Como gerenciar visualizações de registros nos buckets

Com as visualizações de registro, é possível controlar quem tem acesso aos registros nos seus buckets. Usando o Log Router e Como gerenciar buckets de registros, é possível centralizar ou subdividir seu armazenamento de registros com base nas suas necessidades. As visualizações de registros personalizadas oferecem uma maneira avançada e granular de controlar o acesso aos registros nesses buckets.

Por exemplo, considere um cenário no qual você armazena todos os registros da sua organização em um projeto central. Como os buckets de registros podem conter registros de vários projetos, controle quais projetos diferentes usuários podem ver. Com as visualizações de registro personalizadas, é possível conceder a um usuário o acesso somente aos registros de um único projeto e conceder a outro usuário acesso aos registros de todos os projetos.

O Cloud Logging cria automaticamente a visualização _AllLogs para cada bucket, que mostra todos os registros. O Cloud Logging também cria uma visualização para o bucket _Default chamada _Default. A visualização _Default do bucket _Default mostra todos os registros, exceto os de auditoria de acesso a dados. As visualizações _AllLogs e _Default não são editáveis.

As instruções a seguir explicam como criar, ver, atualizar e excluir visualizações de registros. O gerenciamento de visualizações de registros envolve a execução das seguintes ações:

  1. Use a ferramenta de linha de comando gcloud ou a API para criar a visualização.
  2. Configurar as permissões de gerenciamento de identidade e acesso (IAM, na sigla em inglês) por meio do Console do Google Cloud ou por meio da ferramenta de linha de comando da gcloud.

Antes de começar

Antes de criar uma visualização de registro, siga estas etapas:

Ao criar uma visualização de registro, esteja ciente das seguintes condições:

  • O filtro para uma visualização de registro pode conter o seguinte:

  • O filtro para uma visualização de registros não pode conter operadores OR.

  • É possível criar, no máximo, 30 visualizações por bucket.

Como criar uma visualização de registros

Para criar uma visualização de registro, execute o seguinte comando, substituindo as partes em negrito por suas próprias informações:

gcloud logging views create VIEW_ID \
  --log-filter="resource.type=gce_instance" --bucket=BUCKET_NAME \
  --location=LOCATION --description="Log view for the central log bucket for Compute Engine instance"

Liste as visualizações do bucket para confirmar se a visualização foi criada:

gcloud logging views list --bucket=BUCKET_NAME --location=LOCATION

Como adicionar usuários a uma visualização de registro

Para adicionar usuários a uma visualização para que eles possam acessar os registros, conclua as etapas a seguir.

gcloud

  1. Acesse a política do IAM do projeto e grave-a em um arquivo local no formato JSON:

    gcloud projects get-iam-policy PROJECT_ID --format json > output.json
    
  2. Adicione uma condição do IAM que permita ao usuário ler o bucket que você criou. Exemplo:

    {
      "bindings": [
        {
          "members": [
            "username@gmail.com"
          ],
          "role": "roles/logging.viewAccessor",
          "condition": {
              "title": "Bucket reader condition example",
              "description": "Grants logging.viewAccessor role to user username@gmail.com for the [VIEW_ID] log view.",
              "expression":
                "resource.name == \"projects/[PROJECT_ID]/locations/[LOCATION]/buckets/[BUCKET_NAME]/views/[VIEW_ID]\""
          }
        }
      ],
      "etag": "BwWd_6eERR4=",
      "version": 3
    }
  3. Atualize a política do IAM:

    gcloud projects set-iam-policy PROJECT_ID output.json
    

Console

  1. No Console do Cloud do projeto em que você criou o bucket, acesse a página do IAM.

    Acessar a página do IAM

  2. Clique em Adicionar.

  3. No campo Novo membro, adicione a conta de e-mail do usuário.

  4. No menu suspenso Selecionar um papel, escolha Acessador de visualizações de registros.

    Este papel fornece aos usuários acesso de leitura a todas as visualizações. Para limitar o acesso do usuário a uma visualização específica, adicione uma condição com base no nome do recurso.

    1. Clique em Adicionar condição.

    2. Insira um Título e uma Descrição para a condição.

    3. No menu suspenso Tipo de condição, selecione Recurso > Nome.

    4. No menu suspenso Operador, selecione é.

    5. No campo Valor, insira o ID da visualização do registro, incluindo o caminho completo dela.

      Exemplo:

      projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/VIEW_ID
    6. Clique em Salvar para adicionar a condição.

  5. Clique em Salvar para definir as permissões.

Para mais informações, consulte a visão geral das condições do IAM.

Como atualizar uma visualização de registros

Para atualizar uma visualização de registro, execute o seguinte comando, substituindo as partes em negrito por suas próprias informações:

gcloud logging views update VIEW_ID \
  --log-filter="resource.type=gce_instance" --bucket=NEW_BUCKET_NAME \
  --location=LOCATION --description="New description for the log view"

Liste as visualizações do bucket para confirmar se a visualização foi atualizada:

gcloud logging views list --bucket=NEW_BUCKET_NAME --location=LOCATION

Não é possível atualizar as visualizações _Default e _AllLogs.

Como excluir uma visualização de registro

Para excluir uma visualização de registro, execute o seguinte comando, substituindo as partes em negrito por suas próprias informações:

gcloud logging views delete VIEW_ID \
  --bucket=BUCKET_NAME --location=LOCATION

Liste as visualizações do bucket para confirmar se a visualização foi excluída:

gcloud logging views list --bucket=BUCKET_NAME --location=LOCATION

Como exibir informações sobre uma visualização de registros

Para descrever uma visualização de registro, execute o seguinte comando, substituindo as partes em negrito por suas próprias informações:

gcloud logging views describe VIEW_ID \
  --bucket=BUCKET_NAME --location=LOCATION

Como exibir registros associados a uma visualização de registros

Para visualizar os registros em uma visualização de registro, verifique se você tem o papel roles/logging.viewAccessor para a visualização do registro.

Acessar o Explorador de registros

Acessar o Explorador de registros

Clique em Refinar escopo para exibir o painel Refinar escopo. A partir daqui, é possível selecionar o bucket e a visualização de registro que quer usar para exibir os registros.

O painel Refinar escopo

Para mais informações, consulte a documentação do Explorador de registros.

A seguir

Acesse o Explorador de registros para verificar se a visualização que você criou fornece acesso aos registros corretos.

Acessar o Explorador de registros