En este documento, se presentan los buckets de registros, que son los contenedores que usa Cloud Logging para almacenar tus datos de registros. Proporciona información sobre la ubicación, la administración de la clave de encriptación y la retención de datos para los buckets de registros. También se destaca dónde puedes usar políticas de la organización o la configuración predeterminada de los recursos para controlar la ubicación y la encriptación de los nuevos buckets de registros en carpetas u organizaciones.
Acerca de los buckets de registros
De forma predeterminada, Cloud Logging encripta el contenido del cliente almacenado en reposo. Los datos que Logging almacena en los buckets de registros se encriptan con claves de encriptación de claves, un proceso conocido como encriptación de sobre. Acceder a tus datos de registro requiere acceso a esas claves de encriptación de claves. De forma predeterminada, estos son Google-owned and Google-managed encryption keys y no requieren ninguna acción de tu parte.
Es posible que tu organización tenga requisitos de encriptación avanzados, regulatorios o relacionados con el cumplimiento que nuestra encriptación en reposo predeterminada no proporciona. Para cumplir con los requisitos de tu organización, en lugar de usarGoogle-owned and Google-managed encryption keys, puedes administrar tus propias claves.
Los buckets de registros son recursos regionales con una ubicación fija. Google Cloud administra esa infraestructura para que tus aplicaciones estén disponibles de forma redundante en todas las zonas dentro de esa región.
El período de retención de los datos almacenados por un bucket de registros depende del bucket de registros. En este documento, se incluye información sobre la retención de datos.
Puedes crear vistas de registros en un bucket de registros. Una vista de registros proporciona acceso solo a un subconjunto de los datos de registros almacenados en un bucket de registros. Para cada bucket de registros, Cloud Logging crea automáticamente una vista de registros que proporciona acceso a cada entrada de registro en el bucket de registros. Puedes controlar el acceso a una vista de registros con Identity and Access Management (IAM).
Para consultar y ver tus datos de registro, usa el Explorador de registros o las páginas de Log Analytics de la consola de Google Cloud :
La página del Explorador de registros te ayuda a solucionar problemas y analizar el rendimiento de tus servicios y aplicaciones. Puedes ver entradas de registro individuales y filtrar tus datos de registro. Esta interfaz tiene un parámetro de configuración de alcance que te permite buscar datos de registro por proyecto, bucket de registros o vista de registro.
La página de Log Analytics ofrece una interfaz de SQL que te permite realizar análisis agregados en tus datos de registros almacenados en un bucket de registros actualizado para usar estadísticas. Por ejemplo, usa esta interfaz para calcular y graficar tendencias. Puedes consultar vistas de registros y vistas de análisis.
Para obtener más información, consulta Cómo consultar y ver entradas de registro.
Compatibilidad con organizaciones y carpetas
Para ayudar a tu organización a satisfacer las necesidades de cumplimiento y reglamentarias, el registro admite tanto las políticas de la organización como la configuración predeterminada de los recursos:
La configuración predeterminada de los recursos especifica la ubicación y la forma en que se administran las claves de encriptación para los buckets de registros creados por el sistema cuando se crean recursos nuevos en una carpeta o una organización. Por ejemplo, puedes forzar que estos buckets de registros creados por el sistema se encuentren en una ubicación específica.
Una política de la organización puede restringir la ubicación de los buckets de registros nuevos definidos por el usuario. El registro admite políticas de la organización que especifican regiones en las que se pueden crear o no buckets de registros.
Buckets de registros creados por el sistema
Para cada proyecto, cuenta de facturación, carpeta u organización de Google Cloud , Cloud Logging crea dos buckets de registros, uno llamado _Required y el otro llamado _Default. A menos que se configure la configuración predeterminada de recursos, para estos buckets de registros, estos buckets tienenGoogle-owned and Google-managed encryption keys y Cloud Logging selecciona su ubicación.
No puedes borrar los buckets de registros creados por el sistema.
Puedes actualizar los buckets de registros creados por el sistema para usar el análisis. Esta actualización te permite consultar tus datos de registro con la página Análisis de registros, que admite SQL.
Bucket de registro _Required
El bucket de registros _Required almacena las entradas de registro que se requieren para fines de cumplimiento o auditoría. Por este motivo, no puedes borrar este bucket de registros ni modificar las entradas de registro que se almacenan en él.
Las entradas de registro en este bucket de registros se conservan durante 400 días, y no puedes cambiar este período de retención.
Las entradas de registro que se almacenan en el bucket de registros _Required de un recurso también se originan en ese recurso. Es decir, el bucket de registros _Required en un proyecto Google Cloud solo puede almacenar entradas de registro que se originan en ese proyecto.
El bucket de registros _Required almacena los siguientes tipos de entradas de registro:
- Registros de auditoría de actividad del administrador
- Registros de auditoría de eventos del sistema
- Registros de auditoría del administrador de Google Workspace
- Registros de auditoría de Grupos Enterprise
- Registros de auditoría de accesos
Bucket de registro _Default
El bucket de registros _Default almacena las entradas de registro que no se almacenan automáticamente en el bucket de registros _Required. Como el bucket de registros _Default se crea de forma automática, no puedes borrarlo. Sin embargo, puedes modificar las entradas de registro que se almacenan en este bucket de registros.
Cloud Logging retiene las entradas de registro en el bucket _Default durante 30 días, a menos que configures una retención personalizada para el bucket.
Por ejemplo, este bucket de registros almacena lo siguiente:
- Registros de auditoría de acceso a los datos
- Registros de auditoría de política denegada
- Registros generados por aplicaciones y Google Cloud servicios.
Buckets de registros definidos por el usuario
Puedes crear buckets de registros definidos por el usuario en cualquier proyecto deGoogle Cloud . Cuando creas un bucket de registros definido por el usuario, seleccionas la ubicación y configuras el período de retención de datos. Tienes la opción de proporcionar una clave de encriptación administrada por el cliente.
Puedes actualizar los buckets de registros definidos por el usuario para usar el análisis. Esta actualización te permite consultar tus datos de registro con la página Análisis de registros, que admite SQL.
Puedes modificar y borrar los buckets de registros definidos por el usuario. Para evitar que se borre un bucket de registros que almacena entradas de registro dentro de su período de retención, puedes bloquear el bucket de registros para evitar actualizaciones.
Controla el acceso a un bucket de registros
Los permisos y roles de IAM controlan el acceso a los datos de registro. Por ejemplo, puedes hacer lo siguiente:
- Otorga acceso de lectura y edición a un bucket de registros.
- Otorga acceso de edición a un bucket de registros según la membresía del grupo con etiquetas.
- Controla el acceso a campos específicos en una entrada de registro configurando el acceso a nivel de campo en un bucket de registros.
Crea una vista de registros en ese bucket de registros para otorgar acceso a un subconjunto de entradas de registro en un bucket de registros.
Cada bucket de registros tiene una vista de registros predeterminada, que suele incluir todas las entrada de registro del bucket. En el bucket de registros
_Default, la vista de registros predeterminada excluye las entradas de registro de acceso a los datos.
Para otorgar a un usuario los permisos que necesita para ver y analizar entradas de registro, por lo general, se le otorga uno de los siguientes roles de IAM:
Rol de Visualizador de registros (
roles/logging.viewer): Otorga acceso a todas las entradas de registro en el bucket_Requiredy acceso a la vista de registros predeterminada en el bucket_Default.Rol de Private Logs Viewer (
roles/logging.privateLogViewer): Otorga acceso a todos los registros de los buckets_Requiredy_Default, incluidos los registros de acceso a datos.
Si creas buckets de registros o vistas de registros definidos por el usuario en buckets de registros, se requieren permisos adicionales. Para obtener más información sobre los roles, consulta Control de acceso con IAM.
Lista de regiones admitidas
Los buckets de registros son recursos regionales. La infraestructura que almacena, indexa y busca tus entradas de registro se encuentra en una ubicación geográfica específica. Con la excepción de los buckets de registros en las regiones global, eu o us, Google Cloud administra la infraestructura para que tus aplicaciones estén disponibles de forma redundante en todas las zonas dentro de la región del bucket de registros.
Cloud Logging admite las siguientes regiones:
Global
| Nombre de la región | Descripción de la región |
|---|---|
global |
Registros almacenados en cualquier centro de datos del mundo Es posible que los registros se muevan a diferentes centros de datos. A diferencia de otros recursos globales en Google Cloud, los buckets de registros globales en Cloud Logging no proporcionan garantías de redundancia adicionales en comparación con un bucket de registros regional. |
Multirregiones: UE y EE.UU.
No uses la ubicaciónglobal.
| Nombre de la región | Descripción de la región |
|---|---|
eu |
Registros almacenados en cualquier centro de datos dentro de la Unión Europea Es posible que los registros se muevan a diferentes centros de datos. No hay garantías de redundancia adicionales. |
us |
Registros almacenados en cualquier centro de datos dentro de Estados Unidos Es posible que los registros se muevan a diferentes centros de datos. No hay garantías de redundancia adicionales. |
África
| Nombre de la región | Descripción de la región |
|---|---|
africa-south1 |
Johannesburgo |
América
| Nombre de la región | Descripción de la región |
|---|---|
northamerica-northeast1 |
Montreal |
northamerica-northeast2 |
Toronto |
northamerica-south1 |
México |
southamerica-east1 |
São Paulo |
southamerica-west1 |
Santiago |
us-central1 |
Iowa |
us-east1 |
Carolina del Sur |
us-east4 |
Virginia del Norte |
us-east5 |
Columbus |
us-south1 |
Dallas |
us-west1 |
Oregón |
us-west2 |
Los Ángeles |
us-west3 |
Salt Lake City |
us-west4 |
Las Vegas |
Asia-Pacífico
| Nombre de la región | Descripción de la región |
|---|---|
asia-east1 |
Taiwán |
asia-east2 |
Hong Kong |
asia-northeast1 |
Tokio |
asia-northeast2 |
Osaka |
asia-northeast3 |
Seúl |
asia-south1 |
Bombay |
asia-south2 |
Delhi |
asia-southeast1 |
Singapur |
asia-southeast2 |
Yakarta |
australia-southeast1 |
Sídney |
australia-southeast2 |
Melbourne |
Europa
| Nombre de la región | Descripción de la región |
|---|---|
europe-central2 |
Varsovia |
europe-north1 |
Finlandia |
europe-north2 |
Estocolmo |
europe-southwest1 |
Madrid |
europe-west1 |
Bélgica |
europe-west2 |
Londres |
europe-west3 |
Fráncfort |
europe-west4 |
Países Bajos |
europe-west6 |
Zúrich |
europe-west8 |
Milán |
europe-west9 |
París |
europe-west10 |
Berlín |
europe-west12 |
Turín |
Oriente Medio
| Nombre de la región | Descripción de la región |
|---|---|
me-central1 |
Doha |
me-central2 |
Dammam |
me-west1 |
Tel Aviv |
¿Qué sigue?
- Enruta los datos de registro.
- Consulta y visualiza entradas de registro.
- Configura y administra buckets de registros.
- Establece la configuración predeterminada para las organizaciones y carpetas.