Esta página foi traduzida pela API Cloud Translation.
Switch to English

Como gerenciar visualizações de registros nos seus buckets

As visualizações de registros permitem controlar quem tem acesso aos registros nos buckets de registros. Usando o Roteador de registros e os buckets de registros, é possível centralizar ou subdividir o armazenamento de registros com base nas suas necessidades. As visualizações de registros personalizadas oferecem uma maneira avançada e granular de controlar o acesso aos registros nesses buckets.

Por exemplo, considere um cenário em que você armazena todos os registros da sua organização em um projeto central. Como os buckets de registros podem conter registros de vários projetos, convém controlar de quais projetos diferentes os usuários podem ver os registros. Com as visualizações de registros personalizadas, é possível conceder a um usuário acesso aos registros somente de um único projeto enquanto concede acesso de outro usuário aos registros de todos os projetos.

O Cloud Logging cria automaticamente a visualização _AllLogs para cada bucket, que mostra todos os registros. O Cloud Logging também cria uma visualização para o bucket _Default chamado _Default. A visualização _Default do bucket _Default mostra todos os registros, exceto os de auditoria de acesso a dados. As visualizações _AllLogs e _Default não são editáveis.

As instruções a seguir explicam como criar, ver, atualizar e excluir visualizações de registros. O gerenciamento de visualizações de registros envolve a execução das seguintes ações:

  1. Use a ferramenta de linha de comando gcloud ou a API para criar a visualização.
  2. Configurar as permissões de gerenciamento de identidade e acesso (IAM, na sigla em inglês) por meio do Console do Google Cloud ou por meio da ferramenta de linha de comando da gcloud.

Antes de começar

Antes de criar uma visualização de registros, siga estas etapas:

Ao criar uma visualização de registros, lembre-se das seguintes condições:

  • O filtro de uma visualização de registros pode conter o seguinte:

  • O filtro de uma visualização de registros não pode conter operadores OR.

Como criar uma visualização de registros

Para criar uma visualização de registros, execute o seguinte comando, substituindo as partes em negrito pelas suas próprias informações:

gcloud beta logging views create VIEW_ID \
  --log-filter="resource.type=gce_instance" --bucket=BUCKET_NAME \
  --location=LOCATION --description="Logs view for the central logs bucket for Compute Engine instance"

Liste as visualizações do bucket para confirmar se a visualização foi criada:

gcloud beta logging views list --bucket=BUCKET_NAME --location=LOCATION

Como adicionar usuários a uma visualização de registros

Para adicionar usuários a uma visualização para que eles possam acessar os registros, conclua as etapas a seguir.

gcloud

  1. Acesse a política do IAM do projeto e grave-a em um arquivo local no formato JSON:

    gcloud projects get-iam-policy PROJECT_ID --format json > output.json
    
  2. Adicione uma condição do IAM que permita ao usuário ler o bucket que você criou. Exemplo:

    {
      "bindings": [
        {
          "members": [
            "username@gmail.com"
          ],
          "role": "roles/logging.viewAccessor",
          "condition": {
              "title": "Bucket reader condition example",
              "description": "Grants logging.viewAccessor role to user username@gmail.com for the [VIEW_ID] Logs View.",
              "expression":
                "resource.name == \"projects/[PROJECT_ID]/locations/[LOCATION]/buckets/[BUCKET_NAME]/views/[VIEW_ID]\""
          }
        }
      ],
      "etag": "BwWd_6eERR4=",
      "version": 3
    }
  3. Atualize a política do IAM:

    gcloud projects set-iam-policy PROJECT_ID output.json
    

Console

  1. No Console do Cloud do projeto em que você criou o bucket, acesse a página do IAM.

    Acessar a página do IAM

  2. Clique em Adicionar.

  3. No campo Novo membro, adicione a conta de e-mail do usuário.

  4. No menu suspenso Selecionar um papel, selecione Acessador de visualizações de registros.

    Este papel fornece aos usuários acesso de leitura a todas as visualizações. Para limitar o acesso do usuário a uma visualização específica, adicione uma condição com base no nome do recurso.

    1. Clique em Adicionar condição.

    2. Insira um Título e uma Descrição para a condição.

    3. No menu suspenso Tipo de condição, selecione Recurso > Nome.

    4. No menu suspenso Operador, selecione é.

    5. No campo Valor, insira o ID da visualização de registros, incluindo o caminho completo da visualização.

      Exemplo:

      projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/VIEW_ID
    6. Clique em Salvar para adicionar a condição.

  5. Clique em Salvar para definir as permissões.

Para mais informações, consulte a visão geral das condições do IAM.

Como atualizar uma visualização de registros

Para atualizar uma visualização de registros, execute o seguinte comando, substituindo as partes em negrito pelas suas próprias informações:

gcloud beta logging views update VIEW_ID \
  --log-filter="resource.type=gce_instance" --bucket=NEW_BUCKET_NAME \
  --location=LOCATION --description="New description for the Logs View"

Liste as visualizações do bucket para confirmar se a visualização foi atualizada:

gcloud beta logging views list --bucket=NEW_BUCKET_NAME --location=LOCATION

Não é possível atualizar as visualizações _Default e _AllLogs.

Como excluir uma visualização de registros

Para excluir uma visualização de registros, execute o seguinte comando, substituindo as partes em negrito pelas suas próprias informações:

gcloud beta logging views delete VIEW_ID \
  --bucket=BUCKET_NAME --location=LOCATION

Liste as visualizações do bucket para confirmar se a visualização foi excluída:

gcloud beta logging views list --bucket=BUCKET_NAME --location=LOCATION

Como visualizar informações sobre uma visualização de registros

Para descrever uma visualização de registros, execute o seguinte comando, substituindo as partes em negrito pelas suas próprias informações:

gcloud beta logging views describe VIEW_ID \
  --bucket=BUCKET_NAME --location=LOCATION

Como visualizar registros associados a uma visualização de registros

Para visualizar registros em uma visualização de registros, verifique se você tem o papel roles/logging.viewAccessor para a visualização de "Registros".

Acessar o Explorador de registros

Acessar o Explorador de registros

Clique em Refinar escopo para exibir o painel Refinar escopo. Aqui, é possível selecionar o bucket de registros e a visualização de registros que você quer usar para ver os registros.

O painel Refinar escopo

Para mais informações, consulte a documentação do Explorador de registros.

A seguir

Acesse o Explorador de registros para verificar se a visualização que você criou fornece acesso aos registros corretos.

Acessar o Explorador de registros