Enruta registros a destinos compatibles.

En este documento, se explica cómo crear y administrar receptores para enrutar entradas de registro a destinos compatibles.

Cloud Logging crea y administra de forma automática una cuenta de servicio para los receptores de registros que enrutan registros a un destino que no es un bucket de registros en el proyecto actual de Google Cloud. Puedes crear y administrar una cuenta de servicio que los receptores usen en varios proyectos. Para obtener más información, consulta Configura receptores de registros con cuentas de servicio administradas por el usuario.

Descripción general

Los receptores controlan cómo Cloud Logging enruta los registros. Con los receptores, puedes enrutar algunos o todos tus registros a los siguientes destinos:

  • Buckets de registros de Cloud Logging: Proporciona almacenamiento en Cloud Logging. Un bucket de registros puede almacenar registros que reciben varios proyectos de Google Cloud. Puedes combinar tus datos de Cloud Logging con otros datos si actualizas un bucket de registros para usar el análisis de registros y, luego, creas un conjunto de datos de BigQuery vinculado. Para obtener información sobre cómo ver los registros almacenados en buckets de registros, consulta Descripción general de consultas y vistas de registros y Visualiza los registros enrutados a buckets de Cloud Logging.
  • Proyectos de Google Cloud: Enruta las entradas de registro a un proyecto de Google Cloud diferente. Cuando enrutas registros a un proyecto de Google Cloud diferente, el enrutador de registros del proyecto de destino recibe los registros y los procesa. Los receptores en el proyecto de destino determinan cómo se enrutan las entradas de registro recibidas. Error Reporting no puede analizar las entradas de registro que se enrutan a un proyecto de Google Cloud diferente.
  • Temas de Pub/Sub: Proporciona compatibilidad con integraciones de terceros, como Splunk. Las entradas de registro se formatean en JSON y, luego, se enrutan a un tema de Pub/Sub. Para obtener información sobre cómo ver los registros enrutados a Pub/Sub, consulta Visualiza los registros enrutados a Pub/Sub.
  • Conjuntos de datos de BigQuery: Proporciona almacenamiento de entradas de registro en conjuntos de datos de BigQuery. Puedes usar capacidades de análisis de macrodatos en los registros almacenados. A fin de combinar tus datos de Cloud Logging con otras fuentes de datos, te recomendamos que actualices tus buckets de registros para usar el análisis de registros y, luego, crees un conjunto de datos de BigQuery vinculado. Para obtener información sobre cómo ver los registros enrutados a BigQuery, consulta Visualiza los registros enrutados a BigQuery.
  • Depósitos de Cloud Storage: Proporciona almacenamiento de datos de registro en Cloud Storage. Las entradas de registro se almacenan como archivos JSON. Para obtener información sobre cómo ver los registros enrutados a Cloud Storage, consulta Visualiza los registros enrutados a Cloud Storage.

Los receptores pertenecen a un recurso determinado de Google Cloud: proyectos de Google Cloud, cuentas de facturación, carpetas y organizaciones. Cuando el recurso recibe una entrada de registro, la enruta según los receptores que contiene ese recurso. La entrada de registro se envía al destino asociado a cada receptor coincidente.

Un receptor agregado es un tipo de receptor que combina y enruta entradas de registro de los recursos de Google Cloud que contiene una organización o carpeta. Para obtener instrucciones, consulta Recopila y enruta registros a nivel de la organización a destinos compatibles.

Para crear y administrar receptores, puedes usar la consola de Google Cloud, la API de Cloud Logging y Google Cloud CLI. Usar la consola de Google Cloud tiene las siguientes ventajas sobre los otros métodos:

  • Mira y administra todos tus lavabos en un solo lugar.
  • Obtén una vista previa de qué entradas de registro coinciden con el filtro de tu receptor antes de crearlo.
  • Crea y autoriza destinos de receptores para tus receptores.

Antes de comenzar

En las instrucciones de este documento, se describe cómo crear y administrar receptores a nivel de proyecto de Google Cloud, pero puedes crear receptores (no agregados) para cuentas de facturación, carpetas y organizaciones.

Para comenzar, haz lo siguiente:

  1. Tienes un proyecto de Google Cloud con registros que puedes ver en el Explorador de registros.

  2. A fin de crear, modificar o borrar un receptor, debes tener una de las siguientes funciones de Identity and Access Management para el proyecto de Google Cloud desde el que enrutas los registros.

    • Escritor de configuración de registros (roles/logging.configWriter)
    • Administrador de Logging (roles/logging.admin)
    • Propietario (roles/owner)

    Para obtener información sobre cómo otorgar funciones de IAM, consulta la Guía de control de acceso de Logging.

  3. Tienes un recurso en un destino admitido o tienes la capacidad de crear uno.

    Para enrutar los registros a un destino, el destino debe existir antes de crear el receptor. Puedes crear el destino en cualquier proyecto de Google Cloud de cualquier organización.

    Es posible que se apliquen algunas limitaciones cuando enrutes tus registros a otros destinos. Para obtener más información, consulta Limitaciones del destino.

Crea un receptor

A continuación, se brindan las instrucciones para crear un receptor en un proyecto de Google Cloud. En lugar de un proyecto de Google Cloud, puedes especificar una cuenta de facturación, una carpeta o una organización.

Puedes crear hasta 200 receptores por proyecto de Google Cloud.

Después de crear el receptor, asegúrate de que Logging tenga los permisos adecuados para escribir registros en el destino de tu receptor; consulta Configura permisos de destino.

Para crear un receptor, haz lo siguiente:

Consola

  1. En la consola de Google Cloud, selecciona Logging y, luego, Enrutador de registros, o haz clic en el siguiente botón:

    Ir al Enrutador de registros

  2. Selecciona un proyecto de Google Cloud existente.

  3. Selecciona Crear receptor.

  4. En el panel Detalles del receptor, ingresa los siguientes detalles:

    • Nombre del receptor: proporciona un identificador para el receptor; ten en cuenta que, después de crear el receptor, no puedes cambiarle el nombre, pero puedes borrarlo y crear uno nuevo.

    • Descripción del receptor (opcional): Describe el propósito o el caso de uso del receptor.

  5. En el panel Destino del receptor, selecciona el servicio y el destino del receptor con el menú Seleccionar el servicio del receptor.

    1. Para enrutar registros a un servicio que se encuentra en el mismo proyecto de Google Cloud, selecciona una de las siguientes opciones:

      • Bucket de Cloud Logging: selecciona o crea un bucket de Logging.
      • Tabla de BigQuery: selecciona o crea el conjunto de datos particular para recibir los registros enrutados. También tienes la opción de usar tablas particionadas.
      • Bucket de Cloud Storage: Selecciona o crea el bucket de Cloud Storage en particular para recibir los registros enrutados.
      • Tema de Pub/Sub: selecciona o crea el tema específico para recibir los registros enrutados.
      • Splunk: Selecciona el tema de Pub/Sub para el servicio de Splunk.
      • Otro proyecto: Propaga el campo Destino del receptor como se describe en Formatos de ruta de destino.

  6. En el panel Elige registros para incluirlos en el receptor, haz lo siguiente:

    1. En el campo Crear filtro de inclusión, ingresa una expresión de filtro que coincida con las entradas de registro que deseas incluir. Si quieres obtener más información sobre la sintaxis para escribir filtros, consulta Lenguaje de consulta de Logging.

      Si no estableces un filtro, todos los registros del recurso seleccionado se enrutarán al destino.

      Por ejemplo, es posible que desees compilar un filtro para enrutar todos los registros de acceso a los datos a un solo bucket de Logging. Este filtro se verá de la siguiente manera:

      log_id("cloudaudit.googleapis.com/data_access") OR log_id("externalaudit.googleapis.com/data_access")

      Ten en cuenta que la longitud de un filtro no puede superar los 20,000 caracteres.

    2. Para verificar que ingresaste el filtro correcto, selecciona Obtener vista previa de los registros. Esto abrirá el Explorador de registros en una pestaña nueva con el filtro ya propagado.

  7. En el panel Elige registros para filtrar fuera del receptor, haz lo siguiente (opcional):

    1. En el campo Nombre del filtro de exclusión, ingresa un nombre.

    2. En el campo Compila un filtro de exclusión, ingresa una expresión de filtro que coincida con las entradas de registro que deseas excluir. También puedes usar la función sample para seleccionar una parte de las entradas de registro que deseas excluir.

    Puedes crear hasta 50 filtros de exclusión por receptor. Ten en cuenta que la longitud de un filtro no puede superar los 20,000 caracteres.

  8. Selecciona Crear receptor.

API

  1. Para crear un receptor de registros en tu proyecto de Google Cloud, usa projects.sinks.create en la API de Logging. En el objeto LogSink, proporciona los valores necesarios apropiados en el cuerpo de la solicitud del método:

    • name: Un identificador para el receptor. Ten en cuenta que, después de crear el receptor, no puedes cambiarle el nombre, pero puedes borrarlo y crear uno nuevo.

    • destination: El servicio y el destino a los que deseas que se enruten tus registros. Para enrutar registros a un proyecto diferente o a un destino que se encuentra en otro proyecto, configura el campo destination con la ruta de acceso adecuada, como se describe en Formatos de ruta de destino.

      Por ejemplo, si el destino de tu receptor es un conjunto de datos de BigQuery, destination se verá de la siguiente manera:

      bigquery.googleapis.com/projects/PROJECT_ID/datasets/DATASET_ID

  2. En el objeto LogSink, proporciona la información opcional adecuada:

    • filter : Configura la propiedad filter para que coincida con las entradas de registro que deseas incluir en tu receptor. Si no configuras un filtro, todos los registros de tu proyecto de Google Cloud se enrutan al destino. Ten en cuenta que la longitud de un filtro no puede superar los 20,000 caracteres.
    • exclusions: Configura esta propiedad para que coincida con las entradas de registro que deseas excluir de tu receptor. También puedes usar la función sample para seleccionar una parte de las entradas de registro que deseas excluir. Puedes crear hasta 50 filtros de exclusión por receptor.
    • description: Configura esta propiedad para describir el propósito o caso de uso del receptor.

  3. Llama a projects.sinks.create para crear el receptor.

  4. Si la respuesta de la API contiene una clave JSON etiquetada como "writerIdentity", otorga a la cuenta de servicio del receptor el permiso para escribir en el destino del receptor. Para obtener más información, consulta Cómo establecer permisos de destino.

    No necesitas establecer permisos de destino cuando la respuesta de la API no contiene una clave JSON etiquetada como "writerIdentity".

Para obtener más información sobre cómo crear receptores con la API de Logging, consulta la referencia de LogSink.

gcloud

Para crear un receptor, ejecuta el siguiente comando:gcloud logging sinks create

Proporciona los valores adecuados para las variables en el comando de la siguiente manera:

  • SINK_NAME: Un identificador para el receptor. Ten en cuenta que, después de crear el receptor, no puedes cambiarle el nombre, pero puedes borrarlo y crear uno nuevo.

  • SINK_DESTINATION: El servicio y el destino al que deseas enrutar los registros Para enrutar registros a un proyecto diferente o a un destino que se encuentra en otro proyecto, configura SINK_DESTINATION con la ruta de acceso adecuada, como se describe en Formatos de ruta de destino.

    Por ejemplo, si el destino de tu receptor es un conjunto de datos de BigQuery, SINK_DESTINATION se ve de la siguiente manera:

    bigquery.googleapis.com/projects/PROJECT_ID/datasets/DATASET_ID

  • OPTIONAL_FLAGS incluye las siguientes marcas:

    • --log-filter : Usa esta marca para establecer un filtro que coincida con las entradas de registro que deseas incluir en tu receptor. Si no configuras un filtro, todos los registros de tu proyecto de Google Cloud se enrutan al destino.
    • --exclusion: Usa esta marca a fin de establecer un filtro de exclusión para las entradas de registro que deseas excluir de tu receptor. También puedes usar la función sample para seleccionar una parte de las entradas de registro que deseas excluir. Esta marca se puede repetir y puedes crear hasta 50 filtros de exclusión por receptor.
    • --description: Usa esta marca para describir el propósito o caso de uso del receptor.
gcloud logging sinks create SINK_NAME SINK_DESTINATION OPTIONAL_FLAGS

Por ejemplo, para crear un receptor en un bucket de Logging, tu comando podría verse de la siguiente manera:

gcloud logging sinks create my-sink logging.googleapis.com/projects/myproject123/locations/global/buckets/my-bucket \
  --log-filter='logName="projects/myproject123/logs/matched"' --description="My first sink"

Para obtener más información sobre cómo crear receptores con Google Cloud CLI, incluidas más marcas y ejemplos, consulta la referencia de gcloud logging sinks.

Los nuevos receptores de registros en los buckets de Cloud Storage pueden tardar varias horas en comenzar a enrutar los registros. Los receptores de Cloud Storage se procesan por hora, mientras que otros tipos de destino se procesan en tiempo real.

Los receptores no definen el esquema para los conjuntos de datos de BigQuery. En cambio, la primera entrada de registro que recibe BigQuery determina el esquema para la tabla de destino. A fin de obtener más información, consulta Esquema de BigQuery para registros enrutados.

Para obtener información sobre cómo ver los registros en los destinos de los receptores, consulta Visualiza los registros enrutados a los buckets de Cloud Logging.

Después de crear el receptor, puedes ver la cantidad y el volumen de las entradas de registro recibidas mediante las métricas de logging.googleapis.com/exports/.

Si recibes notificaciones de error, consulta Soluciona problemas de enrutamiento y receptores.

No coloques información sensible en los filtros de receptores. Los filtros de receptores se tratan como datos de servicio.

Formatos de la ruta de destino

Si enrutas a un destino que se encuentra en otro proyecto, debes proporcionar la información de destino y el servicio de Logging, BigQuery, Cloud Storage o Pub/Sub:

  • Para enrutar entradas de registro a un bucket de registros de Cloud Logging que se encuentra en un proyecto de Google Cloud diferente, el destino del receptor es el siguiente:

    logging.googleapis.com/projects/DESTINATION_PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME

  • Para enrutar entradas de registro a otro proyecto de Google Cloud, la ruta de destino del receptor es la siguiente:

    logging.googleapis.com/projects/DESTINATION_PROJECT_ID

  • Para enrutar entradas de registro a un conjunto de datos de BigQuery, el destino del receptor es el siguiente:

    bigquery.googleapis.com/projects/PROJECT_ID/datasets/DATASET_ID

  • Para enrutar entradas de registro a un bucket de Cloud Storage, el destino del receptor es el siguiente:

    storage.googleapis.com/BUCKET_NAME

  • Para enrutar entradas de registro a un tema de Pub/Sub, el destino del receptor es el siguiente:

    pubsub.googleapis.com/projects/PROJECT_ID/topics/TOPIC_ID

Administra los receptores

Después de crear tus receptores, puedes realizar las siguientes acciones en ellos:

  • Ver detalles del receptor
  • Actualizar el receptor
  • Inhabilitar receptor
  • Borrar receptor
  • Solucionar problemas del receptor
  • Visualiza las tasas de error y el volumen de registro del receptor

Antes de borrar un receptor, considera lo siguiente:

  • No puedes borrar los receptores _Default y _Required, pero puedes inhabilitar los receptores _Default para detener el enrutamiento de registros a los buckets de Logging _Default.
  • Después de borrar un receptor, deja de enrutar las entradas de registro.
  • Si el receptor tiene una cuenta de servicio dedicada, borrarla también borra la cuenta de servicio. Los receptores creados antes del 22 de mayo de 2023 tienen cuentas de servicio dedicadas. Los receptores creados a partir del 22 de mayo de 2023 tienen una cuenta de servicio compartida. Si borras el receptor, no se borrará la cuenta de servicio compartida.

Cualquier cambio realizado en un receptor puede tardar unos minutos en aplicarse.

A continuación, se brindan las instrucciones para administrar un receptor en un proyecto de Google Cloud. En lugar de un proyecto de Google Cloud, puedes especificar una cuenta de facturación, una carpeta o una organización:

Consola

  1. En la consola de Google Cloud, selecciona Logging y, luego, Enrutador de registros, o haz clic en el siguiente botón:

    Ir al Enrutador de registros

  2. Selecciona el proyecto de Google Cloud que contiene tu receptor mediante el selector de recursos desde cualquier lugar de la consola de Google Cloud:

    Se selecciona un proyecto desde el menú desplegable

  3. Para ver tus receptores agregados, selecciona la organización, la carpeta o la cuenta de facturación que contiene el receptor.

La página Enrutador de registros contiene una tabla de resumen de los receptores. Cada fila de la tabla contiene información sobre las propiedades de un receptor:

  • Habilitado: Indica si el estado del receptor está habilitado o inhabilitado.
  • Tipo: Es el servicio de destino del receptor; por ejemplo, Cloud Logging bucket.
  • Nombre: El identificador del receptor, como se proporcionó cuando se creó el receptor; por ejemplo, _Default.
  • Descripción: La descripción del receptor, tal como se proporcionó cuando se creó el receptor.
  • Destino: Es el nombre completo del destino al que se enviarán las entradas de registro enrutadas.
  • Creado: La fecha y la hora en que se creó el receptor.
  • Última actualización: La fecha y hora en que se editó el receptor por última vez.

Para cada fila de la tabla, el menú Más acciones proporciona las siguientes opciones:

  • Ver detalles del receptor: Muestra el nombre, la descripción, el servicio de destino, el destino y los filtros de inclusión y exclusión del receptor. Si seleccionas Editar, se abrirá el panel Editar receptor.
  • Editar receptor: Abre un panel de Editar receptor en el que puedes actualizar los parámetros del receptor.
  • Inhabilitar el receptor: te permite inhabilitar el receptor y dejar de enrutar registros al destino del receptor. Para obtener más información sobre cómo inhabilitar receptores, consulta Deja de almacenar registros en buckets de registros.
  • Habilitar el receptor: te permite habilitar un receptor inhabilitado y reiniciar los registros de enrutamiento al destino del receptor.
  • Borrar receptor: Te permite borrar el receptor y detener el enrutamiento de los registros al destino del receptor.
  • Receptor de solución de problemas: abre el Explorador de registros, en el que puedes solucionar errores del receptor.
  • Ver el volumen de registro del receptor y las tasas de error: Abre el Explorador de métricas en el que puedes ver y analizar los datos del receptor.

Hacer clic en cualquiera de los nombres de columna te permite ordenar los datos de forma ascendente o descendente.

API

  • Para ver los receptores de tu proyecto de Google Cloud, llama a projects.sinks.list.

  • Para ver los detalles de un receptor, llama a projects.sinks.get.

  • Para actualizar un receptor, llama a projects.sink.update.

    Puedes actualizar el destino, los filtros y la descripción de un receptor. También puedes inhabilitar o volver a habilitar el receptor.

  • Para inhabilitar un receptor, llama a projects.sink.update y establece la propiedad disabled en true.

    Para volver a habilitar el receptor, llama a projects.sink.update y establece la propiedad disabled en false.

  • Para borrar un receptor, llama a projects.sinks.delete.

    Si quieres obtener más información sobre cualquiera de estos métodos para administrar receptores con la API de Logging, consulta la referencia de LogSink.

gcloud

  • Para ver la lista de receptores de tu proyecto de Google Cloud, usa el comando gcloud logging sinks list, que corresponde al método de la API de Logging projects.sinks.list:

    gcloud logging sinks list

    Para ver tu lista de receptores agregados, usa la marca adecuada a fin de especificar el recurso que contiene el receptor. Por ejemplo, si creaste el receptor a nivel de la organización, usa la marca --organization=ORGANIZATION_ID para enumerar los receptores de la organización.

  • Para describir un receptor, usa el comando gcloud logging sinks describe, que corresponde al método de la API de Logging projects.sinks.get:

    gcloud logging sinks describe SINK_NAME

  • Para actualizar un receptor, usa el comando gcloud logging sinks update, que corresponde al método de la API projects.sink.update.

    Puedes actualizar un receptor a fin de cambiar el destino, los filtros y la descripción, o inhabilitar o volver a habilitar el receptor:

    gcloud logging sinks update SINK_NAME NEW_DESTINATION --log-filter=NEW_FILTER

    Omite NEW_DESTINATION o --log-filter si esas partes no cambian.

    Por ejemplo, para actualizar el destino de tu receptor llamado my-project-sink a un destino de bucket nuevo de Cloud Storage llamado my-second-gcs-bucket, tu comando se ve de la siguiente manera:

    gcloud logging sinks update  my-project-sink  storage.googleapis.com/my-second-gcs-bucket

  • Para inhabilitar un receptor, usa el comando gcloud logging sinks update, que corresponde al método de la API projects.sink.update, y agrega la marca --disabled:

    gcloud logging sinks update _Default  --disabled

    Para volver a habilitar el receptor, usa el comando gcloud logging sinks update, quita la marca --disabled y, luego, incluye la marca --no-disabled:

    gcloud logging sinks update _Default  --no-disabled

  • Para borrar un receptor, usa el comando gcloud logging sinks delete, que corresponde al método de la API projects.sinks.delete:

    gcloud logging sinks delete SINK_NAME

    Para obtener más información sobre cómo administrar los receptores mediante Google Cloud CLI, consulta la referencia de gcloud logging sinks.

Deja de almacenar registros en buckets de registros

Para cada proyecto de Google Cloud, Logging crea dos buckets de registro de forma automática: _Required y _Default. Logging crea automáticamente dos receptores de registros, _Required y _Default, que enrutan los registros a los buckets con nombre correspondientes.

No puedes inhabilitar el receptor _Required. Puedes inhabilitar el receptor _Default para evitar que los registros se almacenen en el bucket _Default. También puedes inhabilitar cualquier receptor definido por el usuario.

Cuando inhabilitas todos los receptores de tu proyecto de Google Cloud que envían registros al bucket _Default, no se almacenan registros nuevos en ese bucket de registros. El bucket _Default estará vacío cuando todos los registros almacenados con anterioridad en el bucket _Default completaron el período de retención del bucket.

Para inhabilitar los receptores de proyectos de Google Cloud que enrutan registros al bucket _Default, completa los siguientes pasos:

Consola

  1. En la consola de Google Cloud, selecciona Logging y, luego, Enrutador de registros, o haz clic en el siguiente botón:

    Ir al Enrutador de registros

  2. Para encontrar todos los receptores que enrutan los registros al bucket _Default, filtra los receptores por destino y, luego, ingresa _Default.

    Encuentra todos los receptores que enrutan registros al bucket predeterminado.

  3. Por cada receptor, selecciona Menú y, luego, Inhabilitar receptor.

Los receptores ahora están inhabilitados y el proyecto de Google Cloud ya no recibe los registros de ruta al bucket _Default.

Para volver a habilitar un receptor inhabilitado y reiniciar los registros de enrutamiento al destino del receptor, haz lo siguiente:

  1. En la consola de Google Cloud, selecciona Logging y, luego, Enrutador de registros, o haz clic en el siguiente botón:

    Ir al Enrutador de registros

  2. A fin de encontrar todos los receptores inhabilitados que se configuraron antes para enrutar los registros al bucket _Default, filtra los receptores por destino y, luego, ingresa _Default.

  3. Para cada receptor, selecciona Menú y, luego, Habilitar receptor.

API

  1. Para ver los receptores de tu proyecto de Google Cloud, llama al método de la API de Logging projects.sinks.list.

    Identifica los receptores que se enrutan al bucket _Default.

  2. Por ejemplo, para inhabilitar el receptor _Default, llama a projects.sink.update y establece la propiedad disabled en true.

El receptor _Default ahora está inhabilitado; ya no enruta registros al bucket _Default.

Para inhabilitar los otros receptores de tu proyecto de Google Cloud que se enrutan al bucket _Default, repite los pasos anteriores.

Para volver a habilitar un receptor, llama a projects.sink.update y establece la propiedad disabled en false.

gcloud

  1. Para ver la lista de receptores de tu proyecto de Google Cloud, usa el comando gcloud logging sinks list, que corresponde al método de la API de Logging projects.sinks.list:

    gcloud logging sinks list

  2. Identifica los receptores que se enrutan al bucket _Default. Para describir un receptor, incluida la visualización del nombre de destino, usa el comando gcloud logging sinks describe, que corresponde al método de la API de Logging projects.sinks.get:

    gcloud logging sinks describe SINK_NAME

  3. Por ejemplo, para inhabilitar el receptor _Default, usa el comando gcloud logging sinks update y agrega la marca --disabled:

    gcloud logging sinks update _Default  --disabled

El receptor _Default ahora está inhabilitado; ya no enruta registros al bucket _Default.

Para inhabilitar los otros receptores de tu proyecto de Google Cloud que se enrutan al bucket _Default, repite los pasos anteriores.

Para volver a habilitar un receptor, usa el comando gcloud logging sinks update, quita la marca --disabled y, luego, incluye la marca --no-disabled:

gcloud logging sinks update _Default  --no-disabled

Configura permisos de destino

En esta sección, se describe cómo otorgar a Logging los permisos de Identity and Access Management para escribir los registros en el destino de tu receptor. Para obtener la lista completa de las funciones y los permisos de Logging, consulta Control de acceso.

Cloud Logging crea una cuenta de servicio compartida para un recurso cuando se crea un receptor de registros, a menos que la cuenta de servicio requerida ya exista. La cuenta de servicio puede existir porque se usa la misma cuenta de servicio para todos los receptores en el recurso subyacente. Los recursos pueden ser un proyecto de Google Cloud, una organización, una carpeta o una cuenta de facturación.

La identidad de escritor de un receptor es el identificador de la cuenta de servicio asociada con ese receptor. Todos los receptores tienen una identidad de escritor, excepto los que escriben en un bucket de registros del proyecto actual de Google Cloud. Cuando el destino de un receptor es un bucket de registros en el proyecto actual de Google Cloud, el receptor no requiere ningún permiso de destino adicional. Por lo tanto, el valor del campo Identidad de escritor aparece como None en la consola, y la API y los comandos de Google Cloud CLI no lo informan.

A continuación, se brindan las instrucciones para configurar los permisos a nivel de proyecto de Google Cloud a fin de que tu receptor se enrute a su destino. En lugar de un proyecto de Google Cloud, puedes especificar una cuenta de facturación, una carpeta o una organización:

Consola

  1. Para obtener la identidad de escritor del receptor (una dirección de correo electrónico) desde el receptor nuevo, haz lo siguiente:

    1. En la consola de Google Cloud, selecciona Logging y, luego, Enrutador de registros, o haz clic en el siguiente botón:

      Ir al Enrutador de registros

    2. Selecciona Menú y, luego, Ver detalles del receptor. La identidad de escritor aparece en el panel Detalles del receptor.

  2. Si el valor del campo writerIdentity contiene una dirección de correo electrónico, continúa con el siguiente paso. Cuando el valor es None, no necesitas configurar los permisos de destino para el receptor.

  3. Para copiar la identidad de escritor del receptor en el portapapeles, haz clic en Copiar.

  4. Si tienes acceso de Propietario al destino, agrega la cuenta de servicio como una principal de IAM en el proyecto de destino:

    • Para los destinos de Cloud Storage, agrega la identidad de escritor del receptor como una principal mediante IAM y, luego, otórgale el rol de Creador de objetos de almacenamiento (roles/storage.objectCreator).
    • Para los destinos de BigQuery, agrega la identidad de escritor del receptor como una principal mediante IAM y, luego, otórgale el rol de editor de datos de BigQuery (roles/bigquery.dataEditor).
    • Para los destinos de Pub/Sub, incluido Splunk, agrega la identidad de escritor del receptor como una principal mediante IAM y, luego, otórgale el rol de Publicador de Pub/Sub (roles/pubsub.publisher).
    • Para los destinos de buckets de Logging en diferentes proyectos de Google Cloud, agrega la identidad de escritor del receptor como una principal mediante IAM y, luego, otórgale el rol de escritor del bucket de registros (roles/logging.bucketWriter).
    • Para los destinos de proyectos de Google Cloud, agrega la identidad de escritor del receptor como una principal mediante IAM y, luego, otórgale el rol de escritor de registros (roles/logging.logWriter). Específicamente, una principal necesita el permiso logging.logEntries.route.
    Si no tienes acceso de Propietario al destino del receptor, pídele a un propietario del proyecto que agregue la identidad de escritor como principal.

API

  1. Llama al método de la API projects.sinks.list para enumerar los receptores en tu proyecto de Google Cloud.

  2. Ubica el receptor cuyos permisos deseas modificar y, si los detalles del receptor contienen una clave JSON etiquetada como "writerIdentity", continúa con el siguiente paso. Cuando los detalles no incluyen un campo "writerIdentity", no necesitas configurar los permisos de destino para el receptor.

  3. Si tienes acceso de Propietario de IAM al destino, agrega la cuenta de servicio al destino de la siguiente manera:

    • Para los destinos de Cloud Storage, agrega la identidad de escritor del receptor como una principal mediante IAM y, luego, otórgale el rol de Creador de objetos de almacenamiento (roles/storage.objectCreator).
    • Para los destinos de BigQuery, agrega la identidad de escritor del receptor como una principal mediante IAM y, luego, otórgale el rol de editor de datos de BigQuery (roles/bigquery.dataEditor).
    • Para los destinos de Pub/Sub, incluido Splunk, agrega la identidad de escritor del receptor como una principal mediante IAM y, luego, otórgale el rol de Publicador de Pub/Sub (roles/pubsub.publisher).
    • Para los destinos de buckets de Logging en diferentes proyectos de Google Cloud, agrega la identidad de escritor del receptor como una principal mediante IAM y, luego, otórgale el rol de escritor del bucket de registros (roles/logging.bucketWriter).
    • Para los destinos de proyectos de Google Cloud, agrega la identidad de escritor del receptor como una principal mediante IAM y, luego, otórgale el rol de escritor de registros (roles/logging.logWriter). Específicamente, una principal necesita el permiso logging.logEntries.route.
    Si no tienes acceso de Propietario al destino del receptor, pídele a un propietario del proyecto que agregue la identidad de escritor como principal.

gcloud

  1. Obtén la cuenta de servicio del campo writerIdentity en tu receptor:

    gcloud logging sinks describe SINK_NAME

  2. Ubica el receptor cuyos permisos deseas modificar y, si los detalles del receptor contienen una línea con writerIdentity, continúa con el siguiente paso. Cuando los detalles no incluyen un campo writerIdentity, no necesitas configurar los permisos de destino para el receptor.

    El valor del campo SERVICE_ACCT_NAME en los siguientes pasos es la identidad del escritor, que es similar a la siguiente:

    serviceAccount:service-123456789012@gcp-sa-logging.iam.gserviceaccount.com

  3. Si tienes acceso de Propietario de IAM al destino, agrega la cuenta de servicio al destino de la siguiente manera:

    • Para los destinos de Cloud Storage, agrega la identidad de escritor del receptor como una principal mediante IAM y, luego, otórgale el rol de Creador de objetos de almacenamiento (roles/storage.objectCreator).
    • Para los destinos de BigQuery, agrega la identidad de escritor del receptor como una principal mediante IAM y, luego, otórgale el rol de editor de datos de BigQuery (roles/bigquery.dataEditor).
    • Para los destinos de Pub/Sub, incluido Splunk, agrega la identidad de escritor del receptor como una principal mediante IAM y, luego, otórgale el rol de Publicador de Pub/Sub (roles/pubsub.publisher).
    • Para los destinos de buckets de Logging en diferentes proyectos de Google Cloud, agrega la identidad de escritor del receptor como una principal mediante IAM y, luego, otórgale el rol de escritor del bucket de registros (roles/logging.bucketWriter).
    • Para los destinos de proyectos de Google Cloud, agrega la identidad de escritor del receptor como una principal mediante IAM y, luego, otórgale el rol de escritor de registros (roles/logging.logWriter). Específicamente, una principal necesita el permiso logging.logEntries.route.
    Si no tienes acceso de Propietario al destino del receptor, pídele a un propietario del proyecto que agregue la identidad de escritor como principal.

    Por ejemplo, para otorgar la función de escritor de registros (roles/logging.logWriter) a la cuenta de servicio service-123456789012@gcp-sa-logging.iam.gserviceaccount.com en el proyecto my-test-project, ejecuta el siguiente comando:

    gcloud projects add-iam-policy-binding my-test-project --member='serviceAccount:service-123456789012@gcp-sa-logging.iam.gserviceaccount.com' --role='roles/logging.logWriter'

Limitaciones del destino

Según el destino al que enrutes tus registros, puede haber algunas limitaciones.

Enruta a los buckets de registros en diferentes proyectos de Google Cloud

Las siguientes limitaciones se aplican cuando enrutas tus registros a buckets de registros en diferentes proyectos de Google Cloud:

  • Si enrutas registros a un bucket de registros almacenado en un proyecto diferente, Error Reporting no podrá analizar esos registros.

  • Error Reporting está inhabilitado en los registros almacenados en buckets de registros que usan claves de encriptación administradas por el cliente.

Enrutar a diferentes proyectos de Google Cloud

Las siguientes limitaciones se aplican cuando enrutas tus registros a diferentes proyectos de Google Cloud:

  • Si enrutas registros a un proyecto diferente, Error Reporting no podrá analizarlos.

  • Existe un límite de un salto. Por ejemplo, si enrutas las entradas de registro del proyecto A al proyecto B, no podrás enrutar las entradas de registro del proyecto B a un proyecto diferente.

  • Los registros de auditoría no se enrutan al bucket _Required en el proyecto de destino. Debes crear otro receptor o bucket para almacenarlos.

  • Si la organización o carpeta que contiene el proyecto de Google Cloud al que enrutas los receptores tiene receptores agregados existentes, los registros no se enrutan mediante esos receptores agregados.

Muestras de código

Si deseas usar el código de la biblioteca cliente para configurar receptores en los lenguajes que elegiste, consulta Bibliotecas cliente de Logging: Receptores de registros.

Filtra ejemplos

A continuación, se incluyen algunos ejemplos de filtros que son particularmente útiles cuando se crean receptores.

Para obtener ejemplos adicionales que podrían ser útiles a medida que compilas tus filtros de inclusión y de exclusión, consulta Consultas de muestra.

Restablece el filtro de receptor _Default

Si editaste el filtro del receptor _Default, puedes restablecer el filtro predeterminado. Para ello, ingresa el siguiente filtro de inclusión:

  NOT log_id("cloudaudit.googleapis.com/activity") AND NOT \
  log_id("externalaudit.googleapis.com/activity") AND NOT \
  log_id("cloudaudit.googleapis.com/system_event") AND NOT \
  log_id("externalaudit.googleapis.com/system_event") AND NOT \
  log_id("cloudaudit.googleapis.com/access_transparency") AND NOT \
  log_id("externalaudit.googleapis.com/access_transparency")

Excluye los registros de contenedores y Pods de Google Kubernetes Engine

Para excluir los registros del contenedor y los Pods de Google Kubernetes Engine del sistema de GKE namespaces, usa el siguiente filtro:

resource.type = ("k8s_container" OR "k8s_pod")
resource.labels.namespace_name = (
"cnrm-system" OR
"config-management-system" OR
"gatekeeper-system" OR
"gke-connect" OR
"gke-system" OR
"istio-system" OR
"knative-serving" OR
"monitoring-system" OR
"kube-system")

A fin de excluir los registros de nodos de Google Kubernetes Engine para el sistema de GKE logNames, usa el siguiente filtro:

resource.type = "k8s_node"
logName:( "logs/container-runtime" OR
"logs/docker" OR
"logs/kube-container-runtime-monitor" OR
"logs/kube-logrotate" OR
"logs/kube-node-configuration" OR
"logs/kube-node-installation" OR
"logs/kubelet" OR
"logs/kubelet-monitor" OR
"logs/node-journal" OR
"logs/node-problem-detector")

Para ver el volumen de los registros de nodo, pod y contenedor de Google Kubernetes Engine almacenados en buckets de registros, usa el Explorador de métricas en Cloud Monitoring.

Se excluyen los registros de Dataflow que no son necesarios para la compatibilidad

Si deseas excluir los registros de Dataflow que no se requieren para la compatibilidad, usa el siguiente filtro:

resource.type="dataflow_step"
labels."dataflow.googleapis.com/log_type"!="system" AND labels."dataflow.googleapis.com/log_type"!="supportability"

Para ver el volumen de los registros de Dataflow almacenados en los buckets de registros, usa el Explorador de métricas en Cloud Monitoring.

Compatibilidad

Si bien Cloud Logging te brinda la capacidad de excluir los registros para que no se almacenen en un bucket de registros, te recomendamos conservar los registros que ayuden con la compatibilidad. El uso de estos registros puede ayudarte a identificar y solucionar problemas con tus aplicaciones con rapidez.

Por ejemplo, los registros del sistema de GKE son útiles para solucionar problemas de tus aplicaciones y clústeres de GKE, ya que se generan para eventos que ocurren en tu clúster. Estos registros pueden ayudarte a determinar si el código de la aplicación o el clúster de GKE subyacente está causando el error de la aplicación. Los registros del sistema de GKE también incluyen el registro de auditoría de Kubernetes generado por el componente del servidor de la API de Kubernetes, que incluye los cambios realizados mediante el comando de kubectl y eventos de Kubernetes.

Para Dataflow, te recomendamos que, como mínimo, escribas los registros del sistema (labels."dataflow.googleapis.com/log_type"="system") y los registros de compatibilidad (labels."dataflow.googleapis.com/log_type"="supportability") en los buckets de registro. Estos registros son esenciales para que los desarrolladores observen sus canalizaciones de Dataflow y solucionen los problemas relacionados, y es posible que los usuarios no puedan usar la página Detalles del trabajo de Dataflow para ver los registros del trabajo.

¿Qué sigue?