Administra vistas de registros en tus buckets de registros

Las vistas de registro te permiten controlar quién tiene acceso a los registros en tus buckets de registros. Puedes usar el Enrutador de registros y los Buckets de registros para centralizar o subdividir el almacenamiento de registros según tus necesidades. Las vistas de registro personalizadas te proporcionan una forma avanzada y detallada para controlar el acceso a los registros en esos buckets de registros.

Por ejemplo, imagina una situación en la que almacenas todos los registros de tu organización en un proyecto central. Es posible que desees controlar de qué proyectos pueden ver los registros los diferentes usuarios debido a que los buckets de registros pueden contener registros de varios proyectos. Mediante las vistas personalizadas de registros, puedes otorgar a un usuario acceso a los registros solo desde un único proyecto, mientras que le otorgas a otro usuario acceso a los registros de todos los proyectos.

Cloud Logging crea de forma automática la vista _AllLogs para cada bucket, que muestra todos los registros. Cloud Logging también crea una vista para el bucket _Default llamado _Default. En la vista _Default del bucket _Default, se muestran todos los registros, excepto los registros de auditoría de acceso a los datos. Las vistas _AllLogs y _Default no se pueden editar.

En las siguientes instrucciones, se explica cómo crear, ver, actualizar y borrar vistas de registro. Administrar vistas de registros implica realizar las siguientes acciones:

  1. Usar la herramienta de línea de comandos de gcloud o la API para crear la vista.
  2. Configurar los permisos de administración de identidades y accesos (IAM) a través de Google Cloud Console o a través de la herramienta de línea de comandos de gcloud.

Antes de comenzar

Antes de crear una vista de registros, realiza los pasos que se indican a continuación:

  • Si aún no lo hiciste, crea un nuevo buckets de registros y enruta los registros al bucket.

  • Determina qué registros deseas incluir en la vista.

  • Asegúrate de tener una de las siguientes funciones:

    • roles/logging.admin

    • roles/logging.configWriter

  • Si aún no lo hiciste, instala el SDK de Cloud. Es posible que los comandos de gcloud de esta guía no se ejecuten correctamente en Cloud Shell, por lo que debes ejecutarlos en una terminal local.

Crea una vista de registros

Para crear una vista de registros, ejecuta el siguiente comando y reemplaza las partes en negrita con tu propia información:

gcloud alpha logging views create VIEW_ID \
  --log-filter="resource.type=gce_instance" --bucket=BUCKET_NAME \
  --location=LOCATION --description="Logs view for the central logs bucket for Compute Engine instance"

Enumera las vistas del bucket para confirmar que se creó tu vista:

gcloud alpha logging views list --bucket=BUCKET_NAME --location=LOCATION

Agrega usuarios a una vista de registros

Para agregar usuarios a una vista a fin de permitirles acceder a los registros, completa los siguientes pasos.

gcloud

  1. Obtén la política de IAM del proyecto y escríbela en un archivo local en formato JSON:

    gcloud projects get-iam-policy PROJECT_ID --format json > output.json
    
  2. Agrega una condición de IAM que permita al usuario leer desde el bucket que creaste. Por ejemplo:

    {
      "bindings": [
        {
          "members": [
            "username@gmail.com"
          ],
          "role": "roles/logging.viewAccessor",
          "condition": {
              "title": "Bucket reader condition example",
              "description": "Grants logging.viewAccessor role to user username@gmail.com for the [VIEW_ID] Logs View.",
              "expression":
                "resource.name == \"projects/[PROJECT_ID]/locations/[LOCATION]/buckets/[BUCKET_NAME]/views/[VIEW_ID]\""
          }
        }
      ],
      "etag": "BwWd_6eERR4=",
      "version": 3
    }
  3. Actualiza la política de IAM:

    gcloud projects set-iam-policy PROJECT_ID output.json
    

Console

  1. Ve a la página de IAM en Cloud Console para el proyecto en el que creaste el bucket.

    Ir a la página IAM

  2. Haz clic en Agregar.

  3. En el campo Miembro nuevo, agrega la cuenta de correo electrónico del usuario.

  4. En el menú desplegable Seleccionar una función, selecciona descriptor de acceso de vistas de registro.

    Esta función les proporciona a los usuarios acceso de lectura a todas las vistas. Para limitar el acceso de los usuarios a un depósito específico, agrega una condición basada en el nombre del recurso.

    1. Haz clic en Agregar condición:

    2. Ingresa un Título y una Descripción para la condición.

    3. En el menú desplegable Tipo de condición, selecciona Recurso > Nombre.

    4. En el menú desplegable Operador, selecciona es.

    5. En el campo Valor, ingresa el ID de la vista de registros, incluida la ruta de acceso completa a la vista.

      Por ejemplo:

      projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/VIEW_ID
    6. Haga clic en Guardar para agregar la condición.

  5. Haz clic en Guardar para configurar los permisos.

Para obtener más información, consulta la Descripción general de las Condiciones de IAM.

Actualiza una vista de registros

Para actualizar una vista de registros, ejecuta el siguiente comando y reemplaza las partes en negrita con tu propia información:

gcloud alpha logging views update VIEW_ID \
  --log-filter="resource.type=gce_instance" --bucket=NEW_BUCKET_NAME \
  --location=LOCATION --description="New description for the Logs View"

Enumera las vistas del bucket para confirmar que se actualizó:

gcloud alpha logging views list --bucket=NEW_BUCKET_NAME --location=LOCATION

No puedes actualizar las vistas _Default y _AllLogs.

Borra una vista de registros

Para borrar una vista de registros, ejecuta el siguiente comando y reemplaza las partes en negrita con tu propia información:

gcloud alpha logging views delete VIEW_ID \
  --bucket=BUCKET_NAME --location=LOCATION

Enumera las vistas del bucket para confirmar que se borró:

gcloud alpha logging views list --bucket=BUCKET_NAME --location=LOCATION

Visualiza la información sobre una vista de registros

Para describir una vista de registros, ejecuta el siguiente comando y reemplaza las partes en negrita con tu propia información:

gcloud alpha logging views describe VIEW_ID \
  --bucket=BUCKET_NAME --location=LOCATION

Visualiza los registros asociados con una vista de registros

Para ver los registros en una vista de registros, asegúrate de tener la función roles/logging.viewAccessor de la vista de registros.

Ve al Explorador de registros.

Ir al Explorador de registros

Haz clic en Define mejor el permiso para mostrar el panel Define mejor el permiso. Desde aquí, puedes seleccionar el bucket de registros y la vista de registros que deseas usar para ver los registros.

El panel define mejor el alcance

Para obtener más información, consulta la documentación del Explorador de registros.

¿Qué sigue?

Ve al Explorador de registros para verificar que la vista que creaste proporcione acceso a los registros correctos.

Ir al Explorador de registros