Neste documento, você verá como criar coletores agregados. Com os coletores agregados, para combinar e rotear os registros gerados Recursos do Google Cloud da organização ou pasta para um local centralizado.
Visão geral
Os coletores agregados combinam e encaminham as entradas de registro dos recursos uma organização ou pasta para um destino.
Para controlar quais registros podem ser consultados nesses recursos ou roteados pelos coletores desses recursos, depois é possível configurar um coletor agregado para não interceptar ou interceptar:
Um coletor agregado sem interceptação roteia registros pelos coletores no sistema filho do Google Cloud. Com esse coletor, você mantém a visibilidade dos registros na recursos em que foram gerados. Os coletores sem interceptação não estão visíveis aos recursos filhos.
Por exemplo, é possível criar um coletor agregado sem interceptação que roteia todas as entradas de registro geradas a partir das pastas contidas por uma organização para um bucket central do Cloud Storage. Os registros são armazenados do bucket do Cloud Storage e nos recursos em que os registros foram gerados.
Um coletor agregado que intercepta impede que os registros sejam roteados coletores em recursos filhos, exceto coletores
_Required. Esta pia pode ser útil para evitar que cópias duplicadas de registros sejam armazenadas em vários lugares.Por exemplo, considere os registros de auditoria de acesso a dados, que podem ser grande em volume e caro para armazenar várias cópias. Se você registros de auditoria de acesso a dados ativados, poderá criar uma interceptação coletor que encaminha todos os registros de auditoria de acesso a dados para um projeto central para análise. Esse coletor de interceptação também impede que coletores em recursos filhos sejam roteados cópias dos registros em outro lugar.
Os coletores de interceptação impedem a passagem dos registros pelo roteador de recursos filhos, a menos que os registros também correspondam ao coletor
_Required. Como o são interceptados, não são contabilizados nas métricas com base em registros e com base em registros nos recursos filhos. Você pode ver a interceptação coletores na página Roteador de registros dos recursos filhos.
Para informações sobre como gerenciar coletores, consulte Rotear registros para destinos compatíveis: gerenciar coletores.
É possível criar até 200 coletores por pasta ou organização.
Destinos possíveis
É possível usar coletores agregados sem interceptação para rotear registros dentro ou entre as mesmas organizações e pastas para os seguintes destinos:
- Bucket do Cloud Logging: fornece armazenamento no Cloud Logging. Um bucket de registros pode armazenar entradas de registro recebidos por vários projetos do Google Cloud. É possível combinar do Cloud Logging com outros dados. Para isso, faça upgrade de um bucket de registros para usar a Análise de dados de registros e, em seguida, criar um conjunto de dados vinculado do BigQuery. Para informações sobre como visualizar entradas de registro armazenadas em buckets de registros, consulte Visão geral de consultas e registros e Conferir registros roteados para buckets do Cloud Logging.
- Conjunto de dados do BigQuery: fornece armazenamento de entradas de registro em conjuntos de dados do BigQuery. Use os recursos de análise de Big Data nas entradas de registro armazenadas. Para combinar seus dados do Cloud Logging com outros fontes de dados, recomendamos que você faça o upgrade dos buckets de registros a Análise de dados de registros e, em seguida, criar um conjunto de dados do BigQuery vinculado. Para mais informações sobre como visualizar entradas de registro roteadas para o BigQuery, consulte Veja os registros roteados para o BigQuery.
- Bucket do Cloud Storage: armazenamento de entradas de registro no Cloud Storage. Registrar são armazenadas como arquivos JSON. Para mais informações sobre como acessar os registros entradas roteadas para o Cloud Storage, consulte Ver registros roteados para o Cloud Storage.
- Tópico do Pub/Sub: oferece suporte para integrações de terceiros. Registrar as entradas são formatadas em JSON e roteadas para um bucket do Pub/Sub tópico. Para informações sobre como visualizar entradas de registro roteadas para Pub/Sub, consulte Veja os registros roteados para o Pub/Sub.
- Splunk: oferece suporte ao Splunk. É preciso rotear as entradas de registro para um tópico do Pub/Sub e depois assinar esse tópico usando o Splunk.
- Projeto do Google Cloud: rotear entradas de registro para outro projeto do Google Cloud. Quando você roteia as entradas de registro para outro projeto do Google Cloud, o roteador de registros do projeto recebe e processa as entradas. O no projeto de destino determinam como as entradas de registro recebidas encaminhados. O Error Reporting pode analisar entradas de registro quando o roteia essas entradas para um bucket de registros de propriedade do projeto.
- Outros recursos: encaminhe suas entradas de registro para um destino compatível que está em um projeto diferente. Para informações sobre os caminhos a serem usados, consulte Formatos de caminho de destino.
Práticas recomendadas para interceptar coletores
Ao criar um coletor de interceptação, recomendamos que você faça o seguinte:
Considere se os recursos filhos precisam de controle independente do roteamento ou de sistemas operacionais de contêineres. Se um recurso filho precisar de controle independente de determinados registros, garanta seu coletor de interceptação não encaminha esses registros.
Adicione dados de contato à descrição de um coletor de interceptação. Isso pode ser útil se aqueles que gerenciam o coletor de interceptação forem diferentes e aqueles que gerenciam os projetos com registros que estão sendo interceptados.
Para testar a configuração do coletor, primeiro crie um conjunto de dados para garantir que os registros corretos sejam roteados.
Coletores agregados e VPC Service Controls
As limitações a seguir se aplicam quando você usa coletores agregados e O serviço VPC Service Controls oferece estes benefícios:
Os coletores agregados acessam dados de projetos dentro de um serviço perímetro de serviço. Para impedir que os coletores agregados acessem dados em um do perímetro, recomendamos o uso do IAM para gerenciar Permissões de registro.
O VPC Service Controls não dá suporte à adição de pastas ou de recursos da organização a perímetros de serviço. Portanto, não é possível usar VPC Service Controls para proteger registros de pasta e organização; incluindo registros agregados. Para gerenciar o Logging da organização no nível da pasta ou da organização, recomendamos usar do IAM.
Se você rotear registros usando um coletor no nível da pasta ou da organização para um recurso protegido por um perímetro de serviço, adicione uma regra de entrada ao perímetro de serviço. A regra de entrada precisa permitir acesso para o recurso da conta de serviço que o coletor agregado usa. Para mais informações, consulte as páginas a seguir:
Quando você especifica uma política de entrada ou saída para um perímetro de serviço, não será possível usar
ANY_SERVICE_ACCOUNTeANY_USER_ACCOUNTcomo um tipo de identidade ao usar um coletor de registros para rotear registros aos recursos do Cloud Storage. No entanto, é possível usarANY_IDENTITYcomo o tipo de identidade.
Antes de começar
Antes de criar um coletor, verifique se:
Você tem uma pasta ou organização do Google Cloud com registros que podem ver no Explorador de registros.
Você tem um dos seguintes papéis do IAM para a organização ou pasta do Google Cloud a partir da qual está roteando registros.
- Proprietário (
roles/owner) - Administrador do Logging (
roles/logging.admin) - Gravador de configuração de registros (
roles/logging.configWriter)
As permissões contidas nesses papéis permitem criar, excluir ou modificar coletores. Para informações sobre como definir papéis do IAM, consulte as Guia de controle de acesso do Logging.
- Proprietário (
Você tem um recurso em um destino compatível ou pode criar um.
O destino de roteamento precisa ser criado antes do coletor por meio da Google Cloud CLI, do console do Google Cloud ou das APIs do Google Cloud. É possível criar o destino em qualquer projeto do Google Cloud de qualquer organização, mas você precisa garantir que a conta de serviço da o coletor tem permissões para gravar no destino.
Criar um coletor agregado
Para criar um coletor agregado sem interceptação, crie um coletor em uma
organização ou pasta do Google Cloud e defina o includeChildren
como True. Quando você define o parâmetro includeChildren, o coletor
encaminha entradas de registro da organização ou pasta e também (recursivamente) de qualquer
continham pastas, contas de faturamento ou projetos do Google Cloud. Para criar um
coletor de interceptação, defina includeChildren e interceptChildren
parâmetros para True.
Para especificar as entradas de registro que você quer rotear para o destination, define o valor filtros de inclusão e exclusão.
Para criar um coletor agregado para sua pasta ou organização, faça o seguinte:
Console
-
No console do Google Cloud, acesse a página Roteador de registros:
Acessar o roteador de registros
Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo Logging.
Selecione uma pasta ou organização existente.
Selecione Criar coletor.
No painel Detalhes do coletor, insira os seguintes detalhes:
Nome do coletor: forneça um identificador para o coletor. Depois de criar o coletor, não será possível renomeá-lo, mas será possível excluí-lo e criar um novo coletor.
Descrição do coletor (opcional): descreva a finalidade ou o caso de uso do coletor.
No painel Destino do coletor, selecione o serviço de coletor e o destino:
- Selecionar serviço de coletor: selecione o serviço em que você quer os registros roteados. Se você estiver criando um coletor de interceptação, só poderá selecione um projeto do Google Cloud como destino.
Com base no serviço selecionado, é possível selecionar os seguintes destinos:
- Bucket do Cloud Logging: selecione ou crie um bucket do Logging. Se você criar um bucket de registros, ele precisa estar no nível do projeto. Não é possível criar um no nível da pasta ou da organização.
- Tabela do BigQuery: selecione ou crie o conjunto de dados específico para receber os registros roteados. Você também tem a opção de usar tabelas particionadas.
- Bucket do Cloud Storage: selecione ou crie o bucket específico do Cloud Storage para receber os registros roteados.
- Tópico do Pub/Sub: selecione ou crie o tópico específico para receber os registros roteados.
- Splunk: selecione o tópico do Pub/Sub do serviço Splunk.
Projeto do Google Cloud: selecione o projeto do Google Cloud para para receber os registros de rota.
Por exemplo, se o destino do coletor for um conjunto de dados do BigQuery, o destino do coletor será o seguinte:
bigquery.googleapis.com/projects/PROJECT_ID/datasets/DATASET_ID
No painel Escolha os registros para incluir no coletor, siga um destes procedimentos:
Para criar um coletor agregado sem interceptação, selecione Incluir registros ingeridos por este recurso e por todos os recursos filhos.
Para criar um coletor de interceptação, selecione Interceptar registros ingeridos por da organização e de todos os recursos filhos.
Preencha a caixa de diálogo inserindo um expressão de filtro na O campo Criar filtro de inclusão que corresponda às entradas de registro que você quer incluir. Se você não definir um filtro, todos os registros da conta selecionada recurso são encaminhados para o destino.
Por exemplo, talvez você queira criar um filtro para rotear todas as regras de acesso a dados registros de auditoria a um único bucket do Logging. Este filtro parece como o seguinte:
LOG_ID("cloudaudit.googleapis.com/data_access") OR LOG_ID("externalaudit.googleapis.com/data_access")O comprimento de um filtro não pode exceder 20.000 caracteres.
(Opcional) Para verificar se você inseriu o filtro correto, selecione Visualize os registros. Isso abre a Análise de registros em uma nova guia com as filtro pré-preenchido.
(Opcional) No painel Escolher registros a serem excluídos do coletor, faça o seguinte:
No campo Nome do filtro de exclusão, insira um nome.
No campo Criar um filtro de exclusão, insira uma expressão de filtro que corresponda às entradas de registro que você quer excluir. Também é possível usar a função
samplepara selecionar uma parte das entradas de registro a serem excluídas.Por exemplo, para impedir que os registros de um projeto específico sejam roteadas para o destino, adicione o seguinte filtro de exclusão:
logName:projects/PROJECT_ID
Para excluir registros de vários projetos, use o operador lógico OR para unir cláusulas
logName.
É possível criar até 50 filtros de exclusão por coletor. O comprimento de um filtro não pode exceder 20.000 caracteres.
Selecione Criar coletor.
API
Para criar um coletor, use organizations.Sinks.create ou folders.Sinks.create na API Logging. Prepare os argumentos do método da seguinte maneira:
Defina o parâmetro
parentcomo a organização ou pasta do Google Cloud em que o coletor será criado. O pai precisa ser um dos seguintes parâmetros:organizations/ORGANIZATION_IDfolders/FOLDER_ID
No objeto LogSink no corpo da solicitação do método, execute um dos seguintes:
Para criar um coletor agregado sem interceptação, defina
includeChildren. paraTrue.Para criar um coletor de interceptação, defina
includeChildrene ParâmetrosinterceptChildrenparaTrue.
Defina a propriedade
filterpara corresponder às entradas de registro que você quer incluir. O comprimento de um filtro não pode exceder 20.000 caracteres.Para alguns exemplos de filtros úteis, consulte Criar filtros para coletores agregados.
Defina os campos restantes do LogSink como faria para qualquer coletor. Para mais informações, consulte Rotear registros para destinos compatíveis.
Chame organizations.sinks.create ou folders.sinks.create para criar o coletor.
Recupere o nome da conta de serviço no campo
writer_identityretornado da resposta da API.Conceda a essa conta de serviço permissão para gravar no destino do coletor.
Se você não tiver permissão para fazer essa alteração no destino do coletor, envie o nome da conta de serviço para alguém que possa fazer essa alteração.
Para mais informações sobre a concessão de permissões de contas de serviço para recursos, consulte a seção definir permissões de destino.
gcloud
Para criar um coletor agregado, use o
logging sinks create
kubectl. Para criar um coletor agregado sem interceptação, especifique
sinalização --include-children. Para criar um coletor de interceptação, especifique o
Sinalizações --include-children e --intercept-children.
Forneça o nome, o destino, o filtro e o ID do coletor pasta ou organização da qual você está encaminhando registros: exemplo cria um coletor agregado que não intercepta:
gcloud logging sinks create SINK_NAME \ SINK_DESTINATION --include-children \ --folder=FOLDER_ID --log-filter="LOG_FILTER"
Por exemplo, se você estiver criando um coletor agregado no nível da pasta e cujo destino for um conjunto de dados do BigQuery, o comando poderá ter a seguinte aparência:
gcloud logging sinks create SINK_NAME \ bigquery.googleapis.com/projects/PROJECT_ID/datasets/DATASET_ID --include-children \ --folder=FOLDER_ID --log-filter="logName:activity"
Observações:
Para criar um coletor no nível da organização, substitua
--folder=FOLDER_IDpor--organization=ORGANIZATION_ID.Para que o coletor inclua todos os recursos da organização, a sinalização
--include-childrenprecisa ser definida, mesmo quando a sinalização--organizationfor passada paracreate. Quando for definido comofalse(padrão), um coletor encaminhará apenas registros do recurso host.Para alguns exemplos de filtros úteis, consulte Criar filtros para coletores agregados.
Recupere o nome da conta de serviço usado para criar o coletor com base na saída do comando.
Conceda a essa conta de serviço permissão para gravar no destino do coletor.
Se você não tiver permissão para fazer essa alteração no destino do coletor, envie o nome da conta de serviço para alguém que possa fazer essa alteração.
Para mais informações sobre a concessão de permissões de contas de serviço para recursos, consulte a seção definir permissões de destino.
As alterações feitas em um coletor podem levar alguns minutos para serem aplicadas.
Criar filtros para coletores agregados
Como qualquer outro, o coletor agregado contém um filtro que seleciona entradas de registro individuais. Para exemplos de filtros que você pode usar para criar um coletor agregado, consulte Consultas de amostra usando o Explorador de registros.
Veja a seguir alguns exemplos de comparações de filtros que são úteis ao usar o recurso de coletores agregados. Alguns exemplos utilizam a seguinte notação:
:: é o operador de substring. Não substitua o operador=....representa qualquer comparação de filtros adicional.- As variáveis são indicadas por texto colorido. As substitua por valores válidos.
O comprimento de um filtro não pode exceder 20.000 caracteres.
Para mais detalhes sobre a sintaxe da filtragem, consulte Linguagem de consulta do Logging.
Selecionar a origem do registro
Para um coletor agregado, para cada recurso filho da organização ou pasta: os filtros de inclusão e exclusão do coletor são aplicados a cada entrada de registro é enviada ao recurso filho. Uma entrada de registro que corresponda o filtro de inclusão e não excluído, será roteado.
Se quiser que o coletor encaminhe registros de todos os recursos filhos, especifique um projeto, uma pasta ou uma organização nos filtros de inclusão e exclusão do coletor. Por exemplo, suponha configure um coletor agregado para uma organização com o seguinte filtro:
resource.type="gce_instance"
Com o filtro anterior, os registros com o tipo de recurso Instâncias do Compute Engine que são gravadas para qualquer filho dessa organização são encaminhadas pelo coletor agregado para o destino.
No entanto, pode haver situações em que você queira usar um coletor agregado
para rotear registros apenas de recursos filhos específicos. Por exemplo, para compliance
motivos para armazenar registros de auditoria de pastas ou projetos específicos
no próprio bucket do Cloud Storage. Nessas situações, configure seu
filtro de inclusão para especificar cada recurso filho com os registros que você quer rotear.
Se você quiser rotear registros de uma pasta e todos os projetos dentro dela,
o filtro deve listar a pasta e cada um dos projetos contidos
dessa pasta e mescle as instruções com uma cláusula OR.
Os filtros a seguir restringem os registros a projetos específicos do Google Cloud. pastas ou organizações:
logName:"projects/PROJECT_ID/logs/" AND ...
logName:("projects/PROJECT_A_ID/logs/" OR "projects/PROJECT_B_ID/logs/") AND ...
logName:"folders/FOLDER_ID/logs/" AND ...
logName:"organizations/ORGANIZATION_ID/logs/" AND ...
Por exemplo, para rotear apenas registros gravados em instâncias do Compute Engine que foram
gravado na pasta my-folder, use o seguinte filtro:
logName:"folders/my-folder/logs/" AND resource.type="gce_instance"
Com o filtro anterior, os registros gravados em qualquer recurso diferente de my-folder
incluindo registros gravados em projetos do Google Cloud que são filhos de my-folder,
não são encaminhados para o destino.
Selecione o recurso monitorado.
Para rotear registros de apenas um recurso monitorado projeto do Google Cloud, usar várias comparações para especificar o recurso exatamente:
logName:"projects/PROJECT_ID/logs" AND resource.type=RESOURCE_TYPE AND resource.labels.instance_id=INSTANCE_ID
Para uma lista de tipos de recursos, consulte Tipos de recursos monitorados.
Selecione uma amostra de entradas de registro
Para encaminhar uma amostra aleatória de entradas de registro, adicione a função incorporada sample. Por exemplo, para rotear somente 10% das entradas de registro
correspondentes ao seu filtro atual, use esta adição:
sample(insertId, 0.10) AND ...
Para mais informações, consulte a função sample.
Para mais informações sobre os filtros do Cloud Logging, consulte Linguagem de consulta do Logging.
Definir permissões de destino
Nesta seção, descrevemos como conceder permissões de gerenciamento de identidade e acesso ao Logging para gravar registros no destino do coletor. Para a lista de papéis e permissões do Logging, consulte Controle de acesso.
Quando você cria ou atualiza um coletor que roteia registros para qualquer destino do que um bucket de registros no projeto atual, uma conta de serviço para o coletor é obrigatório. O Logging cria e gerencia automaticamente conta de serviço para você:
- Desde 22 de maio de 2023, quando você cria um coletor e nenhum serviço o recurso existe, o Logging cria a conta de serviço. O Logging usa a mesma conta de serviço todos os coletores do recurso. Os recursos podem ser um projeto do Google Cloud, uma organização, uma pasta do Google Cloud.
- Antes de 22 de maio de 2023, o Logging criava um serviço para cada coletor. A partir de 22 de maio de 2023, O Logging usa uma conta de serviço compartilhada para todos os coletores do do recurso.
A identidade do gravador de um coletor é o identificador do serviço associada a esse coletor. Todos os coletores têm uma identidade de gravador, gravar em um bucket de registros no projeto atual do Google Cloud.
Para rotear registros para um recurso protegido por um perímetro de serviço, é necessário adicionar a conta de serviço desse coletor a um nível de acesso e, em seguida, atribuí-la ao perímetro de serviço de destino de dados. Isso não é necessário para coletores não agregados. Para detalhes, consulte VPC Service Controls: Cloud Logging.
Para definir permissões a fim de rotear o coletor para o destino, faça o seguinte:
Console
Para informações sobre a conta de serviço do coletor, faça o seguinte:
-
No console do Google Cloud, acesse a página Roteador de registros:
Acessar o roteador de registros
Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo Logging.
Selecione more_vert Menu e selecione Veja os detalhes do coletor.
No painel Detalhes do coletor, o campo
writerIdentitycontém a identidade da conta de serviço. A stringserviceAccount:é parte da identidade da conta de serviço. Exemplo:serviceAccount:service-123456789012@gcp-sa-logging.iam.gserviceaccount.com
-
No projeto de destino, conceda à identidade de gravador o papel necessário para que a conta de serviço grave no destino. Para conceder um papel a como principal, você precisa ter o papel de Proprietário (
roles/owner):- Para destinos do Cloud Storage, adicione a identidade do gravador do coletor
como principal usando o IAM e conceder a ele o
Papel Criador de objetos do Storage
(
roles/storage.objectCreator). - Para destinos do BigQuery, adicione a identidade de gravador do coletor
como principal usando o IAM e conceder a ele o
Papel de Editor de dados do BigQuery
(
roles/bigquery.dataEditor). - Para destinos do Pub/Sub, incluindo o Splunk, adicione a identidade de gravador do coletor
como principal usando o IAM e conceder a ele o
Papel Editor do Pub/Sub
(
roles/pubsub.publisher). - Para destinos de bucket do Logging em
projetos do Google Cloud, adicione a identidade de gravador do coletor como um principal
usando o IAM e conceder a ele o
Papel Gravador de bucket de registros
(
roles/logging.bucketWriter). - Para destinos de projetos do Google Cloud, adicione o nome
de gravador como principal usando o IAM e conceder a ele o
Papel de Gravador de registros
(
roles/logging.logWriter). Especificamente, um principal precisa daslogging.logEntries.route.
- Para destinos do Cloud Storage, adicione a identidade do gravador do coletor
como principal usando o IAM e conceder a ele o
Papel Criador de objetos do Storage
(
API
Para informações sobre a conta de serviço do coletor, chamar o método de API organizations.sinks.get ou folders.sinks.get.
O campo
writerIdentitycontém a identidade da conta de serviço. A stringserviceAccount:faz parte da identidade da conta de serviço. Exemplo:serviceAccount:service-123456789012@gcp-sa-logging.iam.gserviceaccount.com
No projeto de destino, conceda à identidade de gravador o papel necessário para que a conta de serviço grave no destino. Para conceder um papel a como principal, você precisa ter o papel de Proprietário (
roles/owner):- Para destinos do Cloud Storage, adicione a identidade do gravador do coletor
como principal usando o IAM e conceder a ele o
Papel Criador de objetos do Storage
(
roles/storage.objectCreator). - Para destinos do BigQuery, adicione a identidade de gravador do coletor
como principal usando o IAM e conceder a ele o
Papel de Editor de dados do BigQuery
(
roles/bigquery.dataEditor). - Para destinos do Pub/Sub, incluindo o Splunk, adicione a identidade de gravador do coletor
como principal usando o IAM e conceder a ele o
Papel Editor do Pub/Sub
(
roles/pubsub.publisher). - Para destinos de bucket do Logging em
projetos do Google Cloud, adicione a identidade de gravador do coletor como um principal
usando o IAM e conceder a ele o
Papel Gravador de bucket de registros
(
roles/logging.bucketWriter). - Para destinos de projetos do Google Cloud, adicione o nome
de gravador como principal usando o IAM e conceder a ele o
Papel de Gravador de registros
(
roles/logging.logWriter). Especificamente, um principal precisa daslogging.logEntries.route.
- Para destinos do Cloud Storage, adicione a identidade do gravador do coletor
como principal usando o IAM e conceder a ele o
Papel Criador de objetos do Storage
(
gcloud
Para informações sobre a conta de serviço do coletor, execute o seguinte comando:
gcloud logging sinks describe SINK_NAME
O campo
writerIdentitycontém a identidade da conta de serviço. A stringserviceAccount:faz parte da identidade da conta de serviço. Exemplo:serviceAccount:service-123456789012@gcp-sa-logging.iam.gserviceaccount.com
No projeto de destino, conceda à identidade de gravador o papel necessário para que a conta de serviço grave no destino. Para conceder um papel a como principal, você precisa ter o papel de Proprietário (
roles/owner):- Para destinos do Cloud Storage, adicione a identidade do gravador do coletor
como principal usando o IAM e conceder a ele o
Papel Criador de objetos do Storage
(
roles/storage.objectCreator). - Para destinos do BigQuery, adicione a identidade de gravador do coletor
como principal usando o IAM e conceder a ele o
Papel de Editor de dados do BigQuery
(
roles/bigquery.dataEditor). - Para destinos do Pub/Sub, incluindo o Splunk, adicione a identidade de gravador do coletor
como principal usando o IAM e conceder a ele o
Papel Editor do Pub/Sub
(
roles/pubsub.publisher). - Para destinos de bucket do Logging em
projetos do Google Cloud, adicione a identidade de gravador do coletor como um principal
usando o IAM e conceder a ele o
Papel Gravador de bucket de registros
(
roles/logging.bucketWriter). - Para destinos de projetos do Google Cloud, adicione o nome
de gravador como principal usando o IAM e conceder a ele o
Papel de Gravador de registros
(
roles/logging.logWriter). Especificamente, um principal precisa daslogging.logEntries.route.
- Para destinos do Cloud Storage, adicione a identidade do gravador do coletor
como principal usando o IAM e conceder a ele o
Papel Criador de objetos do Storage
(
A seguir
Saiba como criar visualizações de registros em um bucket de registros. As visualizações de registros permitem conceder aos principais acesso de leitura a um subconjunto das entradas de registro em um bucket de registros.
Para informações sobre como gerenciar os coletores atuais, consulte Rotear registros para destinos compatíveis: gerenciar coletores.
Se você encontrar problemas ao usar coletores para rotear registros, consulte Resolver problemas de roteamento e coletores.
Para saber como exibir seus registros nos destinos e como os registros sejam formatados e organizados, consulte Ver registros nos destinos do coletor