Enruta registros a destinos compatibles.

En este documento, se explica cómo crear y administrar receptores para enrutar entradas de registro a destinos admitidos.

Cloud Logging crea y administra automáticamente una cuenta de servicio para receptores que enrutan registros a un destino que no es un bucket de registros en el proyecto actual de Google Cloud. Puedes crear y administrar una cuenta de servicio que usan los receptores en varios proyectos. Para obtener más información, consulta Configura receptores de registros con cuentas de servicio administradas por el usuario.

Descripción general

Los receptores controlan cómo Cloud Logging de rutas tradicionales. Con receptores, puedes enrutar algunos o todos tus registros a a los siguientes destinos:

  • Bucket de Cloud Logging: Proporciona almacenamiento en Cloud Logging. Un bucket de registros puede almacenar entradas de registro recibidos por varios proyectos de Google Cloud. Puedes combinar tus Actualiza un bucket de registros para usar Cloud Logging con otros datos Análisis de registros y, luego, crear un conjunto de datos vinculado de BigQuery Para para ver las entradas de registro almacenadas en buckets de registros, consulta Descripción general de consulta y visualización de registros y Ver los registros enrutados a los buckets de Cloud Logging.
  • Conjunto de datos de BigQuery: Proporciona almacenamiento de entradas de registro en conjuntos de datos de BigQuery. Puedes usar las capacidades de análisis de macrodatos en las entradas de registro almacenadas. Para combinar tus datos de Cloud Logging con otros fuentes de datos, te recomendamos que actualices tus buckets de registros Análisis de registros y, luego, crear un conjunto de datos de BigQuery vinculado. Para obtener información sobre cómo ver las entradas de registro enrutadas a BigQuery, consulta Visualiza los registros enrutados a BigQuery.
  • Bucket de Cloud Storage: Proporciona almacenamiento de entradas de registro en Cloud Storage. Registro se almacenan como archivos JSON. Para obtener información sobre la visualización del registro entradas enrutadas a Cloud Storage, consulta Visualiza los registros enrutados a Cloud Storage.
  • Tema de Pub/Sub: Proporciona compatibilidad con integraciones de terceros. Registro se formatean en JSON y, luego, se enrutan a Pub/Sub en el tema. Para obtener información sobre cómo ver las entradas de registro enrutadas a Pub/Sub, consulta Visualiza los registros enrutados a Pub/Sub.
  • Splunk: Proporciona compatibilidad con Splunk. Debes enrutar tus entradas de registro a un tema de Pub/Sub y, luego, y suscríbete a ese tema con Splunk.
  • Proyecto de Google Cloud: Enruta las entradas de registro a un proyecto de Google Cloud diferente. Cuándo enrutas las entradas de registro a un proyecto de Google Cloud diferente, la dirección el Enrutador de registros del proyecto recibe las entradas de registro y las procesa. El en el proyecto de destino determinan cómo se enrutado. Error Reporting puede analizar entradas de registro cuando El proyecto enruta esas entradas de registro a un bucket de registros que pertenece al destino en un proyecto final.
  • Otros recursos: Enruta tus entradas de registro a un destino compatible que está en un proyecto diferente. Para obtener información sobre las rutas de acceso, consulta Formatos de las rutas de destino.

Los receptores pertenecen a un recurso determinado de Google Cloud: proyectos de Google Cloud, cuentas de facturación, carpetas y organizaciones. Cuando el recurso recibe un entrada de registro, la enruta según los receptores que contenga recurso. La entrada de registro se envía al destino asociado con cada coincidencia. receptor.

Un receptor agregado es un tipo de receptor que combina y enruta las entradas de registro de la Recursos de Google Cloud contenido de una organización o carpeta. Para obtener instrucciones, consulta Recopila y enruta registros a nivel de la organización a destinos compatibles.

Para crear y administrar receptores, puedes usar la consola de Google Cloud, la API de Cloud Logging y Google Cloud CLI. Con el La consola de Google Cloud tiene las siguientes ventajas sobre los otros métodos:

  • Consulta y administra todos tus receptores en un solo lugar.
  • Obtén una vista previa de qué entradas de registro coinciden con el filtro de tu receptor antes de crear el receptor.
  • Crea y autoriza los destinos de tus receptores.

Antes de comenzar

En las instrucciones de este documento, se describe cómo crear y administrar receptores en el Nivel de proyecto de Google Cloud. También puedes crear receptores no agregados para cuentas de facturación, carpetas y organizaciones.

Para comenzar, haz lo siguiente:

  1. Asegúrate de tener un proyecto de Google Cloud con registros que puedas ver en la Explorador de registros.

  2. Habilita la API de Cloud Logging.

    Habilita la API

  3. A fin de obtener los permisos que necesitas para crear, modificar o borrar un receptor, solicita a tu administrador que te otorgue el Es la función de IAM de Escritor de configuración de registros (roles/logging.configWriter) en tu proyecto. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso.

    También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.

    Para obtener información sobre cómo otorgar roles de IAM, consulta la guía de control de acceso de Logging.

  4. Tienes un recurso en un destino admitido o tienes la capacidad de crear uno.

    Para enrutar registros a un destino, el destino debe existir antes de que crear el receptor. Puedes crear el destino en cualquier proyecto de Google Cloud en cualquier organización.

    Es posible que se apliquen algunas limitaciones cuando enrutas tus registros a otras destinos. Para obtener más información, consulta Limitaciones de destino.

Crea un receptor

A continuación, se indican las instrucciones para crear un receptor en un proyecto de Google Cloud. En lugar de un proyecto de Google Cloud, puedes especificar una cuenta de facturación, carpeta u organización.

Puedes crear hasta 200 receptores por proyecto de Google Cloud.

Después de crear el receptor, asegúrate de que Logging tenga los permisos adecuados para escribir registros en el destino de tu receptor; ver Configura permisos de destino.

Para crear un receptor, haz lo siguiente:

Console

  1. En la consola de Google Cloud, ve a la página Enrutador de registros:

    Ir a Enrutador de registros

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.

  2. Selecciona un proyecto de Google Cloud existente.

  3. Selecciona Crear receptor.

  4. En el panel Detalles del receptor, ingresa los siguientes detalles:

    • Nombre del receptor: proporciona un identificador para el receptor. ten en cuenta que, después de crear el receptor, no puedes cambiarle el nombre, pero puedes borrarlo crear un receptor nuevo.

    • Descripción del receptor (opcional): Describe el propósito o el caso de uso del el fregadero.

  5. En el panel Destino del receptor, selecciona el servicio del receptor y mediante el menú Selecciona el servicio del receptor.

    1. Para enrutar registros a un servicio que está en el mismo proyecto de Google Cloud, selecciona una de las siguientes opciones:

      • Bucket de Cloud Logging: Selecciona o crea un Bucket de Logging.
      • Conjunto de datos de BigQuery: selecciona o crea para recibir los registros enrutados. También tienes la opción de usar tablas particionadas.
      • Bucket de Cloud Storage: Selecciona o crea el bucket de Cloud Storage en particular para recibir los registros enrutados.
      • Tema de Pub/Sub: selecciona o crea el tema para recibir los registros enrutados.
      • Splunk: Selecciona el tema de Pub/Sub para tu Splunk servicio.
      • Proyecto de Google Cloud: selecciona o crea el proyecto de Google Cloud. para recibir los registros enrutados.
      • Otro recurso: Selecciona esta opción para enrutar tus entradas de registro a en un destino admitido que está en un proyecto diferente. Para información sobre la ruta a consulta Formatos de rutas de destino.

  6. En el panel Elige registros para incluirlos en el receptor, haz lo siguiente:

    1. En el campo Crea un filtro de inclusión, ingresa una expresión de filtro. que coincida con las entradas de registro que deseas incluir. Para obtener más información la sintaxis para escribir filtros, consulta Lenguaje de consulta de Logging.

      Si no estableces un filtro, todos los registros del recurso seleccionado se enrutan al destino.

      Puedes crear un filtro para enrutar todos los registros de acceso a los datos a un único bucket de Logging. Este filtro se verá de la siguiente manera:

      log_id("cloudaudit.googleapis.com/data_access") OR log_id("externalaudit.googleapis.com/data_access")

      Ten en cuenta que la longitud de un filtro no puede superar los 20,000 caracteres.

    2. Para verificar que ingresaste el filtro correcto, selecciona Obtener vista previa de los registros. Se abrirá el Explorador de registros en una pestaña nueva con el filtro prepropagado.

  7. (Opcional) En el panel Elige registros para filtrar fuera del receptor, lo siguiente:

    1. En el campo Nombre del filtro de exclusión, ingresa un nombre.

    2. En el campo Crear un filtro de exclusión, ingresa un expresión de filtro que coincide con las entradas de registro que quieres excluir. También puedes usar Función sample para seleccionar una parte de las entradas de registro que deseas excluir.

    Puedes crear hasta 50 filtros de exclusión por receptor. Ten en cuenta que la longitud del filtro no puede exceder 20,000 caracteres.

  8. Selecciona Crear receptor.

API

  1. Para crear un receptor de registros en tu proyecto de Google Cloud, usa projects.sinks.create en la API de Logging En el LogSink proporciona los valores requeridos adecuados en la solicitud del método cuerpo:

    • name: Es un identificador para el receptor. Ten en cuenta que, después de crear no puedes cambiarle el nombre, pero puedes borrarlo y crear receptor nuevo.

    • destination: Es el servicio y el destino en los que deseas tus registros. enrutado. Para enrutar los registros a un proyecto diferente o a un destino que está en otro proyecto, configura el campo destination con el ruta adecuada, como se describe en Formatos de rutas de destino.

      Por ejemplo, si el destino del receptor es BigQuery conjunto de datos, destination se verá de la siguiente manera:

      bigquery.googleapis.com/projects/PROJECT_ID/datasets/DATASET_ID

  2. En el objeto LogSink, proporciona la información opcional adecuada:

    • filter : Establece el filter. para que coincida con las entradas de registro que quieres incluir en tu receptor. Si no estableces un filtro, todos los registros de tu proyecto de Google Cloud se enrutan al destino. Ten en cuenta que la longitud de un filtro supera los 20,000 caracteres.
    • exclusions: Configura esta propiedad para que coincida con las entradas de registro que deseas. para excluir de tu receptor. También puedes usar Función sample para seleccionar una parte de las entradas de registro que deseas excluir. Puedes crear hasta 50 filtros de exclusión por receptor.
    • description: Configura esta propiedad para describir el propósito o el caso de uso para el fregadero.

  3. Llama a projects.sinks.create para crear el receptor.

  4. Si la respuesta de la API contiene una clave JSON etiquetada como "writerIdentity", Luego, otorga a la cuenta de servicio del receptor el permiso para escribir en el destino del receptor. Para obtener más información, consulta Configura permisos de destino.

    No necesitas configurar permisos de destino cuando la respuesta de la API este elemento no contiene una clave JSON etiquetada como "writerIdentity".

Para obtener más información sobre la creación de receptores con el La API de Logging, consulta la referencia de LogSink.

gcloud

Para crear un receptor, ejecuta el siguiente comando:gcloud logging sinks create

Proporciona los valores adecuados para las variables en el comando de la siguiente manera:

  • SINK_NAME: Es un identificador para el receptor. Ten en cuenta que después creas el receptor, no puedes cambiarle el nombre, pero puedes borrarlo crear un receptor nuevo.

  • SINK_DESTINATION: El servicio y el destino en los que deseas enrutan los registros. Para enrutar los registros a un proyecto diferente destino que está en otro proyecto, establece SINK_DESTINATION con la ruta adecuada, como se describe en Formatos de ruta de destino.

    Por ejemplo, si el destino del receptor es un conjunto de datos de BigQuery, Luego, SINK_DESTINATION se verá de la siguiente manera:

    bigquery.googleapis.com/projects/PROJECT_ID/datasets/DATASET_ID

  • OPTIONAL_FLAGS incluye las siguientes marcas:

    • --log-filter : usa esta marca para definir una filtro que coincide con las entradas de registro que quieres incluir en tu receptor. Si no estableces un filtro, todos los registros de tu proyecto de Google Cloud se enrutarán el destino.
    • --exclusion: Usa esta marca a fin de establecer un filtro de exclusión para las entradas de registro. que quieres excluir de tu receptor. También puedes usar Función sample para seleccionar una parte de las entradas de registro que deseas excluir. Esta marca puede ser repetido; puedes crear hasta 50 exclusiones filtros por receptor.
    • --description: Usa esta marca para describir el propósito o el caso de uso para el fregadero.
gcloud logging sinks create SINK_NAME SINK_DESTINATION OPTIONAL_FLAGS

Por ejemplo, para crear un receptor a un bucket de Logging, tu comando podría verse de la siguiente manera:

gcloud logging sinks create my-sink logging.googleapis.com/projects/myproject123/locations/global/buckets/my-bucket \
  --log-filter='logName="projects/myproject123/logs/matched"' --description="My first sink"

Para obtener más información sobre la creación de receptores con el Google Cloud CLI, con más marcas y ejemplos, consulta la Referencia de gcloud logging sinks.

Los nuevos receptores de registros en buckets de Cloud Storage pueden tardar varias horas en y comenzar a enrutarlos. Los receptores de Cloud Storage se procesan cada hora, mientras que y otros tipos de destino se procesan en tiempo real.

Los receptores no definen el esquema para los conjuntos de datos de BigQuery. En cambio, la primera entrada de registro que recibe BigQuery determina la para la tabla de destino. Si deseas obtener más información, consulta Esquema de BigQuery para registros enrutados.

Para obtener información sobre cómo visualizar registros en los destinos del receptor, consulta Visualiza los registros enrutados a los buckets de Cloud Logging.

Después de crear el receptor, puedes ver la cantidad y el volumen de entradas de registro recibidos mediante el logging.googleapis.com/exports/ métricas.

Si recibes notificaciones de errores, consulta Soluciona problemas de enrutamiento y receptores.

No ingreses información sensible en los filtros de receptores. Los filtros de receptores se tratan como datos del servicio.

Formatos de rutas de destino

Si enrutas a un destino que se encuentra en otro proyecto, debes proporcionan las instancias de Logging, BigQuery Cloud Storage, o servicio y destino de Pub/Sub información:

  • Enrutar entradas de registro a un bucket de registros de Cloud Logging que se encuentra en otro proyecto de Google Cloud, el destino del receptor es lo siguiente:

    logging.googleapis.com/projects/DESTINATION_PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME

  • Para enrutar entradas de registro a otro proyecto de Google Cloud, la ruta de destino del receptor es lo siguiente:

    logging.googleapis.com/projects/DESTINATION_PROJECT_ID

  • Para enrutar entradas de registro a un conjunto de datos de BigQuery, el receptor destino es el siguiente:

    bigquery.googleapis.com/projects/PROJECT_ID/datasets/DATASET_ID

  • Para enrutar entradas de registro a un bucket de Cloud Storage, el receptor destino es el siguiente:

    storage.googleapis.com/BUCKET_NAME

  • Para enrutar entradas de registro a un tema de Pub/Sub, el receptor destino es el siguiente:

    pubsub.googleapis.com/projects/PROJECT_ID/topics/TOPIC_ID

Administra los receptores

Una vez que se hayan creado los receptores, puedes realizar las siguientes acciones en ellos:

  • Ver detalles de receptor
  • Actualizar el receptor
  • Inhabilitar receptor
  • Borrar receptor
  • Solucionar problemas del receptor
  • Visualiza las tasas de error y el volumen de registro del receptor

Antes de borrar un receptor, considera lo siguiente:

  • No puedes borrar los receptores _Default y _Required, pero puedes inhabilitar receptores de _Default para detener el enrutamiento de registros a _Default Buckets de Logging.
  • Cuando se borra un receptor, se detiene el enrutamiento de entradas de registro.
  • Si el receptor tiene una cuenta de servicio dedicada, borrar esa receptor también borra la cuenta de servicio. Receptores creados antes del El 22 de mayo de 2023 tienes cuentas de servicio dedicadas. Se crearon los receptores a partir del 22 de mayo de 2023 tengan una cuenta de servicio compartida. Borrar el receptor no borra la cuenta de servicio compartida.

Cualquier cambio que se realice en un receptor puede tardar unos minutos en aplicarse.

A continuación, se indican las instrucciones para administrar un receptor en un proyecto de Google Cloud. En lugar de un proyecto de Google Cloud, puedes especificar una cuenta de facturación, organización o carpeta:

Console

  1. En la consola de Google Cloud, ve a la página Enrutador de registros:

    Ir a Enrutador de registros

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.

  2. Selecciona el proyecto de Google Cloud que contiene tus con el selector de recursos desde cualquier parte del Consola de Google Cloud:

    Se selecciona un proyecto desde el menú desplegable

  3. Para ver tu receptores agregados, selecciona el organización, carpeta o cuenta de facturación que contiene el receptor.

La página Enrutador de registros contiene una tabla de resumen de los receptores. Cada tabla contiene información sobre las propiedades de un receptor:

  • Enabled: Indica si el estado del receptor está habilitado o inhabilitado.
  • Tipo: el servicio de destino del receptor. por ejemplo, Cloud Logging bucket.
  • Nombre: el identificador del receptor, tal como se proporcionó cuando se creó el receptor. por ejemplo, _Default.
  • Descripción: la descripción del receptor, como se proporcionó cuando se crear.
  • Destino: nombre completo del destino donde se encuentra el registro enrutado se enviarán las postulaciones.
  • Creado: La fecha y hora en que se creó el receptor.
  • Última actualización: La fecha y hora en que se editó el receptor por última vez.

Para cada fila de la tabla, el menú Más acciones proporciona las siguientes opciones:

  • Ver detalles del receptor: muestra el nombre, la descripción, servicio de destino, destino y filtros de inclusión y exclusión. Si seleccionas Editar, se abre el panel Editar receptor.
  • Editar receptor: Abre un panel de Editar receptor en el que puedes actualizar los parámetros del receptor.
  • Inhabilitar el receptor: te permite inhabilitar el receptor y dejar de enrutar registros al destino del receptor. Para obtener más información sobre cómo inhabilitar receptores, consulta Deja de almacenar registros en buckets de registros.
  • Habilitar el receptor: te permite habilitar un receptor inhabilitado y reiniciar los registros de enrutamiento al destino del receptor.
  • Borrar receptor: Te permite borrar el receptor y detener el enrutamiento de los registros al destino del receptor.
  • Solucionar problemas del receptor: Se abre el Explorador de registros, donde puedes solucionar problemas. errores con el receptor.
  • Ver las tasas de error y el volumen de registro del receptor: Se abre el Explorador de métricas. en la que puedes ver y analizar los datos del receptor.

Hacer clic en cualquiera de los nombres de columna te permite ordenar los datos de forma ascendente o descendente.

API

  • Para ver los receptores de tu proyecto de Google Cloud, llama a projects.sinks.list.

  • Para ver los detalles de un receptor, llama a projects.sinks.get.

  • Para actualizar un receptor, llama a projects.sink.update.

    Puedes actualizar el destino, los filtros y la descripción de un receptor. Puedes inhabilitar o volver a habilitar el receptor.

  • Para inhabilitar un receptor, llama a projects.sink.update y establece la propiedad disabled en true.

    Para volver a habilitar el receptor, llama a projects.sink.update y establece la propiedad disabled en false.

  • Para borrar un receptor, llama a projects.sinks.delete.

    Si quieres obtener más información sobre cualquiera de estos métodos para administrar receptores con la La API de Logging, consulta la referencia de LogSink.

gcloud

  • Para ver la lista de receptores de tu proyecto de Google Cloud, usa el gcloud logging sinks list que corresponde al método de la API de Logging projects.sinks.list:

    gcloud logging sinks list

    Para ver tu lista de receptores agregados, usa el marca correspondiente para especificar el recurso que contiene el receptor. Para Por ejemplo, si creaste el receptor a nivel de la organización, usa el --organization=ORGANIZATION_ID para ver para la organización.

  • Para describir un receptor, usa el comando gcloud logging sinks describe, que corresponde al método de la API de Logging projects.sinks.get:

    gcloud logging sinks describe SINK_NAME

  • Para actualizar un receptor, usa el gcloud logging sinks update que corresponde al método de la API projects.sink.update.

    Puedes actualizar un receptor para cambiar el destino, los filtros y descripción, o para inhabilitar o volver a habilitar el receptor:

    gcloud logging sinks update SINK_NAME NEW_DESTINATION --log-filter=NEW_FILTER

    Omite NEW_DESTINATION o --log-filter si esas partes no cambian.

    Por ejemplo, para actualizar el destino de tu receptor llamado my-project-sink a un destino de bucket nuevo de Cloud Storage llamado my-second-gcs-bucket, tu comando se verá de la siguiente manera:

    gcloud logging sinks update  my-project-sink  storage.googleapis.com/my-second-gcs-bucket

  • Para inhabilitar un receptor, usa el gcloud logging sinks update que corresponde al método de la API projects.sink.update: Incluye la marca --disabled:

    gcloud logging sinks update _Default  --disabled

    Para volver a habilitar el receptor, usa gcloud logging sinks update quita la marca --disabled y, luego, incluye el --no-disabled marca:

    gcloud logging sinks update _Default  --no-disabled

  • Para borrar un receptor, usa el gcloud logging sinks delete que corresponde al método de la API projects.sinks.delete:

    gcloud logging sinks delete SINK_NAME

    Para obtener más información sobre la administración de receptores Google Cloud CLI, consulta la Referencia de gcloud logging sinks.

Deja de almacenar registros en buckets de registros

Para cada proyecto de Google Cloud, Logging crea dos buckets de registro: _Required y _Default. Logging crea automáticamente dos receptores de registros, _Required y _Default, que enrutan los registros a los buckets con nombre correspondientes.

No puedes inhabilitar el receptor _Required. Puedes inhabilitar el receptor _Default para evitar que los registros se almacenen en _Default bucket. También puedes inhabilitar cualquier receptor definido por el usuario.

Cuando inhabilitas todos los receptores en tu proyecto de Google Cloud que envían registros al bucket _Default no se almacenan registros nuevos en ese bucket de registros. El bucket _Default está vacío cuando todos los registros almacenados previamente en la _Default bucket entregó la carga de período de retención.

Para inhabilitar los receptores del proyecto de Google Cloud que enrutan los registros a _Default, sigue estos pasos: de ese bucket, completa los siguientes pasos:

Console

  1. En la consola de Google Cloud, ve a la página Enrutador de registros:

    Ir a Enrutador de registros

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.

  2. Para encontrar todos los receptores que enrutan los registros al bucket _Default, filtra los receptores por destino y, luego, ingresa _Default.

    Encuentra todos los receptores que enrutan los registros al bucket predeterminado.

  3. Para cada receptor, selecciona Menú y Luego, selecciona Inhabilitar receptor.

Los receptores ahora están inhabilitados y el proyecto de Google Cloud no registros de rutas más largos al bucket _Default.

Para volver a habilitar un receptor inhabilitado y reiniciar el enrutamiento de registros al receptor destino, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página Enrutador de registros:

    Ir a Enrutador de registros

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.

  2. Para encontrar todos los receptores inhabilitados que se configuraron previamente para enrutar los registros al _Default, filtra los receptores por destino y, luego, ingresa _Default.

  3. En cada receptor, selecciona Menú y Luego, selecciona Habilitar receptor.

API

  1. Para ver los receptores de tu proyecto de Google Cloud, llama al Método de la API de Logging projects.sinks.list.

    Identifica los receptores que enrutan al bucket _Default.

  2. Por ejemplo, para inhabilitar el receptor _Default, llama a projects.sink.update y establece la propiedad disabled en true.

El receptor _Default ahora está inhabilitado. ya no enruta los registros a la _Default bucket.

Para inhabilitar los otros receptores en tu proyecto de Google Cloud que están enrutando al bucket _Default, repite los pasos anteriores.

Para volver a habilitar un receptor, llama a projects.sink.update y establece la propiedad disabled en false.

gcloud

  1. Para ver la lista de receptores de tu proyecto de Google Cloud, usa el gcloud logging sinks list que corresponde al método de la API de Logging projects.sinks.list:

    gcloud logging sinks list

  2. Identifica los receptores que enrutan al bucket _Default. Para describir un receptor y ver el nombre del destino, usa el gcloud logging sinks describe que corresponde al método de la API de Logging projects.sinks.get:

    gcloud logging sinks describe SINK_NAME

  3. Por ejemplo, para inhabilitar el receptor _Default, usa el gcloud logging sinks update e incluye la marca --disabled:

    gcloud logging sinks update _Default  --disabled

El receptor _Default ahora está inhabilitado. ya no enruta los registros a la _Default bucket.

Para inhabilitar los otros receptores en tu proyecto de Google Cloud que están enrutando al bucket _Default, repite los pasos anteriores.

Para volver a habilitar un receptor, usa el gcloud logging sinks update quita la marca --disabled y, luego, incluye el --no-disabled marca:

gcloud logging sinks update _Default  --no-disabled

Configura los permisos del destino

En esta sección, se describe cómo otorgar a Logging los permisos de Identity and Access Management para escribir los registros en el destino de tu receptor. Para obtener la lista completa de las funciones y los permisos de Logging, consulta Control de acceso.

Cloud Logging crea una cuenta de servicio compartida para un recurso cuando un receptor de registros, a menos que la cuenta de servicio requerida ya exista. La cuenta de servicio puede existir porque se usa la misma cuenta para todos los receptores en el recurso subyacente. Los recursos pueden ser un proyecto de Google Cloud, una organización, una carpeta o una cuenta de facturación.

La identidad de escritor de un receptor es el identificador del servicio. asociada con ese receptor. Todos los receptores tienen una identidad de escritor, excepto para los receptores que escriben en un bucket de registros en el proyecto actual de Google Cloud. Cuando el destino de un receptor es un bucket de registros en el proyecto de Google Cloud, el receptor no requiere permisos de destino. Por lo tanto, el valor del campo writer Identity aparece como None en la consola, y no se informan mediante la API ni los comandos de Google Cloud CLI.

A continuación, se incluyen las instrucciones para configurar Google Cloud a nivel de proyecto permisos para que tu receptor enrute a su destino. En lugar de un proyecto de Google Cloud, puedes especificar una cuenta de facturación, una carpeta organización:

Console

  1. Para obtener la identidad de escritor del receptor (una dirección de correo electrónico) de la receptor nuevo, haz lo siguiente:

    1. En la consola de Google Cloud, ve a la página Enrutador de registros:

      Ir a Enrutador de registros

      Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.

    2. Selecciona Menú y, luego, Ver detalles del receptor. La identidad del escritor aparece Panel Detalles del receptor.

  2. Si el valor del campo writerIdentity contiene una dirección de correo electrónico, y continúa con el siguiente paso. Cuando el valor es None, no necesitas configurar permisos de destino para el receptor.

  3. Para copiar la identidad de escritor del receptor en el portapapeles, Haz clic en Copy.

  4. Si tienes acceso de Propietario al destino, agrega el servicio. como una principal de IAM en el proyecto de destino:

    • Para los destinos de Cloud Storage, agrega la identidad de escritor del receptor como principal con IAM y, luego, otorgarle el Rol de Creador de objetos de almacenamiento (roles/storage.objectCreator).
    • Para los destinos de BigQuery, agrega la identidad de escritor del receptor como principal con IAM y, luego, otorgarle el Rol de editor de datos de BigQuery (roles/bigquery.dataEditor).
    • Para los destinos de Pub/Sub, incluido Splunk, agrega la identidad de escritor del receptor como principal con IAM y, luego, otorgarle el Rol de publicador de Pub/Sub (roles/pubsub.publisher).
    • Para los destinos de bucket de Logging en diferentes En proyectos de Google Cloud, agrega la identidad de escritor del receptor como una principal. con IAM y, luego, otorgarle Función de escritor de buckets de registros (roles/logging.bucketWriter).
    • Para los destinos de los proyectos de Google Cloud, agrega de escritor con la identidad de IAM y otorgarle Función de escritor de registros (roles/logging.logWriter). Específicamente, un principal necesita logging.logEntries.route.
    Si no tienes acceso de Propietario al destino del receptor, pídele a un propietario del proyecto que lo haga. agregar la identidad de escritor como principal.

API

  1. Llama al método de la API projects.sinks.list para mostrar los receptores de tu proyecto de Google Cloud.

  2. Ubica el receptor cuyos permisos deseas modificar y si el receptor los detalles contienen una clave JSON etiquetada como "writerIdentity" y, luego, al siguiente paso. Si los detalles no incluyen un "writerIdentity" no necesitas configurar permisos de destino para el receptor.

  3. Si tienes acceso de Propietario de IAM al destino, agrega la cuenta de servicio al destino de la siguiente manera:

    • Para los destinos de Cloud Storage, agrega la identidad de escritor del receptor como principal con IAM y, luego, otorgarle el Rol de Creador de objetos de almacenamiento (roles/storage.objectCreator).
    • Para los destinos de BigQuery, agrega la identidad de escritor del receptor como principal con IAM y, luego, otorgarle el Rol de editor de datos de BigQuery (roles/bigquery.dataEditor).
    • Para los destinos de Pub/Sub, incluido Splunk, agrega la identidad de escritor del receptor como principal con IAM y, luego, otorgarle el Rol de publicador de Pub/Sub (roles/pubsub.publisher).
    • Para los destinos de bucket de Logging en diferentes En proyectos de Google Cloud, agrega la identidad de escritor del receptor como una principal. con IAM y, luego, otorgarle Función de escritor de buckets de registros (roles/logging.bucketWriter).
    • Para los destinos de los proyectos de Google Cloud, agrega de escritor con la identidad de IAM y otorgarle Función de escritor de registros (roles/logging.logWriter). Específicamente, un principal necesita logging.logEntries.route.
    Si no tienes acceso de Propietario al destino del receptor, pídele a un propietario del proyecto que lo haga. agregar la identidad de escritor como principal.

gcloud

  1. Obtén la cuenta de servicio del campo writerIdentity en tu receptor:

    gcloud logging sinks describe SINK_NAME

  2. Ubica el receptor cuyos permisos deseas modificar y si el receptor los detalles contienen una línea con writerIdentity, luego, al siguiente paso. Si los detalles no incluyen un writerIdentity no necesitas configurar permisos de destino para el fregadero.

    El valor del campo SERVICE_ACCT_NAME en la siguiente variable es la identidad del escritor, que es similar a lo siguiente:

    serviceAccount:service-123456789012@gcp-sa-logging.iam.gserviceaccount.com

  3. Si tienes acceso de Propietario de IAM al destino, agrega la cuenta de servicio al destino de la siguiente manera:

    • Para los destinos de Cloud Storage, agrega la identidad de escritor del receptor como principal con IAM y, luego, otorgarle el Rol de Creador de objetos de almacenamiento (roles/storage.objectCreator).
    • Para los destinos de BigQuery, agrega la identidad de escritor del receptor como principal con IAM y, luego, otorgarle el Rol de editor de datos de BigQuery (roles/bigquery.dataEditor).
    • Para los destinos de Pub/Sub, incluido Splunk, agrega la identidad de escritor del receptor como principal con IAM y, luego, otorgarle el Rol de publicador de Pub/Sub (roles/pubsub.publisher).
    • Para los destinos de bucket de Logging en diferentes En proyectos de Google Cloud, agrega la identidad de escritor del receptor como una principal. con IAM y, luego, otorgarle Función de escritor de buckets de registros (roles/logging.bucketWriter).
    • Para los destinos de los proyectos de Google Cloud, agrega de escritor con la identidad de IAM y otorgarle Función de escritor de registros (roles/logging.logWriter). Específicamente, un principal necesita logging.logEntries.route.
    Si no tienes acceso de Propietario al destino del receptor, pídele a un propietario del proyecto que lo haga. agregar la identidad de escritor como principal.

    Por ejemplo, para otorgar el rol de escritor de registros (roles/logging.logWriter) rol a la cuenta de servicio service-123456789012@gcp-sa-logging.iam.gserviceaccount.com en la para el proyecto my-test-project, ejecuta el siguiente comando:

    gcloud projects add-iam-policy-binding my-test-project --member='serviceAccount:service-123456789012@gcp-sa-logging.iam.gserviceaccount.com' --role='roles/logging.logWriter'

Limitaciones de destino

Según el destino al que enrutes tus registros, puede haber las limitaciones de seguridad.

Enruta a buckets de registros en diferentes proyectos de Google Cloud

Las siguientes limitaciones se aplican cuando enrutas tus registros a buckets de registros diferentes proyectos de Google Cloud:

  • Error Reporting está inhabilitado en registros almacenados en buckets de registros que usan claves de encriptación administradas por el cliente.

Enrutar a diferentes proyectos de Google Cloud

Las siguientes limitaciones se aplican cuando enrutas tus registros a diferentes Proyectos de Google Cloud:

  • Hay un límite de un salto. Por ejemplo, si enrutas las entradas de registro desde A al proyecto B, entonces no puedes enrutar las entradas de registro del proyecto B a proyecto diferente.

  • Los registros de auditoría no se enrutan al bucket _Required en el destino. en un proyecto final. Debes crear otro receptor o bucket para almacenarlos.

  • Si la organización o carpeta que contiene el proyecto de Google Cloud que a los que enrutas tiene receptores agregados existentes, los registros no se enrutan por esos receptores agregados.

Muestras de código

Si quieres usar el código de la biblioteca cliente para configurar receptores en los idiomas que elegiste, consulta Bibliotecas cliente de Logging: Receptores de registros.

Filtra ejemplos

Estos son algunos ejemplos de filtros que resultan particularmente útiles al crear lavamanos.

Para ver más ejemplos que podrían ser útiles a medida que desarrollas tu inclusión y filtros de exclusión, consulta Consultas de muestra.

Restablece el filtro de receptor _Default

Si editaste el filtro para el receptor _Default, es posible que quieras restablecer su filtro predeterminado. Para hacerlo, ingresa el siguiente filtro de inclusión:

  NOT log_id("cloudaudit.googleapis.com/activity") AND NOT \
  log_id("externalaudit.googleapis.com/activity") AND NOT \
  log_id("cloudaudit.googleapis.com/system_event") AND NOT \
  log_id("externalaudit.googleapis.com/system_event") AND NOT \
  log_id("cloudaudit.googleapis.com/access_transparency") AND NOT \
  log_id("externalaudit.googleapis.com/access_transparency")

Excluye los registros de contenedores y Pods de Google Kubernetes Engine

Para excluir los registros de contenedores y Pods de Google Kubernetes Engine para El sistema de GKE namespaces usa el siguiente filtro:

resource.type = ("k8s_container" OR "k8s_pod")
resource.labels.namespace_name = (
"cnrm-system" OR
"config-management-system" OR
"gatekeeper-system" OR
"gke-connect" OR
"gke-system" OR
"istio-system" OR
"knative-serving" OR
"monitoring-system" OR
"kube-system")

Excluir los registros de nodos de Google Kubernetes Engine para el sistema de GKE logNames, usa el siguiente filtro:

resource.type = "k8s_node"
logName:( "logs/container-runtime" OR
"logs/docker" OR
"logs/kube-container-runtime-monitor" OR
"logs/kube-logrotate" OR
"logs/kube-node-configuration" OR
"logs/kube-node-installation" OR
"logs/kubelet" OR
"logs/kubelet-monitor" OR
"logs/node-journal" OR
"logs/node-problem-detector")

Para ver el volumen del nodo de Google Kubernetes Engine, pod y contenedores almacenados en buckets de registros, usa Explorador de métricas en Cloud Monitoring.

Excluye los registros de Dataflow que no son necesarios para la compatibilidad

Para excluir los registros de Dataflow que no se requieren supportability, usa el siguiente filtro:

resource.type="dataflow_step"
labels."dataflow.googleapis.com/log_type"!="system" AND labels."dataflow.googleapis.com/log_type"!="supportability"

Para ver el volumen de registros de Dataflow almacenados en buckets de registros, usa Explorador de métricas en Cloud Monitoring.

Compatibilidad

Mientras que Cloud Logging te brinda la capacidad de excluir registros almacenados en un bucket de registros, podría considerar mantener registros que ayuden con la compatibilidad. Usar estos registros puede ayudarte a identificar y solucionar problemas con rapidez tus aplicaciones.

Por ejemplo, los registros del sistema de GKE son útiles para solucionar para tus aplicaciones y clústeres de GKE generados para los eventos que ocurren en tu clúster. Estos registros pueden ayudarte determinar si el código de la aplicación o el entorno GKE clúster está causando el error de la aplicación. Registros del sistema de GKE también incluirán el registro de auditoría de Kubernetes que genera el servidor de la API de Kubernetes que incluye los cambios realizados con el comando de kubectl y Kubernetes eventos.

Para Dataflow, recomendamos que, como mínimo, escribas tu sistema registros (labels."dataflow.googleapis.com/log_type"="system") y compatibilidad registros (labels."dataflow.googleapis.com/log_type"="supportability") a buckets de registros. Estos registros son esenciales para que los desarrolladores observen y solucionen problemas de susDataflowo de procesamiento, y es posible que los usuarios no puedan usar En la página Detalles del trabajo, podrás ver los registros del trabajo.

¿Qué sigue?