Administra vistas de registro en tus depósitos de registros

Las vistas de registro te permiten controlar quién tiene acceso a los registros en tus depósitos de registros. Con el enrutador de registros y la administración de depósitos de registro, puedes centralizar o subdividir el almacenamiento de registro según tus necesidades. Las vistas de registro personalizadas te proporcionan una forma avanzada y detallada de controlar el acceso a los registros en esos depósitos de registros.

Por ejemplo, imagina una situación en la que almacenas todos los registros de tu organización en un proyecto central. Debido a que los depósitos de registros pueden contener registros de varios proyectos, es posible que desees controlar desde qué proyectos diferentes usuarios pueden ver los registros. Con las vistas de registro personalizadas, puedes otorgar a un usuario acceso a los registros solo desde un proyecto único, mientras que otro usuario puede acceder a los registros de todos los proyectos.

Cloud Logging crea de forma automática la vista _AllLogs para cada bucket, que muestra todos los registros. Cloud Logging también crea una vista para el bucket _Default llamado _Default. En la vista _Default del bucket _Default, se muestran todos los registros, excepto los registros de auditoría de acceso a los datos. Las vistas _AllLogs y _Default no se pueden editar.

En las siguientes instrucciones, se explica cómo crear, ver, actualizar y borrar vistas de registro. Administrar vistas de registro implica realizar las siguientes acciones:

Usar la herramienta de línea de comandos de gcloud o la API para crear la vista.
Configurar los permisos de administración de identidades y accesos (IAM) a través de Google Cloud Console o a través de la herramienta de línea de comandos de gcloud.

Antes de comenzar

Antes de crear una vista de registro, completa los siguientes pasos:

Si aún no lo hiciste, crea un depósito de registro nuevo y dirige los registros al depósito.
Determina qué registros quieres incluir en la vista.
Asegúrate de tener una de las siguientes funciones:
- roles/logging.admin
- roles/logging.configWriter
Si aún no lo hiciste, instala el SDK de Cloud.

Nota: Los modelosgcloud Los comandos de esta guía podrían no ejecutarse correctamente en Cloud Shell, así que ejecútalos en una terminal local.

Cuando creas una vista de registro, ten en cuenta las siguientes condiciones:

El filtro para una vista de registro puede contener lo siguiente:
- Una fuente de registro que use la función source
- Un ID de registro con la función log_id
- Un tipo de recurso válido con resource.type= FIELD_NAME
El filtro de una vista de registro no puede contener operadores OR.
Puedes crear un máximo de 10 vistas de registro por depósito de registros.

Crea una vista de registro

Para crear una vista de registro, ejecuta el siguiente comando y reemplaza las partes en negrita con tu propia información:

gcloud logging views create VIEW_ID \
  --log-filter="resource.type=gce_instance" --bucket=BUCKET_NAME \
  --location=LOCATION --description="Log view for the central log bucket for Compute Engine instance"

Enumera las vistas del bucket para confirmar que se creó tu vista:

gcloud logging views list --bucket=BUCKET_NAME --location=LOCATION

Agrega usuarios a una vista de registro

Para agregar usuarios a una vista a fin de permitirles acceder a los registros, completa los siguientes pasos.

gcloud

Obtén la política de IAM del proyecto y escríbela en un archivo local en formato JSON:
```
gcloud projects get-iam-policy PROJECT_ID --format json > output.json
```

Agrega una condición de IAM que permita al usuario leer desde el bucket que creaste. Por ejemplo:

{
  "bindings": [
    {
      "members": [
        "username@gmail.com"
      ],
      "role": "roles/logging.viewAccessor",
      "condition": {
          "title": "Bucket reader condition example",
          "description": "Grants logging.viewAccessor role to user username@gmail.com for the [VIEW_ID] log view.",
          "expression":
            "resource.name == \"projects/[PROJECT_ID]/locations/[LOCATION]/buckets/[BUCKET_NAME]/views/[VIEW_ID]\""
      }
    }
  ],
  "etag": "BwWd_6eERR4=",
  "version": 3
}

Actualiza la política de IAM:

gcloud projects set-iam-policy PROJECT_ID output.json

Console

Ve a la página de IAM en Cloud Console para el proyecto en el que creaste el bucket.

Ir a la página IAM
Haz clic en Agregar.
En el campo Miembro nuevo, agrega la cuenta de correo electrónico del usuario.
En el menú desplegable Seleccionar una función, selecciona descriptor de acceso de vistas de registro.

Esta función les proporciona a los usuarios acceso de lectura a todas las vistas. Para limitar el acceso de los usuarios a un depósito específico, agrega una condición basada en el nombre del recurso.
1. Haz clic en Agregar condición:
2. Ingresa un Título y una Descripción para la condición.
3. En el menú desplegable Tipo de condición, selecciona Recurso > Nombre.
4. En el menú desplegable Operador, selecciona es.
5. En el campo Valor, ingresa el ID de la vista de registro, incluida la ruta completa a la vista.
  
  Por ejemplo:
```
projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/VIEW_ID
```
6. Haga clic en Guardar para agregar la condición.
Haz clic en Guardar para configurar los permisos.

Para obtener más información, consulta la Descripción general de las Condiciones de IAM.

Actualiza una vista de registro

Para actualizar una vista de registro, ejecuta el siguiente comando y reemplaza las partes en negrita con tu propia información:

gcloud logging views update VIEW_ID \
  --log-filter="resource.type=gce_instance" --bucket=NEW_BUCKET_NAME \
  --location=LOCATION --description="New description for the log view"

Enumera las vistas del bucket para confirmar que se actualizó:

gcloud logging views list --bucket=NEW_BUCKET_NAME --location=LOCATION

No puedes actualizar las vistas _Default y _AllLogs.

Borra una vista de registro

Para borrar una vista de registro, ejecuta el siguiente comando y reemplaza las partes en negrita con tu propia información:

gcloud logging views delete VIEW_ID \
  --bucket=BUCKET_NAME --location=LOCATION

Enumera las vistas del bucket para confirmar que se borró:

gcloud logging views list --bucket=BUCKET_NAME --location=LOCATION

Visualiza la información sobre una vista de registro

Para describir una vista de registro, ejecuta el siguiente comando y reemplaza las partes en negrita con tu propia información:

gcloud logging views describe VIEW_ID \
  --bucket=BUCKET_NAME --location=LOCATION

Visualiza registros asociados a una vista de registro

Para ver los registros en una vista de registro, asegúrate de tener la función roles/logging.viewAccessor para la vista de registro.

Ve al Explorador de registros.

Ir al Explorador de registros

Haz clic en Define mejor el permiso para mostrar el panel Define mejor el permiso. Desde aquí, puedes seleccionar el depósito de registro y la vista de registro que deseas usar para ver tus registros.

El panel define mejor el alcance

Para obtener más información, consulta la documentación del Explorador de registros.

¿Qué sigue?

Ve al Explorador de registros para verificar que la vista que creaste proporcione acceso a los registros correctos.

Ir al Explorador de registros