En este documento se presentan los segmentos de registro, que son los contenedores que usa Cloud Logging para almacenar los datos de registro. Proporciona información sobre la ubicación, la gestión de la clave de cifrado y la conservación de datos de los contenedores de registro. También destaca dónde puedes usar políticas de organización o ajustes de recursos predeterminados para controlar la ubicación y el cifrado de los nuevos contenedores de registro en carpetas u organizaciones.
Acerca de los segmentos de registros
De forma predeterminada, Cloud Logging encripta el contenido de los clientes almacenado en reposo. Los datos que Logging almacena en los contenedores de registro se cifran mediante claves de cifrado de claves, un proceso conocido como cifrado envolvente. Para acceder a tus datos de registro, debes tener acceso a esas claves de cifrado de claves. De forma predeterminada, estos son Google-owned and Google-managed encryption keys y no requieren que hagas nada.
Es posible que tu organización tenga requisitos de cifrado avanzados, de cumplimiento o normativos que no se cumplan con el cifrado predeterminado en reposo. Para cumplir los requisitos de tu organización, puedes gestionar tus propias claves en lugar de usarGoogle-owned and Google-managed encryption keys.
Los segmentos de registro son recursos regionales con una ubicación fija. Google Cloud gestiona esa infraestructura para que tus aplicaciones estén disponibles de forma redundante en todas las zonas de esa región.
El periodo de conservación de los datos almacenados en un segmento de registro depende del segmento de registro. Este documento contiene información sobre la conservación de datos.
Puede crear vistas de registro en un contenedor de registros. Una vista de registro proporciona acceso solo a un subconjunto de los datos de registro almacenados en un segmento de registros. Cloud Logging crea automáticamente una vista de registro por cada segmento de registros, que proporciona acceso a todas las entradas de registro del segmento. Para controlar el acceso a una vista de registro, usa Gestión de Identidades y Accesos (IAM).
Para consultar y ver los datos de registro, usa el Explorador de registros o las páginas de Analíticas de registros de la Google Cloud consola:
La página Explorador de registros le ayuda a solucionar problemas y analizar el rendimiento de sus servicios y aplicaciones. Puedes ver entradas de registro concretas y filtrar los datos de registro. Esta interfaz tiene un ajuste de ámbito que te permite buscar datos de registro por proyecto, segmento de registro o vista de registro.
La página Analíticas de registros ofrece una interfaz de SQL que te permite realizar análisis agregados de los datos de registro almacenados en un contenedor de registros actualizado para usar la función Analíticas. Por ejemplo, puedes usar esta interfaz para calcular y representar tendencias. Puede consultar vistas de registro y vistas de analíticas.
Para obtener más información, consulta Consultar y ver entradas de registro.
Compatibilidad con organizaciones y carpetas
Para ayudar a tu organización a cumplir los requisitos normativos, Logging admite tanto las políticas de la organización como la configuración predeterminada de los recursos:
La configuración predeterminada de los recursos especifica la ubicación y cómo se gestionan las claves de cifrado de los contenedores de registro creados por el sistema cuando se crean recursos en una carpeta o una organización. Por ejemplo, puedes obligar a que estos contenedores de registro creados por el sistema se encuentren en una ubicación específica.
Una política de organización puede restringir la ubicación de los nuevos segmentos de registro definidos por el usuario. El registro admite políticas de organización que especifican las regiones en las que se pueden crear o no los contenedores de registro.
Segmentos de registro creados por el sistema
Por cada proyecto, cuenta de facturación, carpeta u organización de Google Cloud , Cloud Logging crea dos segmentos de registros: uno llamado _Required y otro llamado _Default. A menos que se configure la configuración de recursos predeterminada, estos segmentos de registro tienenGoogle-owned and Google-managed encryption keys y Cloud Logging selecciona su ubicación.
No puedes eliminar los contenedores de registro creados por el sistema.
Puede actualizar los contenedores de registro creados por el sistema para usar las analíticas. Esta actualización te permite consultar tus datos de registro mediante la página Analíticas de registros, que admite SQL.
_Required contenedor de registros
El segmento de registro _Required almacena las entradas de registro necesarias para cumplir los requisitos o para realizar auditorías. Por este motivo, no puedes eliminar este segmento de registro ni modificar las entradas de registro que se almacenan en él.
Las entradas de registro de este contenedor se conservan durante 400 días. No puedes cambiar este periodo de conservación.
Las entradas de registro que se almacenan en el segmento de registro _Required de un recurso también proceden de ese recurso. Es decir, el contenedor de registros _Required de un proyecto Google Cloud solo puede almacenar entradas de registro que procedan de ese proyecto.
El _Required almacena los siguientes tipos de entradas de registro:
- Registros de auditoría de la actividad del administrador
- Registros de auditoría de los eventos del sistema
- Registros de auditoría de administrador de Google Workspace
- Registros de auditoría de grupos de G Suite Enterprise
- Registros de auditoría de inicio de sesión
_Default contenedor de registros
El segmento de registros _Default almacena las entradas de registro que no se almacenan automáticamente en el segmento de registros _Required. Como el segmento de registro _Default lo ha creado el sistema, no puedes eliminarlo. Sin embargo, puedes modificar las entradas de registro que se almacenan en este segmento.
Cloud Logging conserva las entradas de registro en el segmento _Default durante 30 días, a menos que configures una conservación personalizada para el segmento.
Por ejemplo, este contenedor de registros almacena lo siguiente:
- Registros de auditoría de acceso a datos.
- Registros de auditoría de denegación de acceso por infracción de las políticas.
- Registros generados por aplicaciones y Google Cloud servicios.
Segmentos de registro definidos por el usuario
Puedes crear segmentos de registros definidos por el usuario en cualquierGoogle Cloud proyecto. Cuando creas un segmento de registros definido por el usuario, seleccionas la ubicación y estableces el periodo de conservación de datos. Puedes proporcionar una clave de cifrado gestionada por el cliente.
Puede actualizar los contenedores de registros definidos por el usuario para usar las analíticas. Esta actualización te permite consultar tus datos de registro mediante la página Analíticas de registros, que admite SQL.
Puede modificar y eliminar los contenedores de registro definidos por el usuario. Para evitar que se elimine un contenedor de registros que almacena entradas de registro que están dentro de su periodo de conservación, puedes bloquear el contenedor de registros para que no se actualice.
Controlar el acceso a un segmento de registro
Los permisos y roles de gestión de identidades y accesos (IAM) controlan el acceso a los datos de registro. Por ejemplo, puedes hacer lo siguiente:
- Concede acceso de lectura y edición a un segmento de registro.
- Concede acceso de edición a un segmento de registro en función de la pertenencia a un grupo mediante etiquetas.
- Controla el acceso a campos específicos de una entrada de registro configurando el acceso a nivel de campo en un segmento de registro.
Para conceder acceso a un subconjunto de entradas de registro de un segmento de registro, crea una vista de registro en ese segmento.
Cada segmento de registro tiene una vista de registro predeterminada, que suele incluir todas las entradas de registro del segmento. En el caso del segmento de registro
_Default, la vista de registro predeterminada excluye las entradas de registro de acceso a datos.
Para dar a un usuario los permisos que necesita para ver y analizar entradas de registro, normalmente se le asigna uno de los siguientes roles de gestión de identidades y accesos:
Rol Visualizador de registros (
roles/logging.viewer): concede acceso a todas las entradas de registro del segmento_Requiredy a la vista de registro predeterminada del segmento_Default.Rol Visor de registros privados (
roles/logging.privateLogViewer): otorga acceso a todos los registros de los segmentos_Requiredy_Default, incluidos los registros de acceso a datos.
Si crea segmentos de registros definidos por el usuario o vistas de registros en segmentos de registros, se necesitan permisos adicionales. Para obtener más información sobre los roles, consulta el artículo sobre el control de acceso con gestión de identidades y accesos.
Lista de regiones admitidas
Los segmentos de registro son recursos regionales. La infraestructura que almacena, indexa y busca tus entradas de registro se encuentra en una ubicación geográfica específica. A excepción de los segmentos de registro de las regiones global, eu o us, Google Cloud gestiona la infraestructura para que tus aplicaciones estén disponibles de forma redundante en todas las zonas de la región del segmento de registro.
Cloud Logging admite las siguientes regiones:
Global
| Nombre de la región | Descripción de la región |
|---|---|
global |
Registros almacenados en cualquier centro de datos del mundo. Los registros se pueden mover a otros centros de datos. A diferencia de otros recursos globales Google Cloud, los segmentos de registro globales de Cloud Logging no ofrecen garantías de redundancia adicionales en comparación con un segmento de registro regional. |
Multirregiones: UE y EE. UU.
| Nombre de la región | Descripción de la región |
|---|---|
eu |
Registros almacenados en cualquier centro de datos de la Unión Europea. Los registros se pueden mover a otros centros de datos. No hay garantías de redundancia adicionales. |
us |
Registros almacenados en cualquier centro de datos de Estados Unidos. Los registros se pueden mover a otros centros de datos. No hay garantías de redundancia adicionales. |
África
| Nombre de la región | Descripción de la región |
|---|---|
africa-south1 |
Johannesburgo |
América
| Nombre de la región | Descripción de la región |
|---|---|
northamerica-northeast1 |
Montreal |
northamerica-northeast2 |
Toronto |
northamerica-south1 |
México |
southamerica-east1 |
São Paulo |
southamerica-west1 |
Santiago |
us-central1 |
Iowa |
us-east1 |
Carolina del Sur |
us-east4 |
Virginia del Norte |
us-east5 |
Columbus |
us-south1 |
Dallas |
us-west1 |
Oregón |
us-west2 |
Los Ángeles |
us-west3 |
Salt Lake City |
us-west4 |
Las Vegas |
Asia-Pacífico
| Nombre de la región | Descripción de la región |
|---|---|
asia-east1 |
Taiwán |
asia-east2 |
Hong Kong |
asia-northeast1 |
Tokio |
asia-northeast2 |
Osaka |
asia-northeast3 |
Seúl |
asia-south1 |
Bombay |
asia-south2 |
Deli |
asia-southeast1 |
Singapur |
asia-southeast2 |
Yakarta |
australia-southeast1 |
Sídney |
australia-southeast2 |
Melbourne |
Europa
| Nombre de la región | Descripción de la región |
|---|---|
europe-central2 |
Varsovia |
europe-north1 |
Finlandia |
europe-north2 |
Estocolmo |
europe-southwest1 |
Madrid |
europe-west1 |
Bélgica |
europe-west2 |
Londres |
europe-west3 |
Fráncfort |
europe-west4 |
Países Bajos |
europe-west6 |
Zúrich |
europe-west8 |
Milán |
europe-west9 |
París |
europe-west10 |
Berlín |
europe-west12 |
Turín |
Oriente Próximo
| Nombre de la región | Descripción de la región |
|---|---|
me-central1 |
Doha |
me-central2 |
Dammam |
me-west1 |
Tel Aviv |
Siguientes pasos
- Registrar datos de ruta.
- Consulta y visualiza entradas de registro.
- Configurar y gestionar segmentos de registros.
- Configurar los ajustes predeterminados de organizaciones y carpetas