Intercala y enruta registros a nivel de la organización y las carpetas a destinos compatibles

En este documento, se describe cómo crear datos receptores. Los receptores agregados te permiten combinar y enrutar registros que genera el Recursos de Google Cloud de tu organización o carpeta a una ubicación centralizada.

Descripción general

Los receptores agregados combinan y enrutan entradas de registro de los recursos contenidos por de una organización o carpeta a un destino.

Si quieres controlar qué registros se pueden consultar en estos recursos o enrutar a través de los receptores de estos recursos, puedes configurar un receptor agregado para que no intercepte ni intercepte:

  • Un receptor agregado sin interceptar enruta los registros a través de receptores en el secundario de Google Cloud. Con este receptor, mantienes la visibilidad de los registros en los recursos en los que se generaron. No se pueden ver los receptores que no interceptan a recursos secundarios.

    Por ejemplo, puedes crear un receptor agregado no interceptor que enrute Todas las entradas de registro generadas a partir de las carpetas que contiene una organización en un bucket central de Cloud Storage. Los registros se almacenan en el bucket de Cloud Storage y en los recursos que se generaron.

  • Un receptor agregado interceptor evita que los registros se enruten a través de en los recursos secundarios, excepto por los receptores _Required. Este receptor puede ser útiles para evitar que las copias duplicadas de los registros se almacenen en varios lugares.

    Por ejemplo, piensa en los registros de auditoría de acceso a los datos, que pueden ser grandes en volumen y costosos de almacenar varias copias de ellas. Si has registros de auditoría de acceso a los datos habilitados, puedes crear una política receptor que enruta todos los registros de auditoría de acceso a los datos a un proyecto central para su análisis. Este receptor interceptor también evita que los receptores de recursos secundarios se enruten copias de los registros en otro lugar.

    Interceptar receptores evita que los registros pasen por el enrutador de registros del recursos secundarios, a menos que los registros también coincidan con el receptor _Required. Debido a que el se interceptan registros, los registros no cuentan para las métricas políticas de alertas basadas en registros en los recursos secundarios. Puedes ver las intercepciones en la página Enrutador de registros de los recursos secundarios.

Para obtener más información sobre cómo administrar los receptores, consulta Enruta registros a destinos compatibles: administra los receptores.

Puedes crear hasta 200 receptores por organización o carpeta.

Destinos admitidos

Puedes usar receptores agregados que no intercepten para enrutar los registros dentro o entre las mismas organizaciones y carpetas a los siguientes destinos:

  • Bucket de Cloud Logging: Proporciona almacenamiento en Cloud Logging. Un bucket de registros puede almacenar entradas de registro recibidos por varios proyectos de Google Cloud. Puedes combinar tus Actualiza un bucket de registros para usar Cloud Logging con otros datos Análisis de registros y, luego, crear un conjunto de datos vinculado de BigQuery Para para ver las entradas de registro almacenadas en buckets de registros, consulta Descripción general de consulta y visualización de registros y Ver los registros enrutados a los buckets de Cloud Logging.
  • Conjunto de datos de BigQuery: Proporciona almacenamiento de entradas de registro en conjuntos de datos de BigQuery. Puedes usar las capacidades de análisis de macrodatos en las entradas de registro almacenadas. Para combinar tus datos de Cloud Logging con otros fuentes de datos, te recomendamos que actualices tus buckets de registros Análisis de registros y, luego, crear un conjunto de datos de BigQuery vinculado. Para obtener información sobre cómo ver las entradas de registro enrutadas a BigQuery, consulta Visualiza los registros enrutados a BigQuery.
  • Bucket de Cloud Storage: Proporciona almacenamiento de entradas de registro en Cloud Storage. Registro se almacenan como archivos JSON. Para obtener información sobre la visualización del registro entradas enrutadas a Cloud Storage, consulta Visualiza los registros enrutados a Cloud Storage.
  • Tema de Pub/Sub: Proporciona compatibilidad con integraciones de terceros. Registro se formatean en JSON y, luego, se enrutan a Pub/Sub en el tema. Para obtener información sobre cómo ver las entradas de registro enrutadas a Pub/Sub, consulta Visualiza los registros enrutados a Pub/Sub.
  • Splunk: Proporciona compatibilidad con Splunk. Debes enrutar tus entradas de registro a un tema de Pub/Sub y, luego, y suscríbete a ese tema con Splunk.
  • Proyecto de Google Cloud: Enruta las entradas de registro a un proyecto de Google Cloud diferente. Cuándo enrutas las entradas de registro a un proyecto de Google Cloud diferente, la dirección el Enrutador de registros del proyecto recibe las entradas de registro y las procesa. El en el proyecto de destino determinan cómo se enrutado. Error Reporting puede analizar entradas de registro cuando El proyecto enruta esas entradas de registro a un bucket de registros que pertenece al destino en un proyecto final.
  • Otros recursos: Enruta tus entradas de registro a un destino compatible que está en un proyecto diferente. Para obtener información sobre las rutas de acceso, consulta Formatos de las rutas de destino.

Prácticas recomendadas para interceptar receptores

Cuando crees un receptor interceptor, te recomendamos que hagas lo siguiente:

  • Considera si los recursos secundarios necesitan un control independiente los registros del sistema operativo. Si un recurso secundario necesita un control independiente de ciertos registros, asegúrate tu receptor interceptor no enruta esos registros.

  • Agrega la información de contacto a la descripción del receptor interceptor. Esta puede ser útil si quienes administran el receptor interceptor son diferentes de aquellos que administran los proyectos cuyos registros se interceptan.

  • Para probar la configuración de tu receptor, crea primero un conjunto para garantizar que se enruten los registros correctos.

Receptores agregados y Controles del servicio de VPC

Las siguientes limitaciones se aplican cuando usas receptores agregados Características de los Controles del servicio de VPC:

  • Los receptores agregados pueden acceder a los datos de los proyectos dentro de un servicio perímetro de servicio. Restringir el acceso de receptores agregados a los datos dentro de perímetro, recomendamos usar IAM para administrar Permisos de Logging.

  • Los Controles del servicio de VPC no permiten agregar los recursos de la organización a los perímetros de servicio. Por lo tanto, no puedes usar los Controles del servicio de VPC para proteger los registros a nivel de carpeta y organización. incluidos los registros agregados. Administrar Logging permisos a nivel de las carpetas o de la organización, te recomendamos usar IAM.

  • Si enrutas los registros con un receptor de nivel de organización o carpeta a un recurso que protege un perímetro de servicio, debes agregar regla de entrada al perímetro de servicio. La regla de entrada debe permitir el acceso al recurso desde la cuenta de servicio que usa el receptor agregado. Para obtener más información, consulta las siguientes páginas:

  • Cuando especificas una política de entrada o salida para un perímetro de servicio no puedes usar ANY_SERVICE_ACCOUNT y ANY_USER_ACCOUNT como un tipo de identidad cuando usas un receptor de registros para enrutar registros a recursos de Cloud Storage. Sin embargo, puedes usar ANY_IDENTITY como el tipo de identidad.

Antes de comenzar

Antes de crear un receptor, asegúrate de lo siguiente:

  • Tienes una organización o carpeta de Google Cloud con registros que puedes consulta en el Explorador de registros.

  • Tienes uno de los siguientes roles de IAM para La organización o carpeta de Google Cloud desde la que enrutas los registros.

    • Propietario (roles/owner)
    • Administrador de Logging (roles/logging.admin)
    • Escritor de configuración de registros (roles/logging.configWriter)

    Los permisos contenidos en estos roles te permiten crear, borrar o modificar receptores. Para obtener información sobre cómo configurar roles de IAM, consulta el Guía de control de acceso de Logging.

  • Tienes un recurso en un destino admitido o tienes la capacidad de crear uno.

    El destino de enrutamiento debe crearse antes que el receptor mediante la CLI de Google Cloud, la consola de Google Cloud o las APIs de Google Cloud. Puedes crear el destino en cualquier proyecto de Google Cloud en cualquier pero debes asegurarte de que la cuenta de servicio de la tiene permisos para escribir en el destino.

Crea un receptor agregado

Para crear un receptor agregado sin intercepción, crea un receptor en un Organización o carpeta de Google Cloud y establece la includeChildren del receptor parámetro en True. Cuando configuras el parámetro includeChildren, el receptor enruta las entradas de registro de la organización o carpeta, y (de forma recurrente) de cualquier carpetas, cuentas de facturación o proyectos de Google Cloud. Para crear un receptor interceptor, configura includeChildren y interceptChildren parámetros a True.

Para especificar las entradas de registro que quieres enrutar a tu destination, configura la ubicación filtros de inclusión y exclusión.

Si quieres crear un receptor agregado para tu organización o carpeta, haz lo siguiente:

Console

  1. En la consola de Google Cloud, ve a la página Enrutador de registros:

    Ir a Enrutador de registros

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.

  2. Selecciona una organización o carpeta existente.

  3. Selecciona Crear receptor.

  4. En el panel Detalles del receptor, ingresa los siguientes detalles:

    • Nombre del receptor: proporciona un identificador para el receptor. ten en cuenta que, después de crear el receptor, no puedes cambiarle el nombre, pero puedes borrarlo crear un receptor nuevo.

    • Descripción del receptor (opcional): Describe el propósito o el caso de uso del el fregadero.

  5. En el panel Destino del receptor, selecciona el servicio del receptor y destino:

    • Selecciona el servicio del receptor: Selecciona el servicio en el que deseas recibir tus registros. enrutado. Si estás creando un receptor interceptor, solo podrás selecciona un proyecto de Google Cloud como destino.

    Según el servicio que elijas, puedes elegir entre las siguientes opciones: destinos:

    • Bucket de Cloud Logging: Selecciona o crea un Bucket de Logging. Si creas en un bucket de registros, debe estar a nivel de proyecto. No puedes crear un bucket de registros a nivel de organización o carpeta.
    • Tabla de BigQuery: selecciona o crea la tabla para recibir los registros enrutados. También tienes la opción de usar tablas particionadas.
    • Bucket de Cloud Storage: Selecciona o crea el bucket de Cloud Storage en particular para recibir los registros enrutados.
    • Tema de Pub/Sub: selecciona o crea el tema específico. para recibir los registros enrutados.
    • Splunk: Selecciona el tema de Pub/Sub para tu Splunk servicio.

    • Proyecto de Google Cloud: Selecciona el proyecto de Google Cloud que quieres recibir los registros de ruta.

      Por ejemplo, si el destino del receptor es un conjunto de datos de BigQuery, el destino del receptor sería el siguiente:

      bigquery.googleapis.com/projects/PROJECT_ID/datasets/DATASET_ID

  6. En el panel Elige registros para incluirlos en el receptor, realiza una de las siguientes acciones:

    • Para crear un receptor agregado sin interceptar, selecciona Incluir registros transferidos por este recurso y todos los recursos secundarios.

    • Para crear un receptor interceptor, selecciona Interceptar registros transferidos por esta organización y todos los recursos secundarios.

  7. Completa el diálogo ingresando un expresión de filtro en la Campo Crea un filtro de inclusión que coincida con las entradas de registro que desees para incluirlos. Si no estableces un filtro, se mostrarán todos los registros recurso se enrutan al destino.

    Por ejemplo, podrías crear un filtro para enrutar todas las solicitudes los registros de auditoría a un solo bucket de Logging. Este filtro se ve de la siguiente manera:

    LOG_ID("cloudaudit.googleapis.com/data_access") OR LOG_ID("externalaudit.googleapis.com/data_access")

    Ten en cuenta que la longitud de un filtro no puede superar los 20,000 caracteres.

  8. (Opcional) Para verificar que ingresaste el filtro correcto, selecciona Obtén una vista previa de los registros. Se abrirá el Explorador de registros en una pestaña nueva filtro prepropagado.

  9. (Opcional) En el panel Elige registros para excluir del receptor, lo siguiente:

    1. En el campo Nombre del filtro de exclusión, ingresa un nombre.

    2. En el campo Crear un filtro de exclusión, ingresa un expresión de filtro que coincide con las entradas de registro que quieres excluir. También puedes usar Función sample para seleccionar una parte de las entradas de registro que deseas excluir.

      Por ejemplo, para excluir los registros de un proyecto específico enrutado al destino, agrega el siguiente filtro de exclusión:

      logName:projects/PROJECT_ID

      Para excluir registros de varios proyectos, usa el operador logical-OR para unir cláusulas logName.

    Puedes crear hasta 50 filtros de exclusión por receptor. Ten en cuenta que la longitud del filtro no puede exceder 20,000 caracteres.

  10. Selecciona Crear receptor.

API

Para crear un receptor, usa organizations.sinks.create o folders.sinks.create en la API de Logging Prepara los argumentos al método de la siguiente manera:

  1. Establece el parámetro parent para que sea la organización o en la que se creará el receptor. El superior debe ser uno de los lo siguiente:

    • organizations/ORGANIZATION_ID
    • folders/FOLDER_ID

  2. En el objeto LogSink en el cuerpo de la solicitud del método, realiza una de las siguientes acciones: lo siguiente:

    • Para crear un receptor agregado sin intercepción, configura includeChildren a True.

    • Para crear un receptor interceptor, establece el includeChildren y Parámetros interceptChildren para True

  3. Establece la propiedad filter para que coincida con las entradas de registro que deseas incluir. Ten en cuenta que la longitud de un filtro no puede superar los 20,000 caracteres.

    Para algunos ejemplos de filtros útiles, consulta Crea filtros para los receptores agregados.

  4. Establece los campos LogSink restantes como lo harías para cualquier otro receptor. Para obtener más información, consulta Enruta registros a destinos compatibles.

  5. Llama a organizations.sinks.create o folders.sinks.create para crear el receptor.

  6. Recupera el nombre de la cuenta de servicio del campo writer_identity que muestra la respuesta de la API.

  7. Otorga permiso a esa cuenta de servicio para escribir en el destino del receptor.

    Si no tienes permiso para realizar ese cambio en el destino del receptor, envía el nombre de la cuenta de servicio a alguien que pueda realizarlo por ti.

    Para obtener más información sobre cómo otorgar permisos a cuentas de servicio para consulta la sección Configura permisos de destino.

gcloud

Para crear un receptor agregado, usa el logging sinks create kubectl. Para crear un receptor agregado sin intercepción, especifica el --include-children. Para crear un receptor interceptor, especifica Las marcas --include-children y --intercept-children.

  1. Suministra el nombre del receptor, el destino del receptor, el filtro y el ID del la carpeta o la organización desde la que enrutas los registros: ejemplo crea un receptor agregado sin intercepción:

    gcloud logging sinks create SINK_NAME \
  SINK_DESTINATION  --include-children \
  --folder=FOLDER_ID --log-filter="LOG_FILTER"

    Por ejemplo, si creas un receptor agregado a nivel de carpeta y cuyo destino es un conjunto de datos de BigQuery, tu comando podría verse de la siguiente manera:

    gcloud logging sinks create SINK_NAME \
  bigquery.googleapis.com/projects/PROJECT_ID/datasets/DATASET_ID --include-children \
  --folder=FOLDER_ID --log-filter="logName:activity"

    Notas:

    • Para crear un receptor a nivel de la organización, reemplaza --folder=FOLDER_ID por --organization=ORGANIZATION_ID.

    • Para que el receptor incluya todos los recursos dentro de la organización, se debe establecer la marca --include-children, incluso cuando la marca --organizationse pasa a create. Cuando se establece como false (la opción predeterminada), un receptor solo exporta los registros del recurso de host.

    • Para algunos ejemplos de filtros útiles, consulta Crea filtros para los receptores agregados.

  2. Recupera el nombre de la cuenta de servicio usado para crear el receptor del resultado del comando.

  3. Otorga permiso a esa cuenta de servicio para escribir en el destino del receptor.

    Si no tienes permiso para realizar ese cambio en el destino del receptor, envía el nombre de la cuenta de servicio a alguien que pueda realizarlo por ti.

    Para obtener más información sobre cómo otorgar permisos a cuentas de servicio para consulta la sección Configura permisos de destino.

Cualquier cambio que se realice en un receptor puede tardar unos minutos en aplicarse.

Crea filtros para los receptores agregados

Como cualquier receptor, el receptor agregado tiene un filtro que selecciona las entradas de registro. Para ver ejemplos de filtros que podrías usar para crear tu receptor agregado, consulta Consultas de muestra con el Explorador de registros.

A continuación, se presentan algunos ejemplos de comparaciones de consultas que son útiles cuando se usa la función de receptores agregados. Algunos ejemplos usan la siguiente notación:

  • : es el operador de la substring. No sustituyas el operador =.
  • ...… representa cualquier comparación de filtro adicional.
  • Las variables se indican con texto de color. Reemplázalas por valores válidos.

Ten en cuenta que la longitud de un filtro no puede superar los 20,000 caracteres.

Para obtener más detalles sobre la sintaxis de filtrado, consulta Lenguaje de consulta de Logging.

Selecciona la fuente del registro

En el caso de un receptor agregado, para cada recurso secundario de la organización o carpeta, los filtros de inclusión y exclusión del receptor se aplican a cada entrada de registro que se envía al recurso secundario. Una entrada de registro que coincida el filtro de inclusión y que no se excluya, se enruta.

Si quieres que tu receptor enrute registros de todos los recursos secundarios, no especificar un proyecto, una carpeta o una organización en los filtros de inclusión y exclusión de tu receptor. Por ejemplo, supongamos que configura un receptor agregado para una organización con el siguiente filtro:

resource.type="gce_instance"

Con el filtro anterior, los registros con un tipo de recurso de Instancias de Compute Engine que se escriben en cualquier elemento secundario de esa organización se enrutan al destino a través del receptor agregado.

Sin embargo, puede haber situaciones en las que desees usar un receptor agregado para enrutar registros solo de recursos secundarios específicos. Por ejemplo, para el cumplimiento motivos por los que podrías querer almacenar registros de auditoría de carpetas o proyectos específicos en su propio bucket de Cloud Storage. En estas situaciones, configura tu filtro de inclusión para especificar cada recurso secundario cuyos registros quieras enrutar. Si quieres enrutar los registros de una carpeta y todos los proyectos que contiene el filtro debe enumerar la carpeta y cada uno de los proyectos que contiene esa carpeta y unir las sentencias con una cláusula OR.

Los siguientes filtros restringen los registros a proyectos específicos de Google Cloud, carpetas u organizaciones:

logName:"projects/PROJECT_ID/logs/" AND ... 
logName:("projects/PROJECT_A_ID/logs/" OR "projects/PROJECT_B_ID/logs/") AND ... 
logName:"folders/FOLDER_ID/logs/" AND ... 
logName:"organizations/ORGANIZATION_ID/logs/" AND ...

Por ejemplo, para enrutar solo los registros escritos en instancias de Compute Engine que se escrito en la carpeta my-folder, usa el siguiente filtro:

logName:"folders/my-folder/logs/" AND resource.type="gce_instance"

Con el filtro anterior, los registros escritos en cualquier recurso distinto de my-folder incluidos los registros escritos en proyectos de Google Cloud que son secundarios de my-folder no se enrutan al destino.

Selecciona el recurso supervisado

Para enrutar registros de un solo recurso supervisado específico en un proyecto de Google Cloud, usa múltiples comparaciones para especificar el recurso exactamente lo siguiente:

logName:"projects/PROJECT_ID/logs" AND
resource.type=RESOURCE_TYPE AND
resource.labels.instance_id=INSTANCE_ID

Para obtener una lista de tipos de recursos, consulta Tipos de recursos supervisados.

Selecciona una muestra de entradas de registro

Para enrutar una muestra aleatoria de entradas de registro, agrega el sample integrado . Por ejemplo, para enrutar solo el diez por ciento de las entradas de registro que coinciden tu filtro actual, usa esta adición:

sample(insertId, 0.10) AND ...

Para obtener más información, consulta la Función sample.

Para obtener más información sobre los filtros de Cloud Logging, consulta Lenguaje de consulta de Logging.

Configura los permisos del destino

En esta sección, se describe cómo otorgar a Logging los permisos de Identity and Access Management para escribir los registros en el destino de tu receptor. Para obtener la lista completa de las funciones y los permisos de Logging, consulta Control de acceso.

Cuando creas o actualizas un receptor que enruta registros a cualquier destino que no sea que un bucket de registros en el proyecto actual, una cuenta de servicio para ese receptor es obligatorio. Logging crea y administra automáticamente cuenta de servicio para ti:

  • A partir del 22 de mayo de 2023, cuando crees un receptor y ningún servicio para el recurso subyacente, Logging crea cuenta de servicio. Logging usa la misma cuenta de servicio todos los receptores en el recurso subyacente. Los recursos pueden ser un proyecto de Google Cloud, una organización, una carpeta o un cuenta de facturación de Google Cloud.
  • Antes del 22 de mayo de 2023, Logging creó un servicio para cada receptor. Desde el 22 de mayo de 2023, Logging usa una cuenta de servicio compartida para todos los receptores recurso subyacente.

La identidad de escritor de un receptor es el identificador del servicio. asociada con ese receptor. Todos los receptores tienen una identidad de escritor, a menos que en un bucket de registros en el proyecto actual de Google Cloud.

Para enrutar los registros a un recurso protegido por un perímetro de servicio debes agregar la cuenta de servicio para ese receptor a un nivel de acceso asignarlo al perímetro de servicio de destino. Esto no es necesario para receptores no agregados. Para obtener más información, consulta Controles del servicio de VPC: Cloud Logging

Si deseas establecer permisos para que tu receptor enrute a su destino, sigue estos pasos:

Console

  1. Para obtener información sobre la cuenta de servicio de tu receptor, haz lo siguiente:

    1. En la consola de Google Cloud, ve a la página Enrutador de registros:

      Ir a Enrutador de registros

      Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.

    2. Selecciona Menú y, luego, Ver detalles del receptor.

      En el panel Detalles del receptor, el campo writerIdentity contiene la identidad de la cuenta de servicio. La cadena serviceAccount: es de la identidad de la cuenta de servicio. Por ejemplo:

      serviceAccount:service-123456789012@gcp-sa-logging.iam.gserviceaccount.com

  2. En el proyecto de destino, otorga a la identidad de escritor el rol necesario. para que la cuenta de servicio escriba en el destino. Para otorgar un rol a una principal, debes tener el rol de propietario (roles/owner):

    • Para los destinos de Cloud Storage, agrega la identidad de escritor del receptor como principal con IAM y, luego, otorgarle el Rol de Creador de objetos de almacenamiento (roles/storage.objectCreator).
    • Para los destinos de BigQuery, agrega la identidad de escritor del receptor como principal con IAM y, luego, otorgarle el Rol de editor de datos de BigQuery (roles/bigquery.dataEditor).
    • Para los destinos de Pub/Sub, incluido Splunk, agrega la identidad de escritor del receptor como principal con IAM y, luego, otorgarle el Rol de publicador de Pub/Sub (roles/pubsub.publisher).
    • Para los destinos de bucket de Logging en diferentes En proyectos de Google Cloud, agrega la identidad de escritor del receptor como una principal. con IAM y, luego, otorgarle Función de escritor de buckets de registros (roles/logging.bucketWriter).
    • Para los destinos de los proyectos de Google Cloud, agrega de escritor con la identidad de IAM y otorgarle Función de escritor de registros (roles/logging.logWriter). Específicamente, un principal necesita logging.logEntries.route.
    Si no tienes acceso de Propietario al destino del receptor, pídele a un propietario del proyecto que lo haga. agregar la identidad de escritor como principal.

API

  1. Para obtener información sobre la cuenta de servicio de tu receptor, llamar al método de la API organizations.sinks.get o folders.sinks.get.

    El campo writerIdentity contiene la identidad de la cuenta de servicio. La cadena serviceAccount: forma parte de la identidad de la cuenta de servicio. Por ejemplo:

    serviceAccount:service-123456789012@gcp-sa-logging.iam.gserviceaccount.com

  2. En el proyecto de destino, otorga a la identidad de escritor el rol necesario. para que la cuenta de servicio escriba en el destino. Para otorgar un rol a una principal, debes tener el rol de propietario (roles/owner):

    • Para los destinos de Cloud Storage, agrega la identidad de escritor del receptor como principal con IAM y, luego, otorgarle el Rol de Creador de objetos de almacenamiento (roles/storage.objectCreator).
    • Para los destinos de BigQuery, agrega la identidad de escritor del receptor como principal con IAM y, luego, otorgarle el Rol de editor de datos de BigQuery (roles/bigquery.dataEditor).
    • Para los destinos de Pub/Sub, incluido Splunk, agrega la identidad de escritor del receptor como principal con IAM y, luego, otorgarle el Rol de publicador de Pub/Sub (roles/pubsub.publisher).
    • Para los destinos de bucket de Logging en diferentes En proyectos de Google Cloud, agrega la identidad de escritor del receptor como una principal. con IAM y, luego, otorgarle Función de escritor de buckets de registros (roles/logging.bucketWriter).
    • Para los destinos de los proyectos de Google Cloud, agrega de escritor con la identidad de IAM y otorgarle Función de escritor de registros (roles/logging.logWriter). Específicamente, un principal necesita logging.logEntries.route.
    Si no tienes acceso de Propietario al destino del receptor, pídele a un propietario del proyecto que lo haga. agregar la identidad de escritor como principal.

gcloud

  1. Para obtener información sobre la cuenta de servicio de tu receptor, ejecuta el comando siguiente comando:

    gcloud logging sinks describe SINK_NAME

    El campo writerIdentity contiene la identidad de la cuenta de servicio. La cadena serviceAccount: forma parte de la identidad de la cuenta de servicio. Por ejemplo:

    serviceAccount:service-123456789012@gcp-sa-logging.iam.gserviceaccount.com

  2. En el proyecto de destino, otorga a la identidad de escritor el rol necesario. para que la cuenta de servicio escriba en el destino. Para otorgar un rol a una principal, debes tener el rol de propietario (roles/owner):

    • Para los destinos de Cloud Storage, agrega la identidad de escritor del receptor como principal con IAM y, luego, otorgarle el Rol de Creador de objetos de almacenamiento (roles/storage.objectCreator).
    • Para los destinos de BigQuery, agrega la identidad de escritor del receptor como principal con IAM y, luego, otorgarle el Rol de editor de datos de BigQuery (roles/bigquery.dataEditor).
    • Para los destinos de Pub/Sub, incluido Splunk, agrega la identidad de escritor del receptor como principal con IAM y, luego, otorgarle el Rol de publicador de Pub/Sub (roles/pubsub.publisher).
    • Para los destinos de bucket de Logging en diferentes En proyectos de Google Cloud, agrega la identidad de escritor del receptor como una principal. con IAM y, luego, otorgarle Función de escritor de buckets de registros (roles/logging.bucketWriter).
    • Para los destinos de los proyectos de Google Cloud, agrega de escritor con la identidad de IAM y otorgarle Función de escritor de registros (roles/logging.logWriter). Específicamente, un principal necesita logging.logEntries.route.
    Si no tienes acceso de Propietario al destino del receptor, pídele a un propietario del proyecto que lo haga. agregar la identidad de escritor como principal.

¿Qué sigue?