En este documento, se describe cómo crear datos receptores. Los receptores agregados te permiten combinar y enrutar los registros que generan los recursos de Google Cloud en tu organización o carpeta a una ubicación centralizada.
Descripción general
Los receptores agregados combinan y enrutan entradas de registro de los recursos contenidos por de una organización o carpeta a un destino.
Si quieres controlar qué entradas de registro se pueden consultar en estos recursos, o enrutado a través de los receptores de estos recursos, puedes configurar un receptor agregado para que no intercepte ni intercepte:
Un receptor agregado sin interceptar enruta las entradas de registro a través de receptores en el secundario de Google Cloud. Con este receptor, mantienes la visibilidad de las entradas de registro en la los recursos en los que se generaron. No se pueden ver los receptores que no interceptan a recursos secundarios.
Por ejemplo, puedes crear un receptor agregado no interceptor que enrute Todas las entradas de registro generadas a partir de las carpetas que contiene una organización en un bucket de registros central. Las entradas de registro se almacenan bucket de registros y en los recursos en los que se encuentran que se generaron.
El receptor agregado de intercepción evita que se enruten las entradas de registro a través de en los recursos secundarios, excepto por los receptores
_Required
. Este receptor puede ser útiles para evitar que las copias duplicadas de entradas de registro se almacenen en varios lugares.Por ejemplo, considera los registros de auditoría de acceso a los datos, que pueden ser grandes en volumen y costosos para almacenar varias copias. Si has registros de auditoría de acceso a los datos habilitados, puedes crear una política receptor que enruta todos los registros de auditoría de acceso a los datos a un proyecto central para su análisis. Este receptor interceptor también evita que los receptores de recursos secundarios se enruten copias de los registros en otro lugar.
Interceptar receptores evita que los registros pasen por el enrutador de registros del recursos secundarios, a menos que los registros también coincidan con el receptor
_Required
. Debido a que el se interceptan registros, los registros no cuentan para las métricas políticas de alertas basadas en registros en los recursos secundarios. Puedes ver las intercepciones en la página Enrutador de registros de los recursos secundarios.
Para obtener información sobre cómo administrar receptores, consulta Enruta registros a destinos compatibles: Administra receptores.
Puedes crear hasta 200 receptores por organización o carpeta.
Destinos admitidos
Puedes usar receptores agregados sin intercepción para enrutar entradas de registro dentro o entre las mismas organizaciones y carpetas a los siguientes destinos:
Bucket de Cloud Logging: Proporciona almacenamiento en Cloud Logging. Un bucket de registro puede almacenar entradas de registro que reciben varios proyectos de Google Cloud. El bucket de registros puede estar en el mismo proyecto en el que se originan las entradas de registro. en un proyecto diferente. Para obtener más información sobre cómo ver las entradas de registro almacenadas en buckets de registros, consulta Descripción general de consulta y visualización de registros y Ver los registros enrutados a los buckets de Cloud Logging.
Puedes combinar tus Actualiza un bucket de registros para usar Cloud Logging con otros datos Análisis de registros y, luego, crear un conjunto de datos vinculado, que es un conjunto de datos conjunto de datos que se puede consultar con BigQuery Studio y Looker Studio páginas.
Conjunto de datos de BigQuery: Proporciona almacenamiento de entradas de registro en un conjunto de datos de BigQuery que admite escritura. El conjunto de datos de BigQuery Puede estar en el mismo proyecto en el que se originan las entradas de registro o en un en un proyecto final. Puedes usar las capacidades de análisis de macrodatos en las entradas de registro almacenadas. Para obtener información sobre cómo ver las entradas de registro enrutadas a BigQuery, consulta Visualiza los registros enrutados a BigQuery.
- Bucket de Cloud Storage: Proporciona almacenamiento de entradas de registro en Cloud Storage. El bucket de Cloud Storage puede estar en el mismo proyecto en el que se originan las entradas de registro o en un proyecto diferente. Las entradas de registro se almacenan como archivos JSON. Para obtener información sobre cómo ver las entradas de registro enrutadas a Cloud Storage, consulta Visualiza los registros enrutados a Cloud Storage.
Tema de Pub/Sub: Proporciona compatibilidad con integraciones de terceros. Las entradas de registro se formatean en JSON y, luego, se enrutan a Pub/Sub en este tema. El tema puede estar en el mismo proyecto en el que las entradas de registro se originan o en un proyecto diferente. Para obtener información sobre cómo ver las entradas de registro enrutadas a Pub/Sub, consulta Visualiza los registros enrutados a Pub/Sub.
Proyecto de Google Cloud: Envía las entradas de registro a otro proyecto de Google Cloud. En esta configuración, los receptores del proyecto de destino procesan las entradas de registro.
Prácticas recomendadas para interceptar receptores
Cuando crees un sink de intercepción, te recomendamos que hagas lo siguiente:
Considera si los recursos secundarios necesitan un control independiente las entradas de registro. Si un recurso secundario necesita un control independiente de ciertos de registro, asegúrate de que tu receptor interceptor no enrute esos las entradas de registro.
Agrega la información de contacto a la descripción del receptor interceptor. Esto podría ser útil si quienes administran el sumidero de intercepción son diferentes de quienes administran los proyectos cuyas entradas de registro se interceptan.
Para probar la configuración de tu receptor, crea primero un conjunto para garantizar que se enruten las entradas de registro correctas.
Receptores agregados y Controles del servicio de VPC
Las siguientes limitaciones se aplican cuando usas receptores agregados Características de los Controles del servicio de VPC:
Los receptores agregados pueden acceder a los datos de los proyectos dentro de un servicio perímetro de servicio. Para restringir el acceso de los receptores agregados a los datos dentro de un perímetro, recomendamos usar IAM para administrar los permisos de Logging.
Los Controles del servicio de VPC no admiten la adición de recursos de carpetas o de organizaciones a los perímetros de servicio. Por lo tanto, no puedes usar los Controles del servicio de VPC para proteger los registros a nivel de carpeta y organización. incluidos los registros agregados. Para administrar los permisos de Logging a nivel de carpeta o de la organización, te recomendamos usar IAM.
Si enrutas registros mediante un receptor a nivel de la carpeta o de la organización a un recurso que protege un perímetro de servicio, debes agregar una regla de entrada al perímetro de servicio. La regla de entrada debe permitir el acceso al recurso desde la cuenta de servicio que usa el receptor agregado. Para obtener más información, consulta las siguientes páginas:
Cuando especificas una política de entrada o salida para un perímetro de servicio no puedes usar
ANY_SERVICE_ACCOUNT
yANY_USER_ACCOUNT
como un tipo de identidad cuando usas un receptor de registros para enrutar registros a recursos de Cloud Storage. Sin embargo, puedes usarANY_IDENTITY
como el tipo de identidad.
Antes de comenzar
Antes de crear un receptor, asegúrate de lo siguiente:
Tienes una carpeta o una organización de Google Cloud con entradas de registro que puedes ver en el Explorador de registros.
Tienes uno de los siguientes roles de IAM para Organización o carpeta de Google Cloud desde la que enrutas el contenido las entradas de registro.
- Propietario (
roles/owner
) - Administrador de Logging (
roles/logging.admin
) - Escritor de configuración de registros (
roles/logging.configWriter
)
Los permisos contenidos en estos roles te permiten crear, borrar o modificar receptores. Para obtener información sobre cómo configurar roles de IAM, consulta la Guía de control de acceso de Logging.
- Propietario (
Tienes un recurso en un destino admitido o tienes la capacidad de crear uno.
El destino se debe crear antes que el receptor mediante la CLI de Google Cloud, la consola de Google Cloud o las APIs de Google Cloud. Puedes crear el destino en cualquier proyecto de Google Cloud en cualquier organización, pero debes asegurarte de que la cuenta de servicio del receptor tenga permisos para escribir en el destino.
Crea un receptor agregado
Console
Si quieres crear un receptor agregado para tu organización o carpeta, haz lo siguiente:
-
En la consola de Google Cloud, ve a la página Enrutador de registros:
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.
Selecciona una organización o carpeta existente.
Selecciona Crear receptor.
En el panel Detalles del receptor, ingresa los siguientes detalles:
Nombre del receptor: proporciona un identificador para el receptor. ten en cuenta que, después de crear el receptor, no puedes cambiarle el nombre, pero puedes borrarlo crear un receptor nuevo.
Descripción del receptor (opcional): Describe el propósito o el caso de uso del el fregadero.
Realiza una de las siguientes acciones:
Para crear un receptor interceptor, en el menú Selecciona el servicio del receptor, Selecciona Proyecto de Google Cloud y, luego, ingresa el nombre completamente calificado para el destino. Para obtener información sobre la sintaxis, consulta Formatos de ruta de destino.
Para crear un receptor sin intercepción, ve a Selecciona el servicio del receptor y realiza una de las siguientes acciones:
Para enrutar entradas de registro a un proyecto de Google Cloud diferente, selecciona Proyecto de Google Cloud y, luego, ingresa el nombre cualificado del destino. Para obtener más información sobre la sintaxis, consulta Formatos de las rutas de destino.
Para enrutar entradas de registro a un servicio que se encuentra en proyecto de Google Cloud, selecciona una de las siguientes opciones:
- Bucket de Cloud Logging: Selecciona o crea un bucket de registro.
- Conjunto de datos de BigQuery: selecciona o crea para recibir las entradas de registro enrutadas. También tienes la opción de usar tablas particionadas.
- Bucket de Cloud Storage: selecciona o crea bucket de Cloud Storage para recibir las entradas de registro enrutadas.
- Tema de Pub/Sub: selecciona o crea el tema para recibir las entradas de registro enrutadas.
- Splunk: Selecciona el tema de Pub/Sub para tu servicio de Splunk.
Para enrutar entradas de registro a un servicio que se encuentra en un proyecto de Google Cloud diferente, haz lo siguiente:
- Selecciona Otro recurso.
Ingresa el nombre completamente calificado para el destino. Para obtener más información sobre la sintaxis, consulta la Formatos de las rutas de destino.
Por ejemplo, si el destino del receptor es un tema,
destination
tendrá el siguiente aspecto:pubsub.googleapis.com/projects/PROJECT_ID/topics/TOPIC_ID
En el panel Elige registros para incluirlos en el receptor, realiza una de las siguientes acciones:
Para crear un receptor interceptor, selecciona Interceptar registros transferidos por esta organización y todos los recursos secundarios.
Para crear un receptor agregado sin interceptar, selecciona Incluir registros transferidos por este recurso y todos los recursos secundarios.
Completa el diálogo ingresando un expresión de filtro en la Campo Crea un filtro de inclusión que coincida con las entradas de registro que desees para incluirlos. Si no estableces un filtro, todas las entradas de registro recurso se enrutan al destino.
Por ejemplo, podrías crear un filtro para enrutar todas las solicitudes los registros de auditoría a un solo bucket de Logging. Este filtro se ve de la siguiente manera:
LOG_ID("cloudaudit.googleapis.com/data_access") OR LOG_ID("externalaudit.googleapis.com/data_access")
Para ver ejemplos de filtros, consulta Crea filtros para los receptores agregados.
Ten en cuenta que la longitud de un filtro no puede superar los 20,000 caracteres.
Opcional: Para verificar que ingresaste el filtro correcto, selecciona Obtén una vista previa de los registros. Se abrirá el Explorador de registros en una pestaña nueva filtro prepropagado.
Opcional: En el panel Elige registros para excluir del receptor, lo siguiente:
En el campo Nombre del filtro de exclusión, ingresa un nombre.
En el campo Crear un filtro de exclusión, ingresa un expresión de filtro que coincide con las entradas de registro que deseas excluir. También puedes usar Función
sample
para seleccionar una parte de las entradas de registro que deseas excluir.Por ejemplo, para excluir las entradas de registro de un proyecto específico de siendo enrutado al destino, agrega el siguiente filtro de exclusión:
logName:projects/PROJECT_ID
Para excluir entradas de registro de varios proyectos, usa el operador logical-OR para unir cláusulas
logName
.
Puedes crear hasta 50 filtros de exclusión por receptor. Ten en cuenta que la longitud del filtro no puede exceder 20,000 caracteres.
Selecciona Crear receptor.
Otorga permiso de escritura a la cuenta de servicio del receptor las entradas de registro al destino de tu receptor. Para obtener más información, consulta Configura permisos de destino.
Protocolo
Para crear un receptor agregado, usa el método de la API de Logging organizations.sinks.create
o folders.sinks.create
.
Prepara los argumentos del método de la siguiente manera:
Establece el campo
parent
para que sea la organización o la carpeta de Google Cloud en la que deseas crear el receptor. El superior debe ser uno de los lo siguiente:organizations/ORGANIZATION_ID
folders/FOLDER_ID
En el objeto
LogSink
, en el cuerpo de la solicitud del método, haz lo siguiente: realiza una de las siguientes acciones:Establece
includeChildren
enTrue
.Para crear un receptor interceptor, también establece el
interceptChildren
comoTrue
.
Establece el campo
filter
para que coincida con las entradas de registro que deseas incluir.Para ver ejemplos de filtros, consulta Cómo crear filtros para sumideros agregados.
La longitud de un filtro no puede superar los 20,000 caracteres.
Configura los campos
LogSink
restantes como lo harías con cualquier receptor. Para obtener más información, consulta Enruta registros a destinos compatibles.Llama a
organizations.sinks.create
ofolders.sinks.create
a crear el receptor.Otorga a la cuenta de servicio permiso para escribir en tu receptor destino. Para obtener más información, consulta Configura permisos de destino.
gcloud
Para crear un receptor agregado, usa el
logging sinks create
:
Para crear un receptor, llama al
gcloud logging sinks create
y asegúrate de incluir la opción--include-children
.Antes de usar el siguiente comando, realiza los siguientes reemplazos:
- SINK_NAME: Es el nombre del receptor de registros. No puedes cambiar el nombre de un receptor después de crearlo.
- SINK_DESTINATION: El servicio o proyecto al que deseas enrutar tus entradas de registro.
- INCLUSION_FILTER: Es el filtro de inclusión de un receptor. Para ver ejemplos de filtros, consulta Crea filtros para los receptores agregados.
- FOLDER_ID: Es el ID de la carpeta. Si quieres crear un receptor
a nivel de la organización y, luego, reemplazar
--folder=FOLDER_ID
con-- organization=ORGANIZATION_ID
Ejecuta el comando
gcloud logging sinks create
:gcloud logging sinks create SINK_NAME \ SINK_DESTINATION --include-children \ --folder=FOLDER_ID --log-filter="INCLUSION_FILTER"
También puedes proporcionar las siguientes opciones:
- Para crear un receptor interceptor, incluye el
Opción
--intercept-children
.
Por ejemplo, si creas un receptor agregado a nivel de carpeta y cuyo destino es un tema de Pub/Sub, tu comando podría verse de la siguiente manera:
gcloud logging sinks create SINK_NAME \ pubsub.googleapis.com/projects/PROJECT_ID/topics/TOPIC_ID --include-children \ --folder=FOLDER_ID --log-filter="logName:activity"
Otorga a la cuenta de servicio permiso para escribir en tu receptor destino. Para obtener más información, consulta Configura permisos de destino.
Cualquier cambio que se realice en un receptor puede tardar unos minutos en aplicarse.
Crea filtros para los receptores agregados
Como cualquier receptor, el receptor agregado tiene un filtro que selecciona las entradas de registro. Para ver ejemplos de filtros que podrías usar para crear tu receptor agregado, consulta Consultas de muestra con el Explorador de registros.
A continuación, se presentan algunos ejemplos de comparaciones de consultas que son útiles cuando se usa la función de receptores agregados. Algunos ejemplos usan la siguiente notación:
:
es el operador de la substring. No sustituyas el operador=
....
… representa cualquier comparación de filtro adicional.- Las variables se indican con texto de color. Reemplázalas por valores válidos.
Ten en cuenta que la longitud de un filtro no puede superar los 20,000 caracteres.
Para obtener más detalles sobre la sintaxis de filtrado, consulta Lenguaje de consulta de Logging.
Selecciona la fuente del registro
En el caso de un receptor agregado, para cada recurso secundario de la organización o la carpeta, los filtros de inclusión y exclusión del receptor se aplican a cada entrada de registro que se envía al recurso secundario. Una entrada de registro que coincida el filtro de inclusión y que no se excluya, se enruta.
Si deseas que tu receptor enrute las entradas de registro de todos los recursos secundarios, no especifiques un proyecto, una carpeta ni una organización en los filtros de inclusión y exclusión del receptor. Por ejemplo, supongamos que configura un receptor agregado para una organización con el siguiente filtro:
resource.type="gce_instance"
Con el filtro anterior, las entradas de registro con un tipo de recurso de Instancias de Compute Engine que se escriben en cualquier elemento secundario de esa organización se enrutan al destino a través del receptor agregado.
Sin embargo, puede haber situaciones en las que desees usar un receptor agregado
para enrutar entradas de registro
solo de recursos secundarios específicos. Por ejemplo, para los
cumplimiento
motivos por los que podrías querer almacenar registros de auditoría de carpetas o proyectos específicos
en su propio bucket de Cloud Storage. En estas situaciones, configura tu
filtro de inclusión para especificar cada recurso secundario cuyas entradas de registro desees
enrutado. Si quieres enrutar las entradas de registro de una carpeta y todos los proyectos dentro
esa carpeta
el filtro debe enumerar la carpeta y cada uno de los proyectos que contiene
esa carpeta y unir las sentencias con una cláusula OR
.
Los siguientes filtros restringen las entradas de registro a Organizaciones, carpetas o proyectos específicos de Google Cloud:
logName:"projects/PROJECT_ID/logs/" AND ...
logName:("projects/PROJECT_A_ID/logs/" OR "projects/PROJECT_B_ID/logs/") AND ...
logName:"folders/FOLDER_ID/logs/" AND ...
logName:"organizations/ORGANIZATION_ID/logs/" AND ...
Por ejemplo, para enrutar solo las entradas de registro escritas en instancias de Compute Engine
que se escribieron en la carpeta my-folder
, usa el siguiente filtro:
logName:"folders/my-folder/logs/" AND resource.type="gce_instance"
Con el filtro anterior, las entradas de registro escritas en cualquier recurso que no sea
my-folder
, incluidas las entradas de registro escritas en proyectos de Google Cloud que se
elementos secundarios de my-folder
, no se enrutan al destino.
Selecciona el recurso supervisado
Para enrutar entradas de registro solo de un recurso supervisado específico en un proyecto de Google Cloud, usa múltiples comparaciones para especificar el recurso exactamente lo siguiente:
logName:"projects/PROJECT_ID/logs" AND resource.type=RESOURCE_TYPE AND resource.labels.instance_id=INSTANCE_ID
Para obtener una lista de tipos de recursos, consulta Tipos de recursos supervisados.
Selecciona una muestra de entradas de registro
Para enrutar una muestra aleatoria de entradas de registro, agrega el sample
integrado
. Por ejemplo, para enrutar solo el diez por ciento de las entradas de registro que coincidan con tu filtro actual, usa esta adición:
sample(insertId, 0.10) AND ...
Para obtener más información, consulta la
Función sample
.
Para obtener más información sobre los filtros de Cloud Logging, consulta Lenguaje de consulta de Logging.
Configura los permisos del destino
En esta sección, se describe cómo otorgar a Logging los permisos de Identity and Access Management para escribir entradas de registro en el destino de tu receptor. Para obtener la lista completa de las funciones y los permisos de Logging, consulta Control de acceso.
Cuando creas o actualizas un receptor que enruta las entradas de registro a cualquier destino que que un bucket de registros en el proyecto actual, una cuenta de servicio para ese receptor es obligatorio. Logging crea y administra automáticamente cuenta de servicio para ti:
- A partir del 22 de mayo de 2023, cuando crees un receptor y ningún servicio para el recurso subyacente, Logging crea cuenta de servicio. Logging usa la misma cuenta de servicio todos los receptores en el recurso subyacente. Los recursos pueden ser un proyecto de Google Cloud, una organización, una carpeta o un cuenta de facturación de Google Cloud.
- Antes del 22 de mayo de 2023, Logging creó un servicio para cada receptor. Desde el 22 de mayo de 2023, Logging usa una cuenta de servicio compartida para todos los receptores recurso subyacente.
La identidad del escritor de un sumidero es el identificador de la cuenta de servicio asociada con ese sumidero. Todos los receptores tienen una identidad de escritor, a menos que en un bucket de registros en el proyecto actual de Google Cloud.
Enrutar las entradas de registro a un recurso protegido por perímetro de servicio debes agregar la cuenta de servicio para ese receptor a un nivel de acceso asignarlo al perímetro de servicio de destino. Esto no es necesario para receptores no agregados. Para obtener más información, consulta Controles del servicio de VPC: Cloud Logging
Si deseas establecer permisos para que tu receptor enrute a su destino, sigue estos pasos:
Console
Para obtener información sobre la cuenta de servicio de tu sink, haz lo siguiente:
-
En la consola de Google Cloud, ve a la página Enrutador de registros:
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.
Selecciona more_vert Menú y, luego, Ver detalles del receptor. La identidad de escritor aparece en el panel Detalles del receptor.
Si el valor del campo
writerIdentity
contiene una dirección de correo electrónico, y continúa con el siguiente paso. Cuando el valor esNone
, no se deben configurar los permisos de destino.Copia la identidad de escritor del receptor en el portapapeles. La cadena
serviceAccount:
es es parte de la identidad de la cuenta de servicio. Por ejemplo:serviceAccount:service-123456789012@gcp-sa-logging.iam.gserviceaccount.com
Agrega la cuenta de servicio como una principal de IAM en la proyecto de destino:
-
En la consola de Google Cloud, ve a la página IAM:
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es IAM y administrador.
Selecciona el proyecto de destino.
Haz clic en
Grant access.Otorga a la cuenta de servicio el rol de IAM necesario:
- Para los destinos de Cloud Storage, agrega la identidad de escritor del receptor
como principal con IAM y, luego, otorgarle los
Rol de Creador de objetos de almacenamiento
(
roles/storage.objectCreator
). - Para los destinos de BigQuery, agrega la identidad de escritor del receptor como principal con IAM y, luego, asígnale el rol de editor de datos de BigQuery (
roles/bigquery.dataEditor
). - Para los destinos de Pub/Sub, incluido Splunk, agrega la identidad de escritor del receptor
como principal con IAM y, luego, otorgarle los
Rol de publicador de Pub/Sub
(
roles/pubsub.publisher
). - Para los destinos de bucket de Logging en diferentes
En proyectos de Google Cloud, agrega la identidad de escritor del receptor como una principal.
con IAM y, luego, otorgarle
Función de escritor de buckets de registros
(
roles/logging.bucketWriter
). - Para los destinos de los proyectos de Google Cloud, agrega
de escritor con la identidad de IAM y otorgarle
Función de escritor de registros
(
roles/logging.logWriter
). Específicamente, un principal necesitalogging.logEntries.route
.
- Para los destinos de Cloud Storage, agrega la identidad de escritor del receptor
como principal con IAM y, luego, otorgarle los
Rol de Creador de objetos de almacenamiento
(
-
-
Protocolo
Te recomendamos que uses la consola de Google Cloud o Google Cloud CLI para otorgar un rol a la cuenta de servicio.
gcloud
Asegúrate de tener acceso de Propietario en la Proyecto de Google Cloud que contiene el destino. Si no tienes acceso de Propietario al destino del sumidero, pídele al propietario del proyecto que agregue la identidad del escritor como principal.
Para obtener información sobre la cuenta de servicio de tu receptor, llama al
gcloud logging sinks describe
.Antes de usar el siguiente comando, realiza los siguientes reemplazos:
- SINK_NAME: Es el nombre del receptor de registros. No puedes cambiar el nombre de un receptor después de crearlo.
Ejecuta el
gcloud logging sinks describe
:gcloud logging sinks describe SINK_NAME
Si los detalles del receptor contienen un campo etiquetado
writerIdentity
, entonces continúa con el siguiente paso. Si los detalles no incluyen unwriterIdentity
no necesitas configurar permisos de destino para el receptor.Copia la identidad de escritor del receptor en el portapapeles. La cadena
serviceAccount:
es de la identidad de la cuenta de servicio.La identidad del escritor de la cuenta de servicio se ve de la siguiente manera:
serviceAccount:service-123456789012@gcp-sa-logging.iam.gserviceaccount.com
Para agregar la cuenta de servicio como una principal de IAM en el proyecto de destino, llama a
gcloud projects add-iam-policy-binding
kubectl.Antes de usar el siguiente comando, realiza los siguientes reemplazos:
- PROJECT_ID: Es el identificador del proyecto.
- PRINCIPAL: Un identificador para la principal que deseas
a la que otorgas el rol. Los identificadores principales suelen tener el siguiente formato:
PRINCIPAL-TYPE:ID
Por ejemplo,user:my-user@example.com
. Para obtener una lista completa de los formatos que puede tenerPRINCIPAL
, consulta Identificadores principales. ROLE: Es un rol de IAM.
- Para los destinos de Cloud Storage, agrega la identidad de escritor del receptor
como principal con IAM y, luego, asígnale el
rol de creador de objetos de almacenamiento
(
roles/storage.objectCreator
). - Para los destinos de BigQuery, agrega la identidad de escritor del receptor
como principal con IAM y, luego, otorgarle los
Rol de editor de datos de BigQuery
(
roles/bigquery.dataEditor
). - Para los destinos de Pub/Sub, incluido Splunk, agrega la identidad de escritor del receptor
como principal con IAM y, luego, otorgarle los
Rol de publicador de Pub/Sub
(
roles/pubsub.publisher
). - Para los destinos del bucket de Logging en diferentes proyectos de Google Cloud, agrega la identidad de escritor del receptor como principal con IAM y, luego, otórgale el rol de escritor del bucket de registros (
roles/logging.bucketWriter
). - Para los destinos de los proyectos de Google Cloud, agrega
de escritor con la identidad de IAM y otorgarle
Función de escritor de registros
(
roles/logging.logWriter
). Específicamente, un principal necesitalogging.logEntries.route
.
- Para los destinos de Cloud Storage, agrega la identidad de escritor del receptor
como principal con IAM y, luego, asígnale el
rol de creador de objetos de almacenamiento
(
Ejecuta el
gcloud projects add-iam-policy-binding
:gcloud projects add-iam-policy-binding PROJECT_ID --member=PRINCIPAL --role=ROLE
¿Qué sigue?
Aprende a crear vistas de registro en un bucket de registros. Las vistas de registro te permiten otorgar a las principales acceso de lectura a un subconjunto de las entradas de registro se almacenan en un bucket de registros.
Para obtener más información sobre cómo administrar los receptores existentes, consulta Enruta registros a destinos compatibles: administra los receptores.
Si tienes problemas cuando usas receptores para enrutar los registros, consulta Soluciona problemas de enrutamiento y receptores.
Para aprender a ver tus registros en sus destinos y aprender se formatean y organizan los registros, consulta Visualiza registros en destinos de receptores