Crea y administra permisos de registros

En este documento, se describe cómo crear y administrar permisos de registros, que puedes usar para encontrar con eficiencia las entradas de registro que quieres ver o analizar. Si solo deseas ver y analizar las entradas de registro que se originan en un proyecto, una carpeta o una organización, este documento no es ti. Sin embargo, si confías en receptores de registros para enrutarlos otros proyectos o a buckets de registros definidos por el usuario o si usas vistas de registro, la información en este documento puede ayudarte a encontrar con eficiencia entradas de registro específicas.

En este documento, no se describe cómo ver tus registros. Para obtener información sobre ese tema, consulta Visualiza registros con el Explorador de registros.

Acerca de los permisos de registros

Los permisos de registro son recursos persistentes a nivel de proyecto que enumeran un conjunto de recursos para buscar entradas de registro. Un ámbito de registros puede incluir proyectos, carpetas, organizaciones y vistas de registro. Por ejemplo, puedes definir un ámbito de registro que enumere los proyectos que contienen recursos que se usan para la producción o uno que enumere las vistas de registro que incluyen entradas de registro para un tipo de recurso específico.

Cuando creas un proyecto, una carpeta o un recurso de organización de Google Cloud, Logging crea un permiso de registro llamado _Default. Este permiso incluye el proyecto, la carpeta o la organización que se creó. Los resultados de una búsqueda de estos recursos incluyen las entradas de registro que se originan en el recurso y, luego, se almacenan en un bucket de registros. En el caso de los proyectos, los resultados de la búsqueda también incluyen entradas de registro que un receptor de otro proyecto enruta al proyecto y, luego, se almacenan en un bucket de registros.

Puedes crear permisos de registro. También puedes editar y borrar el los permisos de registro que crees. Sin embargo, no puedes edita o borra el ámbito de registros llamado _Default.

Para los proyectos, el permiso de registro predeterminado determina el conjunto de recursos. que busca la página Explorador de registros cuando se abre. Sin embargo, los roles de administración de identidades y accesos (IAM) en los recursos buscados y la configuración del período determinan qué entradas de registro se recuperan del almacenamiento. Cuando se crean proyectos, se designa el ámbito de registros llamado _Default como el ámbito de registros predeterminado. Puedes establecer qué ámbito de registros ámbito de registros predeterminado.

Prácticas recomendadas

Debido a que los permisos de registros proporcionan una forma de definir y guardar para usarla en el futuro, te recomendamos crear permisos de registro para configuraciones de búsqueda complejas.

Por ejemplo, supongamos que estás solucionando un problema y deseas ver las entradas de registro de todas las instancias de máquina virtual (VM) que pertenecen a tu equipo. Para completar esta tarea, puedes hacer lo siguiente:

  1. Determinas que las entradas de registro que deseas ver se almacenan en varios depósitos de registros y en varios proyectos. Para la mayoría de los buckets de registros, ya que existe una vista de registro que incluye las entradas de registro que quieres analizar. Si no existe una vista de registro, puedes crear una.

  2. Decides crear un ámbito de registros porque esperas tener una tarea similar de solución de problemas en el futuro.

  3. Abre la página Explorador de registros en la consola de Google Cloud. y, luego, usa el menú Define mejor el permiso para seleccionar tu nuevo ámbito de registros.

  4. Revisas las entradas de registro y encuentras la información que necesitas para resolver el problema que estabas investigando.

  5. Después de resolver el problema, comparte la causa de la falla con tu colegas. También compartes que esperas ver fallas similares en la futuro, así que creaste un ámbito de registros que te permitirá a ti o a quien sea está investigando la falla, encontrar con rapidez entradas de registro relevantes.

Limitaciones

  • No puedes borrar ni modificar el ámbito de registros llamado _Default.
  • Solo los proyectos de Google Cloud admiten un permiso de registro predeterminado.
  • No puedes agregar organizaciones ni carpetas a un permiso de registro definido por el usuario.
  • Google Cloud CLI no admite la creación ni la administración de alcances de registro.

Antes de comenzar

Para obtener los permisos que necesitas para crear y ver permisos de registros y configurar el ámbito de registros predeterminado, solicita a tu administrador que te otorgue el los siguientes roles de IAM:

  • Para crear y ver permisos de registros, o bien obtener el permiso de registro predeterminado, haz lo siguiente: Escritor de configuración de registros (roles/logging.configWriter) en tu proyecto, organización o carpeta
  • Para configurar el ámbito de registros predeterminado, haz lo siguiente: Editor de observabilidad (roles/observability.editor) en tu proyecto, organización o carpeta

Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

Estos roles predefinidos contienen los permisos necesarios para crear y ver permisos de registros y configurar el ámbito de registros predeterminado. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:

Permisos necesarios

Se requieren los siguientes permisos para crear y ver permisos de registros, y para configurar el ámbito de registros predeterminado:

  • Para obtener y establecer el ámbito de registro predeterminado, haz lo siguiente: observability.scopes.[get, update]

También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.

Cómo enumerar los ámbitos de registros

Console

Para enumerar los permisos de registros, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página Configuración:

    Ir a Configuración

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Monitoring.

  2. Selecciona la pestaña Log Scopes.

    La tabla enumera los permisos de los registros. Cuando selecciones un proyecto de Google Cloud, una entrada en la tabla está anotada con un ícono etiquetado Default, lo que indica que este permiso de registro enumera los recursos que el Explorador de registros cuando se abre esa página.

API

La API de Cloud Logging contiene comandos que enumeran los permisos de registro en un recurso o que informan los detalles de un permiso de registro específico. Para obtener una lista completa de comandos, consulta la documentación de referencia de la API.

Para proyectos de Google Cloud, usa los siguientes comandos:

Establece el ámbito de registro predeterminado

El alcance de registro predeterminado enumera los recursos que busca la página Explorador de registros cuando se abre. Si un el ámbito de registros predeterminado no existe o no se puede acceder a él, esa página busca automáticamente entradas de registro que se originen en el el proyecto, la carpeta o la organización seleccionados. Las entradas de registro que muestra la página Explorador de registros dependen de los recursos que se buscaron, la configuración del intervalo de tiempo y tus roles de IAM en los recursos que se buscaron.

Cuando se crean proyectos, se crea el ámbito de registros llamado _Default y se designa como el ámbito de registros predeterminado. Sin embargo, puedes crear tu propio ámbito de registros y designarlo como el ámbito de registros predeterminado.

Console

Para establecer el alcance de registro predeterminado, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página Configuración:

    Ir a Configuración

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Monitoring.

  2. Selecciona la pestaña Log Scopes.

  3. Busca el ámbito de registros que quieres designar como el ámbito de registros predeterminado, haz clic en  Más, y, luego, selecciona Establecer como predeterminado.

    El ámbito de registros que seleccionaste tiene anotaciones con un ícono etiquetado Default

API

No compatible.

Crea un ámbito de registros

Puedes crear 100 alcances de registro por proyecto. Un ámbito de registros puede incluir un total de 100 vistas de registro y proyectos; Sin embargo, solo puede incluir 50 proyectos. No puedes agregar carpetas ni organizaciones a un alcance de registro.

Console

Para crear un alcance de registro, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página Configuración:

    Ir a Configuración

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Monitoring.

  2. Selecciona la pestaña Log Scopes y, luego, haz clic en Create log scope.

  3. Para agregar uno o más proyectos, haz clic en Agregar proyectos y completa los siguientes pasos: .

    Después de agregar un proyecto, tus roles de IAM en ese proyecto determinan qué entradas de registro puedes ver. Por ejemplo, tu es posible que el rol de IAM te permita ver solo las entradas de registro sean accesibles a través de una vista de registro específica en un bucket de registros. Para obtener más información sobre los roles, consulta Roles de registro.

  4. Para agregar una o más vistas de registro, haz clic en Agregar vistas de registro y completa el diálogo.

    En el diálogo, se enumeran todas las vistas de registro que tienen entradas de registro que se originan en el proyecto actual o que un sink de otro proyecto enrutó al proyecto actual. Por ejemplo, si no configuraste ningún receptor, este diálogo enumera las vistas de registro de tu proyecto actual.

    Para ver una lista de las vistas de registro almacenadas en otro proyecto de Google Cloud, haz clic en  Importar proyecto y, luego, selecciona el proyecto de Google Cloud.

    Después de agregar una vista de registro, tus roles de IAM en vista de registro o el proyecto que almacena la vista de registro determinar a qué entradas de registro puedes acceder. Para obtener más información, consulta Controla el acceso a una vista de registros.

  5. En la sección Nombre del alcance de registro, ingresa el nombre y la descripción que deseas que aparezcan en la pestaña Alcances de registro.

    El nombre de un ámbito de registros no se puede modificar y debe ser único dentro del proyecto.

  6. Haz clic en Aplicar.

API

La API de Cloud Logging también admite la creación de permisos de registro en una carpeta o organización. Para obtener más información, consulta la Documentación de referencia de la API.

Para proyectos de Google Cloud, usa el siguiente comando:

Modifica o borra un permiso de registro

Console

Para modificar o borrar un alcance de registro que tú o un colega crearon, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página Configuración:

    Ir a Configuración

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Monitoring.

  2. Selecciona la pestaña Log Scopes.

  3. Busca los Permisos de registros que deseas modificar o borrar. Haz clic en  Más y, luego, realiza una de las siguientes acciones:

    • Para modificarlo, selecciona Editar alcance y, luego, completa el diálogo.
    • Para borrarlo, selecciona Borrar alcance y, luego, completa el cuadro de diálogo.

API

La API de Cloud Logging contiene comandos que pueden modificar o borrar ámbito de registros. Para obtener una lista completa de los comandos, consulta la documentación de referencia de la API.

Para proyectos de Google Cloud, usa los siguientes comandos:

¿Qué sigue?