
      
    • Los conjuntos de datos de BigQuery ofrecen capacidades de análisis de macrodatos:

      bigquery.googleapis.com/projects/[PROJECT_ID]/datasets/[DATASET_ID]
      
    • Los temas de Cloud Pub/Sub transmiten tus entradas de registro a otras aplicaciones o repositorios.

      pubsub.googleapis.com/projects/[PROJECT_ID]/topics/[TOPIC_ID]
      

    En el Visor de registros, también puedes usar la opción Destino personalizado cuando creas una exportación para enviar tus registros desde un proyecto hasta un destino en otro. A fin de obtener más información, consulta Crea receptores.

    Puedes exportar registros a destinos en cualquier proyecto, siempre que el destino de exportación autorice la cuenta de servicio del receptor como escritor.

  • Identidad del escritor: un nombre de cuenta de servicio. El propietario del destino de exportación debe darle permiso a esta cuenta de servicio para escribir en el destino de exportación. Cuando exportas registros, Logging adopta esta identidad para la autorización. Para mayor seguridad, los receptores nuevos obtienen una cuenta de servicio única:

    [GENERATED_ID_1]@[GENERATED_ID_2].iam.gserviceaccount.com
    

    Para obtener más información, consulta Permisos de destino.

  • Exportaciones agregadas. La propiedad includeChildren se describe en Exportaciones agregadas. Solo es relevante si los receptores fueron creados para organizaciones o carpetas.

Para obtener más información sobre los receptores, consulta el tipo LogSink, el método de API projects.sinks.create y Exporta registros en la API.

Cómo funcionan los receptores

Cada vez que llega una entrada de registro a un proyecto, carpeta, cuenta de facturación o recurso de la organización, Logging compara la entrada de registro con los receptores de ese recurso. Cada receptor cuyo filtro coincide con la entrada de registro, escribe una copia de la entrada de registro en el destino de exportación del receptor.

Ya que la exportación solo ocurre con las entradas de registro nuevas, no puedes exportar entradas de registro que Logging recibió antes de la creación de tu receptor.

Control de acceso

Para crear o modificar un receptor, debes tener las funciones de IAM Propietario o Escritor de configuración de Logging/registros en el recurso superior del receptor. Para ver receptores existentes, debes tener las funciones de IAM Lector o Visor de registros/Logging en el recurso superior del receptor. Para obtener más información, consulta Control de acceso.

Para exportar registros a un destino, la cuenta de servicio del escritor del receptor debe tener permisos de escritura en el destino. Para obtener más información sobre las identidades de escritor, consulta la sección anterior Propiedades de los receptores.

Para proteger a los registros exportados por acceso no autorizado, debes usar las características de control de acceso de tu destino de exportación. Los receptores pueden exportar cualquier entrada de registro, incluso registros de auditoría privados de acceso de datos.

Solución de problemas

A continuación, se describen algunos problemas comunes que puedes encontrar cuando exportas registros y qué hacer al respecto:

  • Errores del destino: comprueba la especificación del destino de exportación en el receptor. Usa projects.sinks.get a fin de encontrar la identidad de escritor para tu receptor y asegúrate de que la identidad tiene permisos de escritura en tu destino de exportación. Tu receptor comienza a exportar registros cuando se corrigen los errores.

  • No se exportan registros: a continuación se mencionan algunas razones posibles:

    • No se recibieron entradas de registro que coincidan desde que creaste tu receptor. Solo las entradas de registro nuevas se exportan.
    • Tu filtro no es correcto. Una palabra mal escrita en el filtro puede evitar que las entradas de registro coincidan. Prueba el mismo filtro en la interfaz de filtros avanzados del visor de registros para ver si coincide con alguna entrada de registro.
    • Hay un retraso antes de que puedas ver tus registros exportados en el destino. Esto sucede en particular en los destinos de Cloud Storage. Consulta Disponibilidad de registros exportados.

Próximos pasos

Exporta tus registros

Si deseas aprender a exportar tus registros, consulta las siguientes páginas:

Encuentra y usa tus registros exportados

Para obtener más información sobre el formato de las entradas de registros exportados y sobre cómo estos se organizan en los destinos, consulta Usa registros exportados.

¿Te ha resultado útil esta página? Enviar comentarios:

Enviar comentarios sobre...

Stackdriver Logging
Si necesitas ayuda, visita nuestra página de asistencia.