En este documento se describe cómo crear y gestionar vistas de registro en tus cubos de Cloud Logging. Las vistas de registro te ofrecen un control avanzado y detallado sobre quién tiene acceso a los registros de tus segmentos de registro.
Puedes configurar y gestionar tus vistas de registro mediante la Google Cloud consola, la CLI de gcloud, Terraform o la API Cloud Logging.
Para obtener información general sobre el modelo de almacenamiento de Logging, consulta el artículo Información general sobre el enrutamiento y el almacenamiento.
Acerca de las vistas de registro
Las vistas de registro te permiten conceder a un usuario acceso solo a un subconjunto de los registros almacenados en un segmento de registro. Por ejemplo, supongamos que almacenas los registros de tu organización en un proyecto central. Puedes crear una vista de registro para cada proyecto que contribuya con registros al segmento de registros. Después, puede conceder acceso a uno o varios usuarios a una o varias vistas de registro y, de este modo, restringir los registros que pueden ver.
Puede crear un máximo de 30 vistas de registro por contenedor de registro.
Controlar el acceso a una vista de registro
Cloud Logging usa políticas de gestión de identidades y accesos para controlar quién tiene acceso a las vistas de registro. Las políticas de gestión de identidades y accesos pueden existir a nivel de recurso, proyecto, carpeta y organización. En Cloud Logging, puede crear una política de IAM para cada vista de registro. Para determinar si una entidad principal está autorizada para realizar una acción, Gestión de Identidades y Accesos evalúa todas las políticas aplicables. La primera evaluación se realiza a nivel de recurso.
Las entidades de seguridad con el rol roles/logging.viewAccessor
en un proyectoGoogle Cloud pueden acceder a las vistas y los registros de cualquier segmento de registros del proyecto.
Para conceder a un principal acceso a una vista de registro específica, haz una de las siguientes acciones:
Crea una política de gestión de identidades y accesos para la vista de registro y, a continuación, añade un enlace de gestión de identidades y accesos a esa política que conceda al principal acceso a la vista de registro.
Si creas un gran número de vistas de registro, te recomendamos que sigas este método.
Concede a la entidad principal el rol de gestión de identidades y accesos
roles/logging.viewAccessor
en el proyecto que contiene la vista de registro, pero adjunta una condición de gestión de identidades y accesos para restringir la concesión a la vista de registro específica. Si omite la condición, concederá al principal acceso a todas las vistas de registro. El archivo de política de un proyecto de Google Cloud puede incluir un máximo de 20 vinculaciones de rol que tengan el mismo rol y el mismo principal, pero expresiones condicionales diferentes.
Para obtener más información, consulta las siguientes secciones de este documento:
- Conceder acceso a una vista de registro.
- Enumera todos los enlaces de roles de una vista de registro.
Vistas de registro creadas automáticamente
Cloud Logging crea automáticamente una vista _AllLogs
para cada segmento de registros y una vista _Default
para el segmento de registros _Default
:
- Vista
_AllLogs
: puedes ver todos los registros del segmento de registro. _Default
: puedes ver todos los registros de auditoría que no sean de acceso a datos en el segmento de registro.
No puedes modificar las vistas que crea automáticamente Cloud Logging, pero sí puedes eliminar la vista _AllLogs
.
Filtro de vista de registro
Cada vista de registro contiene un filtro que determina qué entradas de registro se muestran en la vista. Los filtros pueden contener operadores lógicos AND
y NOT
, pero no operadores lógicos OR
.
Los filtros pueden comparar cualquiera de los siguientes valores:
Una fuente de datos que usa la función
source
. La funciónsource
devuelve entradas de registro de un recurso concreto de la jerarquía de organizaciones, carpetas y proyectos Google Cloud .Un ID de registro con la función
log_id
. La funciónlog_id
devuelve las entradas de registro que coinciden con el argumentoLOG_ID
especificado del campologName
.Un tipo de recurso válido que use la comparación
resource.type=
FIELD_NAME.
Por ejemplo, el siguiente filtro captura entradas de registro de stdout
de Compute Engine de un proyecto llamado myproject
: Google Cloud
source("projects/myproject") AND resource.type = "gce_instance" AND log_id("stdout")
Para obtener información sobre la sintaxis de los filtros, consulta Comparaciones.
Diferencias entre las vistas de registro y las vistas de analíticas
Las vistas de registro y las vistas de analíticas son diferentes.
Una vista de registro de un segmento de registro controla las entradas de registro del segmento que puedes ver. Cuando usas Log Analytics, la estructura de datos de LogEntry
determina el esquema de los datos que consultas.
Una vista de analíticas contiene una consulta de SQL sobre una o varias vistas de registro. Con Analíticas de registros, puedes escribir consultas en una vista de analíticas. Como el creador de una vista de analíticas determina el esquema, una de las aplicaciones de las vistas de analíticas es transformar los datos de registro del formato LogEntry
a un formato que se adapte mejor a tus necesidades.
Antes de empezar
Antes de crear o actualizar una vista de registro, siga estos pasos:
Si aún no lo has hecho, en el Google Cloud proyecto correspondiente, crea un bucket de registro para el que quieras configurar una vista de registro personalizada.
-
Para obtener los permisos que necesitas para crear y gestionar vistas de registro, así como para conceder acceso a ellas, pide a tu administrador que te asigne los siguientes roles de gestión de identidades y accesos en tu proyecto:
-
Editor de configuración de registros (
roles/logging.configWriter
) -
Para añadir una vinculación de rol a un proyecto, sigue estos pasos:
Administrador de gestión de identidades y accesos de proyectos (
roles/resourcemanager.projectIamAdmin
) -
Para añadir una vinculación de rol a una vista de registro, sigue estos pasos:
Administrador de Logging (
roles/logging.admin
)
Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar el acceso a proyectos, carpetas y organizaciones.
También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.
-
Editor de configuración de registros (
-
Select the tab for how you plan to use the samples on this page:
Console
When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.
gcloud
In the Google Cloud console, activate Cloud Shell.
At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.
Terraform
Para usar las muestras de Terraform de esta página en un entorno de desarrollo local, instala e inicializa la CLI de gcloud y, a continuación, configura las credenciales predeterminadas de la aplicación con tus credenciales de usuario.
Instala Google Cloud CLI.
Si utilizas un proveedor de identidades (IdP) externo, primero debes iniciar sesión en la CLI de gcloud con tu identidad federada.
If you're using a local shell, then create local authentication credentials for your user account:
gcloud auth application-default login
You don't need to do this if you're using Cloud Shell.
If an authentication error is returned, and you are using an external identity provider (IdP), confirm that you have signed in to the gcloud CLI with your federated identity.
Para obtener más información, consulta Configurar ADC en un entorno de desarrollo local en la documentación de autenticación Google Cloud .
Determina qué registros quieres incluir en la vista. Esta información se usa para especificar el filtro de la vista de registro.
Determina quién debe tener acceso a la vista de registro y si quieres añadir enlaces a la política de gestión de identidades y accesos de la vista de registro o al Google Cloud proyecto. Para obtener más información, consulta Controlar el acceso a una vista de registro.
Crear una vista de registro
Puede crear un máximo de 30 vistas de registro por contenedor de registro.
Consola
Para crear una vista de registro, siga estos pasos:
-
En la Google Cloud consola, ve a la página Almacenamiento de registros:
Ve a Almacenamiento de registros.
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuya sección sea Registro.
- Selecciona el proyecto, la carpeta o la organización que almacena el segmento de registro.
- En el panel Segmentos de registro, selecciona el nombre del segmento de registro en el que quieras crear una vista de registro.
- En la página de detalles del bucket de registro, vaya al panel Vistas de registro y, a continuación, haga clic en Crear vista de registro.
En la página Define log view (Definir vista de registro), haz lo siguiente:
- Introduce un nombre para la vista de registro. No puedes cambiar este nombre después de crear la vista de registro. El nombre tiene un límite de 100 caracteres y solo puede incluir letras, números, guiones bajos y guiones.
- Introduce una descripción de la vista de registro.
- En el campo Crear filtro, introduce una expresión que determine qué entradas de registro del contenedor de registro se incluyen en la vista de registro. Para obtener información sobre la estructura de este campo, consulta la sección Filtro de vista de registro de este documento.
Opcional: Para añadir un enlace de rol al recurso de vista de registro, haga lo siguiente:
- Haz clic en Continuar y ve a la página Establecer permisos.
- Haz clic en Conceder acceso.
- En la sección Añadir principales, despliega el menú Nuevos principales y selecciona un principal.
- En la sección Asignar roles, selecciona el rol Accessor de vista de registros.
- Haz clic en Guardar.
Haz clic en Guardar vista.
Si no has concedido acceso a las entidades de seguridad a tu vista de registro durante el proceso de creación, sigue los pasos que se indican en la siguiente sección.
gcloud
Para crear una vista de registro, siga estos pasos:
Ejecuta el comando
gcloud logging views create
.Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:
- LOG_VIEW_ID: identificador de la vista de registro, que tiene un límite de 100 caracteres y solo puede incluir letras, dígitos, guiones bajos y guiones.
- BUCKET_NAME: el nombre del segmento de registro.
- LOCATION: la ubicación del segmento de registro.
- FILTER: filtro que define la vista de registro. Si está vacío, la vista de registro incluye todos los registros. Por ejemplo, para filtrar los registros de instancias de VM de Compute Engine, introduce
"resource.type=gce_instance"
. - DESCRIPTION: descripción de la vista de registro. Por ejemplo, puedes introducir lo siguiente en la
descripción
"Compute logs"
. - PROJECT_ID: identificador del proyecto. Para crear una vista de registro en una carpeta o una organización, sustituye
--project
por--folder
o--organization
.
Ejecuta el comando
gcloud logging views create
:Linux, macOS o Cloud Shell
gcloud logging views create LOG_VIEW_ID --bucket=BUCKET_NAME \ --location=LOCATION --log-filter=FILTER --description=DESCRIPTION \ --project=PROJECT_ID
Windows (PowerShell)
gcloud logging views create LOG_VIEW_ID --bucket=BUCKET_NAME ` --location=LOCATION --log-filter=FILTER --description=DESCRIPTION ` --project=PROJECT_ID
Windows (cmd.exe)
gcloud logging views create LOG_VIEW_ID --bucket=BUCKET_NAME ^ --location=LOCATION --log-filter=FILTER --description=DESCRIPTION ^ --project=PROJECT_ID
Este comando no proporciona una respuesta. Para confirmar los cambios, puedes ejecutar el comando
gcloud logging views list
.Concede acceso a las entidades de seguridad a tu vista de registro. En la siguiente sección se incluye información sobre estos pasos.
Terraform
Para saber cómo aplicar o quitar una configuración de Terraform, consulta Comandos básicos de Terraform. Para obtener más información, consulta la documentación de referencia del proveedor Terraform.
Para crear una vista de registro en un proyecto, una carpeta o una organización mediante Terraform, haz lo siguiente:
Usa el recurso de Terraform
google_logging_log_view
.En el comando, define los siguientes campos:
name
: se asigna al nombre completo de la vista de registro. Por ejemplo, en el caso de los proyectos, el formato de este campo es el siguiente:"projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/view/LOG_VIEW_ID"
En la expresión anterior, LOCATION es la ubicación del contenedor de registro.
bucket
: se asigna al nombre completo del contenedor de registro. Por ejemplo, este campo podría ser:"projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME"
filter
: el filtro que describe qué entradas de registro se incluyen en la vista de registro.description
: una breve descripción.
Concede acceso a las entidades de seguridad a tu vista de registro. En la siguiente sección se incluye información sobre estos pasos.
Conceder acceso a una vista de registro
Para restringir un principal a una vista de registro específica en un bucket de registro definido por el usuario, puedes usar dos métodos:
Añade una vinculación de roles a nivel de vista de registro.
A nivel de proyecto, añade una vinculación de rol condicional.
Cuando creas un gran número de vistas de registro, te recomendamos que controles el acceso mediante el archivo de política de IAM de la vista de registro.
Vista de registro: añadir vinculaciones de roles
En esta sección se describe cómo usar el archivo de política de gestión de identidades y accesos de una vista de registro para controlar quién tiene acceso a las entradas de registro de esa vista. Si usas este método, debes añadir un enlace al archivo de políticas de la vista de registro. Este enlace concede al principal especificado acceso a la vista de registro.
En esta sección también se describe cómo enumerar las vinculaciones de roles incluidas en el archivo de políticas de gestión de identidades y accesos de una vista de registro.
Consola
Para actualizar el archivo de política de gestión de identidades y accesos de una vista de registro, haz lo siguiente:
-
En la Google Cloud consola, ve a la página Almacenamiento de registros:
Ve a Almacenamiento de registros.
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuya sección sea Registro.
- Selecciona el proyecto, la carpeta o la organización que almacena el segmento de registro.
- En el panel Contenedores de registros, seleccione el nombre del contenedor de registros que aloja la vista de registro.
- En la página de detalles del segmento de registro, ve al panel Vistas de registro.
En la vista de registro cuya política de IAM quieras modificar, haz clic en more_vert Acciones y, a continuación, selecciona Ajustar permisos.
Se abre el menú desplegable de permisos y se muestran los permisos asociados a la vista de registro.
En la ventana emergente de permisos, haz clic en Añadir principal.
En la sección Add principals (Añadir principales), despliega el menú New principals (Nuevos principales) y selecciona un principal.
En la sección Asignar roles, selecciona el rol Accessor de vista de registros.
Haz clic en Guardar.
El menú desplegable de permisos se actualiza con los nuevos permisos.
En la sección Usuario con permiso para ver registros (N) se muestran las entidades de seguridad a las que se ha concedido el rol Usuario con permiso para ver registros a nivel de proyecto. Estas principales tienen acceso a todas las vistas de registro del proyecto.
En las secciones etiquetadas como Condición de usuario con permiso para ver registros:texto descriptivo específico de la condición (N) se enumeran las entidades que tienen concesiones condicionales a nivel de proyecto del rol Usuario con permiso para ver registros. Estas entidades solo tienen acceso a la vista de registro especificada por la condición.
En la sección etiquetada como Condición de usuario con permiso para ver registros:abcde (N), se enumeran las entidades que tienen permisos a nivel de vista de registro.
En la siguiente captura de pantalla se muestra una ventana emergente de permisos en la que dos principales tienen asignaciones de roles a nivel de proyecto, que se identifican con el icono de proyecto
, y un principal tiene una asignación a nivel de vista de registro:
Para cerrar el menú desplegable, haz clic en X.
gcloud
Para actualizar el archivo de política de gestión de identidades y accesos de una vista de registro, haz lo siguiente:
Ejecuta el comando
gcloud logging views add-iam-policy-binding
.Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:
- LOG_VIEW_ID: identificador de la vista de registro, que tiene un límite de 100 caracteres y solo puede incluir letras, dígitos, guiones bajos y guiones.
- PRINCIPAL: identificador de la cuenta principal a la que quieres asignar el rol. Los identificadores principales suelen tener el siguiente formato:
PRINCIPAL-TYPE:ID
. Por ejemplo,user:my-user@example.com
. Para ver una lista completa de los formatos que puede tenerPRINCIPAL
, consulta Identificadores principales. - BUCKET_NAME: el nombre del segmento de registro.
- LOCATION: la ubicación del segmento de registro.
- PROJECT_ID: identificador del proyecto. Si es necesario, sustituye
--project
por--folder
o--organization
.
Ejecuta el comando
gcloud logging views add-iam-policy-binding
:Linux, macOS o Cloud Shell
gcloud logging views add-iam-policy-binding LOG_VIEW_ID \ --member=PRINCIPAL --role='roles/logging.viewAccessor' \ --bucket=BUCKET_NAME --location=LOCATION \ --project=PROJECT_ID
Windows (PowerShell)
gcloud logging views add-iam-policy-binding LOG_VIEW_ID ` --member=PRINCIPAL --role='roles/logging.viewAccessor' ` --bucket=BUCKET_NAME --location=LOCATION ` --project=PROJECT_ID
Windows (cmd.exe)
gcloud logging views add-iam-policy-binding LOG_VIEW_ID ^ --member=PRINCIPAL --role='roles/logging.viewAccessor' ^ --bucket=BUCKET_NAME --location=LOCATION ^ --project=PROJECT_ID
En la siguiente imagen se muestra la respuesta cuando se añade una sola vinculación:
Updated IAM policy for logging view [projects/PROJECT_ID/locations/global/buckets/BUCKET_NAME/views/LOG_VIEW_ID]. bindings: - members: - PRINCIPAL role: roles/logging.viewAccessor etag: BwYXfSd9-Gw= version: 1
Para verificar la actualización, ejecuta el comando
gcloud logging views get-iam-policy
:Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:
- LOG_VIEW_ID: identificador de la vista de registro, que tiene un límite de 100 caracteres y solo puede incluir letras, dígitos, guiones bajos y guiones.
- BUCKET_NAME: el nombre del segmento de registro.
- LOCATION: la ubicación del segmento de registro.
- PROJECT_ID: identificador del proyecto. Si es necesario, sustituye
--project
por--folder
o--organization
.
Ejecuta el comando
gcloud logging views get-iam-policy
:Linux, macOS o Cloud Shell
gcloud logging views get-iam-policy LOG_VIEW_ID \ --bucket=BUCKET_NAME --location=LOCATION \ --project=PROJECT_ID
Windows (PowerShell)
gcloud logging views get-iam-policy LOG_VIEW_ID ` --bucket=BUCKET_NAME --location=LOCATION ` --project=PROJECT_ID
Windows (cmd.exe)
gcloud logging views get-iam-policy LOG_VIEW_ID ^ --bucket=BUCKET_NAME --location=LOCATION ^ --project=PROJECT_ID
Cuando una vista de registro no contiene ninguna vinculación, la respuesta solo contiene un campo
etag
. En el siguiente ejemplo se muestra la respuesta cuando una vista de registro contiene una sola vinculación:bindings: - members: - PRINCIPAL role: roles/logging.viewAccessor etag: BwYXfSd9-Gw= version: 1
Terraform
Para saber cómo aplicar o quitar una configuración de Terraform, consulta Comandos básicos de Terraform. Para obtener más información, consulta la documentación de referencia del proveedor Terraform.
Para aprovisionar asociaciones de IAM para una vista de registro mediante Terraform, hay varios recursos disponibles:
google_logging_log_view_iam_policy
google_logging_log_view_iam_binding
google_logging_log_view_iam_member
Para obtener más información, consulta la política de IAM de LogView de Cloud Logging.
Para enumerar las asociaciones de gestión de identidades y accesos de las vistas de registro con Terraform, usa la fuente de datos
google_logging_log_view_iam_policy
.Google Cloud project: Add role bindings
En esta sección se describe cómo añadir una vinculación de rol a un Google Cloud proyecto y cómo enumerar las vinculaciones asociadas a un proyecto. Cuando usas este método para restringir el acceso de una entidad de seguridad a las entradas de registro almacenadas en una vista de registro específica, debes añadir una condición de gestión de identidades y accesos a la concesión.
Consola
Para añadir un enlace de rol al archivo de política de IAM de un proyectoGoogle Cloud , en el proyecto en el que has creado el bucket de registro, haz lo siguiente:
-
En la Google Cloud consola, ve a la página Gestión de identidades y accesos:
Ve a Gestión de identidades y accesos.
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo sea IAM y administrador.
En la página Gestión de identidades y accesos se muestran todos los principales, sus roles de gestión de identidades y accesos y las condiciones asociadas a esos roles que se aplican a nivel de proyecto. En esta página no se muestran las vinculaciones de roles asociadas al archivo de políticas de una vista de registro.
Haz clic en
Conceder acceso.En el campo Principales nuevos, añade la cuenta de correo del usuario.
En el menú desplegable Seleccionar un rol, selecciona Accessor de vista de registros.
Este rol proporciona a los usuarios acceso de lectura a todas las vistas. Para limitar el acceso de los usuarios a una vista específica, añade una condición basada en el nombre del recurso.
Haz clic en Añadir condición de IAM.
Escribe un título y una descripción para la condición.
En el menú desplegable Tipo de condición, selecciona Recurso > Nombre.
En el menú desplegable Operador, selecciona es.
En el campo Value (Valor), introduzca el ID de la vista de registro, incluida la ruta completa a la vista.
Por ejemplo:
projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/LOG_VIEW_ID
Haz clic en Guardar para añadir la condición.
Haz clic en Guardar para definir los permisos.
gcloud
Para añadir un enlace de rol al archivo de política de IAM de un proyecto, sigue estos pasos:Google Cloud
Crea un archivo JSON o YAML con tu condición.
Por ejemplo, puedes crear un archivo llamado
condition.yaml
con el siguiente contenido:expression: "resource.name == \"projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/LOG_VIEW_ID\"" title: "My title" description: "My description"
Opcional: Para verificar que el archivo JSON o YAML tiene el formato correcto, ejecuta el siguiente comando:
gcloud alpha iam policies lint-condition --condition-from-file=condition.yaml
Actualiza la política de gestión de identidades y accesos del Google Cloud proyecto llamando al método
gcloud projects add-iam-policy-binding
.Antes de usar el siguiente comando, haz las sustituciones que se indican a continuación:
- PROJECT_ID: identificador del proyecto.
- PRINCIPAL: identificador de la cuenta principal a la que quieres asignar el rol. Los identificadores principales suelen tener el siguiente formato:
PRINCIPAL-TYPE:ID
. Por ejemplo,user:my-user@example.com
. Para ver una lista completa de los formatos que puede tenerPRINCIPAL
, consulta Identificadores principales.
Ejecuta el comando
gcloud projects add-iam-policy-binding
:gcloud projects add-iam-policy-binding PROJECT_ID --member=PRINCIPAL --role='roles/logging.viewAccessor' --condition-from-file=condition.yaml
La respuesta al comando anterior incluye todos los enlaces de rol.
- condition: description: My description expression: resource.name == "projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/LOG_VIEW_ID" title: My title members: - PRINCIPAL role: roles/logging.viewAccessor
Opcional: Para enumerar las vinculaciones de roles de un Google Cloud proyecto, usa el comando
gcloud projects get-iam-policy
:gcloud projects get-iam-policy PROJECT_ID
Antes de usar el siguiente comando, haz las sustituciones que se indican a continuación:
- PROJECT_ID: identificador del proyecto.
La respuesta al comando anterior incluye todos los enlaces de rol.
- condition: description: My description expression: resource.name == "projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/LOG_VIEW_ID" title: My title members: - PRINCIPAL role: roles/logging.viewAccessor
Terraform
Para saber cómo aplicar o quitar una configuración de Terraform, consulta Comandos básicos de Terraform. Para obtener más información, consulta la documentación de referencia del proveedor Terraform.
Para aprovisionar asociaciones de IAM para proyectos mediante Terraform, hay varios recursos disponibles:
google_project_iam_policy
google_project_iam_binding
google_project_iam_member
Para obtener más información, consulta la política de gestión de identidades y accesos de los proyectos.
Para enumerar las asociaciones de IAM de proyectos con Terraform, usa la fuente de datos
google_project_iam_policy
.Mostrar todos los enlaces de rol de una vista de registro
La página Gestión de identidades y accesos de la consola Google Cloud muestra las asignaciones de roles a nivel de proyecto. En esta página no se muestran las vinculaciones de roles que están asociadas a recursos, como las vistas de registro. En esta sección se describe cómo puede ver todos los enlaces de roles de una vista de registro específica.
Para enumerar las vinculaciones de IAM asociadas a una vista de registro, sigue estos pasos.
-
En la Google Cloud consola, ve a la página Almacenamiento de registros:
Ve a Almacenamiento de registros.
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuya sección sea Registro.
- Selecciona el proyecto, la carpeta o la organización que almacena el segmento de registro.
- En el panel Contenedores de registros, seleccione el nombre del contenedor de registros que aloja la vista de registro.
- En la página de detalles del segmento de registro, ve al panel Vistas de registro.
En la vista de registro cuyos enlaces de rol quieras ver, haz clic en more_vert Acciones y, a continuación, selecciona Ajustar permisos.
En la ventana emergente de permisos se muestran todos los permisos asociados a la vista de registro:
En la sección Usuario con permiso para ver registros (N) se muestran las entidades de seguridad a las que se ha concedido el rol Usuario con permiso para ver registros a nivel de proyecto. Estas principales tienen acceso a todas las vistas de registro del proyecto.
En las secciones etiquetadas como Condición de usuario con permiso para ver registros:texto descriptivo específico de la condición (N) se enumeran las entidades que tienen concesiones condicionales a nivel de proyecto del rol Usuario con permiso para ver registros. Estas entidades solo tienen acceso a la vista de registro especificada por la condición.
En la sección etiquetada como Condición de usuario con permiso para ver registros:abcde (N), se enumeran las entidades que tienen permisos a nivel de vista de registro.
En la siguiente captura de pantalla se muestra una ventana emergente de permisos en la que dos principales tienen asignaciones de roles a nivel de proyecto, que se identifican con el icono de proyecto
, y un principal tiene una asignación a nivel de vista de registro:
Para cerrar el menú desplegable, haz clic en X.
Mostrar las vistas de registro de un segmento de registros
Consola
-
En la Google Cloud consola, ve a la página Almacenamiento de registros:
Ve a Almacenamiento de registros.
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuya sección sea Registro.
- Selecciona el proyecto, la carpeta o la organización que almacena el segmento de registro.
En el panel Contenedores de registros, seleccione el nombre del contenedor de registros que aloja la vista de registro.
Se abrirá la página de detalles del segmento de registro. En el panel Vistas de registro se muestran las vistas de registro del segmento de registro.
gcloud
Para enumerar las vistas de registro creadas en un segmento de registro, usa el comando
gcloud logging views list
.Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:
- BUCKET_NAME: el nombre del segmento de registro.
- LOCATION: la ubicación del segmento de registro.
- PROJECT_ID: identificador del proyecto. Si es necesario, sustituye
--project
por--folder
o--organization
.
Ejecuta el comando
gcloud logging views list
:Linux, macOS o Cloud Shell
gcloud logging views list \ --bucket=BUCKET_NAME --location=LOCATION \ --project=PROJECT_ID
Windows (PowerShell)
gcloud logging views list ` --bucket=BUCKET_NAME --location=LOCATION ` --project=PROJECT_ID
Windows (cmd.exe)
gcloud logging views list ^ --bucket=BUCKET_NAME --location=LOCATION ^ --project=PROJECT_ID
Los datos de la respuesta son una lista de vistas de registro. En cada vista de registro, se muestra el filtro junto con las fechas de creación y de última actualización. Si las fechas de creación y actualización están vacías, la vista de registro se creó cuando se creó el proyecto. Google Cloud En el siguiente ejemplo de salida se muestra que hay dos IDs de vista,
_AllLogs
ycompute
, en el segmento de registro consultado:VIEW_ID: _AllLogs FILTER: CREATE_TIME: UPDATE_TIME: VIEW_ID: compute FILTER: resource.type="gce_instance" CREATE_TIME: 2024-02-20T17:41:17.405162921Z UPDATE_TIME: 2024-02-20T17:41:17.405162921Z
Terraform
Puedes usar Terraform para crear y modificar una vista de registro. Sin embargo, no puedes usar Terraform para enumerar tus vistas de registro.
Actualizar una vista de registro
Consola
-
En la Google Cloud consola, ve a la página Almacenamiento de registros:
Ve a Almacenamiento de registros.
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuya sección sea Registro.
- Selecciona el proyecto, la carpeta o la organización que almacena el segmento de registro.
- En el panel Contenedores de registros, seleccione el nombre del contenedor de registros que aloja la vista de registro.
- En la página de detalles del segmento de registro, ve al panel Vistas de registro.
En la vista de registro cuyos detalles quieras actualizar, haz clic en more_vert Más y, a continuación, en Editar vista.
Puedes editar la descripción y el filtro de la vista de registro.
Cuando hayas terminado de hacer los cambios, haz clic en Guardar vista.
gcloud
Para actualizar o modificar una vista de registro, usa el comando
gcloud logging views update
. Si no conoce el ID de la vista, consulte Listar vistas de registro.Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:
- LOG_VIEW_ID: identificador de la vista de registro, que tiene un límite de 100 caracteres y solo puede incluir letras, dígitos, guiones bajos y guiones.
- BUCKET_NAME: el nombre del segmento de registro.
- LOCATION: la ubicación del segmento de registro.
- FILTER: filtro que define la vista de registro. Si está vacío, la vista de registro incluye todos los registros. Por ejemplo, para filtrar los registros de instancias de VM de Compute Engine, introduce
"resource.type=gce_instance"
. - DESCRIPTION: descripción de la vista de registro. Por ejemplo, puedes introducir lo siguiente en la
descripción
"New description for the log view"
. - PROJECT_ID: identificador del proyecto. Si es necesario, sustituye
--project
por--folder
o--organization
.
Ejecuta el comando
gcloud logging views update
:Linux, macOS o Cloud Shell
gcloud logging views update LOG_VIEW_ID \ --bucket=BUCKET_NAME --location=LOCATION \ --log-filter=FILTER --description=DESCRIPTION \ --project=PROJECT_ID
Windows (PowerShell)
gcloud logging views update LOG_VIEW_ID ` --bucket=BUCKET_NAME --location=LOCATION ` --log-filter=FILTER --description=DESCRIPTION ` --project=PROJECT_ID
Windows (cmd.exe)
gcloud logging views update LOG_VIEW_ID ^ --bucket=BUCKET_NAME --location=LOCATION ^ --log-filter=FILTER --description=DESCRIPTION ^ --project=PROJECT_ID
Este comando no proporciona una respuesta. Para confirmar los cambios, puedes ejecutar el comando
gcloud logging views describe
.Terraform
Para saber cómo aplicar o quitar una configuración de Terraform, consulta Comandos básicos de Terraform. Para obtener más información, consulta la documentación de referencia del proveedor Terraform.
Para modificar una vista de registro en un proyecto, una carpeta o una organización con Terraform, usa el recurso de Terraform
google_logging_log_view
.Eliminar una vista de registro
Cuando ya no necesites una vista de registro que hayas creado, puedes eliminarla. Sin embargo, antes de eliminar una vista de registro, le recomendamos que verifique que otro recurso, como una consulta guardada, no haga referencia a ella.
No puedes eliminar la vista de registro
_Default
del segmento de registro_Default
.Consola
-
En la Google Cloud consola, ve a la página Almacenamiento de registros:
Ve a Almacenamiento de registros.
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuya sección sea Registro.
- Selecciona el proyecto, la carpeta o la organización que almacena el segmento de registro.
- En el panel Contenedores de registros, seleccione el nombre del contenedor de registros que aloja la vista de registro.
- En la página de detalles del segmento de registro, ve al panel Vistas de registro y selecciona la casilla de la vista de registro que quieras eliminar.
- En la barra de herramientas del panel Vistas de registro, haz clic en Eliminar vista y, a continuación, completa el cuadro de diálogo.
gcloud
Para eliminar una vista de registro, sigue estos pasos:
Recomendación: revisa tu Google Cloud proyecto para asegurarte de que no se haga referencia a la vista de registro. Te recomendamos que examines lo siguiente:
- Consultas ejecutadas desde las páginas Explorador de registros o Analíticas de registros que se hayan guardado o compartido.
- Paneles de control personalizados.
Usa el comando
gcloud logging views delete
. Si no conoce el ID de la vista, consulte Listar vistas de registro.Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:
- LOG_VIEW_ID: identificador de la vista de registro, que tiene un límite de 100 caracteres y solo puede incluir letras, dígitos, guiones bajos y guiones.
- BUCKET_NAME: el nombre del segmento de registro.
- LOCATION: la ubicación del segmento de registro.
- PROJECT_ID: identificador del proyecto. Si es necesario, sustituye
--project
por--folder
o--organization
.
Ejecuta el comando
gcloud logging views delete
:Linux, macOS o Cloud Shell
gcloud logging views delete LOG_VIEW_ID \ --bucket=BUCKET_NAME --location=LOCATION \ --project=PROJECT_ID
Windows (PowerShell)
gcloud logging views delete LOG_VIEW_ID ` --bucket=BUCKET_NAME --location=LOCATION ` --project=PROJECT_ID
Windows (cmd.exe)
gcloud logging views delete LOG_VIEW_ID ^ --bucket=BUCKET_NAME --location=LOCATION ^ --project=PROJECT_ID
La respuesta confirma la eliminación. Por ejemplo, a continuación se muestra la respuesta a la eliminación de una vista de registro llamada
tester
:Deleted [tester].
Terraform
Para saber cómo aplicar o quitar una configuración de Terraform, consulta Comandos básicos de Terraform. Para obtener más información, consulta la documentación de referencia del proveedor Terraform.
Describe una vista de registro
Consola
-
En la Google Cloud consola, ve a la página Almacenamiento de registros:
Ve a Almacenamiento de registros.
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuya sección sea Registro.
- En el panel Contenedores de registros, seleccione el nombre del contenedor de registros que aloja la vista de registro.
- En la página de detalles del segmento de registro, ve al panel Vistas de registro.
- En la vista de registro cuyos detalles quieras ver, haz clic en more_vert Más y, a continuación, en Editar vista.
- Para cerrar el cuadro de diálogo sin guardar los cambios, haz clic en Cancelar.
gcloud
Para obtener información detallada sobre una vista de registro, usa el comando
gcloud logging views describe
. Si no conoce el ID de la vista, consulte Listar vistas de registro.Antes de usar los datos de los comandos que se indican a continuación, haz los siguientes cambios:
- LOG_VIEW_ID: identificador de la vista de registro, que tiene un límite de 100 caracteres y solo puede incluir letras, dígitos, guiones bajos y guiones.
- BUCKET_NAME: el nombre del segmento de registro.
- LOCATION: la ubicación del segmento de registro.
- PROJECT_ID: identificador del proyecto. Si es necesario, sustituye
--project
por--folder
o--organization
.
Ejecuta el comando
gcloud logging views describe
:Linux, macOS o Cloud Shell
gcloud logging views describe LOG_VIEW_ID \ --bucket=BUCKET_NAME --location=LOCATION\ --project=PROJECT_ID
Windows (PowerShell)
gcloud logging views describe LOG_VIEW_ID ` --bucket=BUCKET_NAME --location=LOCATION` --project=PROJECT_ID
Windows (cmd.exe)
gcloud logging views describe LOG_VIEW_ID ^ --bucket=BUCKET_NAME --location=LOCATION^ --project=PROJECT_ID
La respuesta siempre incluye la descripción y el nombre completo de la vista de registro. También incluye el filtro cuando el campo de filtro no está vacío. A continuación, se muestra un ejemplo de respuesta:
createTime: '2024-02-20T17:41:17.405162921Z' filter: resource.type="gce_instance" name: projects/my-project/locations/global/buckets/my-bucket/views/compute updateTime: '2024-02-20T17:41:17.405162921Z'
Terraform
Puedes usar Terraform para crear y modificar una vista de registro. Sin embargo, no puedes usar Terraform para mostrar los detalles de una vista de registro.
Ver los registros asociados a una vista de registro
Puede mostrar las entradas de registro en una vista de registro mediante el Explorador de registros o la página Analíticas de registros. Cuando usas el Explorador de registros, debes configurar el ámbito y seleccionar una vista de registro. Cuando usas la página Analíticas de registros, consultas una vista de registro.
Para consultar una vista de registro con el Explorador de registros, haz lo siguiente:
-
En la Google Cloud consola, ve a la página Explorador de registros:
Ve al Explorador de registros.
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuya sección sea Registro.
Selecciona los recursos en los que se han buscado entradas de registro:
Cuando en la barra de herramientas se muestre
Registros del proyecto, despliega el menú, selecciona Vista de registro y, a continuación, la vista de registro que quieras consultar.
Cuando la barra de herramientas muestre algo parecido a
1 vista de registro, amplíe el menú, seleccione Vista de registro y, a continuación, elija la vista o las vistas de registro que quiera consultar.
De lo contrario, la barra de herramientas mostrará un icono
y el nombre de un ámbito de registro, como _Default. Despliega el menú, selecciona Vista de registro y, a continuación, selecciona la vista de registro que quieras consultar.
Para obtener más información, consulta la documentación del Explorador de registros.
Siguientes pasos
Para saber cómo controlar el acceso a campos específicos de una entrada de registro, consulta Configurar el acceso a nivel de campo.
A menos que se indique lo contrario, el contenido de esta página está sujeto a la licencia Reconocimiento 4.0 de Creative Commons y las muestras de código están sujetas a la licencia Apache 2.0. Para obtener más información, consulta las políticas del sitio web de Google Developers. Java es una marca registrada de Oracle o sus afiliados.
Última actualización: 2025-09-11 (UTC).