Enruta registros a destinos compatibles.

En este documento, se explica cómo crear y administrar receptores de registros, que enrutan las entradas de registro que se originan en un proyecto de Google Cloud a destinos compatibles.

Un receptor realiza una acción de escritura y, por lo tanto, debe estar autorizado para escribir en el destino. Cuando el destino es un bucket de registros en el mismo proyecto que el receptor, el receptor se autoriza automáticamente. Para todos los demás destinos, el receptor debe estar adjunto a una cuenta de servicio a la que se le hayan otorgado los permisos necesarios para escribir datos en el destino.

Cuando se requiere una cuenta de servicio, Cloud Logging la crea y administra automáticamente. Sin embargo, es posible que debas modificar los permisos otorgados a la cuenta de servicio. No es necesario que uses la cuenta de servicio que creó Logging. Puedes crear y administrar una cuenta de servicio que utilicen receptores en varios proyectos. Para obtener más información, consulta Configura receptores de registros con cuentas de servicio administradas por el usuario.

Descripción general

En esta página, se describe cómo crear un receptor y cómo configurar las opciones que puedes ver cuando usas la consola de Google Cloud o la API.

Los receptores pertenecen a un recurso Google Cloud determinado: un Google Cloud proyecto, una cuenta de facturación, una carpeta o una organización. Cuando el recurso recibe una entrada de registro, cada receptor del recurso procesa la entrada de registro. Cuando una entrada de registro coincide con los filtros del receptor, se enruta al destino del receptor.

Por lo general, los receptores solo enrutan las entradas de registro que se originan en un recurso. Sin embargo, para las carpetas y organizaciones, puedes crear receptores agregados, que enrutan las entradas de registro de la carpeta o la organización, y los recursos que contiene. En este documento, no se analizan los receptores agregados. Para obtener más información, consulta la Descripción general de los receptores agregados.

Para crear y administrar receptores, puedes usar la Google Cloud consola, la API de Cloud Logging y la CLI de Google Cloud. Te recomendamos que uses la consola de Google Cloud :

  • En la página Enrutador de registros, se enumeran todos los receptores y se proporcionan opciones para administrarlos.
  • Cuando creas un receptor, puedes obtener una vista previa de las entradas de registro que coinciden con los filtros del receptor.
  • Puedes configurar los destinos del receptor cuando creas uno.
  • Algunos pasos de autorización se completan automáticamente.

Destinos admitidos

El destino de un receptor puede estar en un recurso diferente al del receptor. Por ejemplo, puedes usar un receptor de registros para enrutar entradas de registro de un proyecto a un bucket de registros almacenado en otro proyecto.

Se admiten los siguientes destinos:

Google Cloud proyecto

Selecciona este destino cuando desees que los receptores de registros del proyecto de destino redireccionen tus entradas de registro o cuando hayas creado un receptor agregado interceptor. Los receptores de registros del proyecto que es el destino del receptor pueden redireccionar las entradas de registro a cualquier destino compatible, excepto a un proyecto.

Bucket de registros

Selecciona este destino cuando quieras almacenar tus datos de registro en recursos administrados por Cloud Logging. Los datos de registro almacenados en buckets de registros se pueden ver y analizar con servicios como el Explorador de registros y el Análisis de registros.

Si deseas unir tus datos de registro con otros datos de la empresa, puedes almacenarlos en un bucket de registros y crear un conjunto de datos de BigQuery vinculado. Un conjunto de datos vinculado es un conjunto de datos de solo lectura que se puede consultar como cualquier otro conjunto de datos de BigQuery.

Conjunto de datos de BigQuery
Selecciona este destino cuando desees unir tus datos de registro con otros datos de la empresa. El conjunto de datos que especifiques debe tener habilitada la escritura. No establezcas el destino de un receptor como un conjunto de datos de BigQuery vinculado. Los conjuntos de datos vinculados son de solo lectura.
Bucket de Cloud Storage
Selecciona este destino cuando desees almacenar tus datos de registros a largo plazo. El bucket de Cloud Storage puede estar en el mismo proyecto en el que se originan las entradas de registro o en un proyecto diferente. Las entradas de registro se almacenan como archivos JSON.
Tema de Pub/Sub
Selecciona este destino cuando quieras exportar tus datos de registro desdeGoogle Cloud y, luego, usar integraciones de terceros, como Splunk o Datadog. Las entradas de registro se formatean en JSON y, luego, se enrutan a un tema de Pub/Sub.

Limitaciones de destino

En esta sección, se describen las limitaciones específicas de cada destino:

  • Si enrutas entradas de registro a un bucket de registros en un Google Cloud proyecto diferente, Error Reporting no analizará esas entradas de registro. Para obtener más información, consulta la descripción general de Error Reporting.
  • Si enrutas entradas de registro a un conjunto de datos de BigQuery, este debe tener habilitada la escritura. No puedes enrutar entradas de registro a conjuntos de datos vinculados, que son de solo lectura.
  • Es posible que los nuevos receptores que enrutan datos de registros a buckets de Cloud Storage tarden varias horas en comenzar a enrutar entradas de registro. Estos receptores se procesan cada hora.

  • Se aplican las siguientes limitaciones cuando el destino de un receptor de registros es un proyecto Google Cloud :

    • Hay un límite de un salto.
    • Las entradas de registro que coinciden con el filtro del receptor de registros _Required solo se enrutan al bucket de registros _Required del proyecto de destino cuando se originan en ese proyecto.
    • Solo los receptores agregados que se encuentran en la jerarquía de recursos de una entrada de registro procesan la entrada de registro.

    Por ejemplo, supongamos que el destino de un receptor de registros en el proyecto A es el proyecto B. Entonces, se cumplen las siguientes condiciones:

    • Debido al límite de un salto, los receptores de registros del proyecto B no pueden redireccionar las entradas de registro a un proyecto Google Cloud .
    • El bucket de registros _Required del proyecto B solo almacena entradas de registro que se originan en el proyecto B. Este bucket de registros no almacena ninguna entrada de registro que se origine en ningún otro recurso, incluidas las que se originan en el proyecto A.
    • Si la jerarquía de recursos del proyecto A y el proyecto B difieren, no se envía a los receptores agregados en la jerarquía de recursos del proyecto B una entrada de registro que un receptor de registros en el proyecto A enruta al proyecto B.
    • Si el proyecto A y el proyecto B tienen la misma jerarquía de recursos, las entradas de registro se envían a los receptores agregados de esa jerarquía. Si un receptor agregado no intercepta una entrada de registro, el Router de registros la envía a los receptores del proyecto A.

Antes de comenzar

En este documento, se describen las instrucciones para crear y administrar receptores a nivel delGoogle Cloud proyecto. Puedes usar el mismo procedimiento para crear un receptor que enrute las entradas de registro que se originan en una organización, una carpeta o una cuenta de facturación.

Para comenzar, haz lo siguiente:

  1. Enable the Cloud Logging API.

    Enable the API

  2. Asegúrate de que tu proyecto Google Cloud contenga entradas de registro que puedas ver en el Explorador de registros.

  3. Para obtener los permisos que necesitas para crear, modificar o borrar un receptor, pídele a tu administrador que te otorgue el rol de IAM Escritor de configuración de registros (roles/logging.configWriter) en tu proyecto. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

    También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.

    Para obtener información sobre cómo otorgar roles de IAM, consulta la Guía de control de acceso de Logging.

  4. Tienes un recurso en un destino admitido o tienes la capacidad de crear uno.

    Para enrutar las entradas de registro a un destino, este debe existir antes de que crees el receptor. Puedes crear el destino en cualquier proyecto deGoogle Cloud en cualquier organización.

  5. Antes de crear un receptor, revisa las limitaciones que se aplican al destino del receptor. Para obtener más información, consulta la sección Limitaciones de destino en este documento.

  6. Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

      In the Google Cloud console, activate Cloud Shell.

      Activate Cloud Shell

      At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

      REST

      Para usar las muestras de la API de REST en esta página en un entorno de desarrollo local, debes usar las credenciales que proporcionas a la CLI de gcloud.

        After installing the Google Cloud CLI, initialize it by running the following command: 

        gcloud init

        If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

      Si deseas obtener más información, consulta Autentica para usar REST en la Google Cloud documentación de autenticación.

      Crea un receptor

      En esta sección, se describe cómo crear un receptor en un proyecto de Google Cloud . Puedes crear hasta 200 receptores por proyecto de Google Cloud . Para ver la cantidad y el volumen de las entradas de registro que se enrutan, consulta las métricas de logging.googleapis.com/exports/.

      Usas el lenguaje de consulta de Logging para crear una expresión de filtro que coincida con las entradas de registro que deseas incluir. No incluyas información sensible en los filtros de receptores. Los filtros de receptor se tratan como datos de servicio.

      Cuando una consulta contiene varias instrucciones, puedes especificar cómo se unen esas instrucciones o confiar en que Cloud Logging agregue de forma implícita la restricción conjuntiva, AND, entre las instrucciones. Por ejemplo, supongamos que un diálogo de consulta o filtro contiene dos instrucciones, resource.type = "gce_instance" y severity >= "ERROR". La búsqueda real es resource.type = "gce_instance" AND severity >= "ERROR". Cloud Logging admite restricciones disyuntivas, OR, y conjuntivas, AND. Cuando uses instrucciones OR, te recomendamos que agrupes las cláusulas con paréntesis.

      Para crear un receptor, haz lo siguiente:

      Console

      1. En la consola de Google Cloud , ve a la página Enrutador de registros:

        Ir a Enrutador de registros

        Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.

      2. Selecciona el proyecto Google Cloud en el que se originan las entradas de registro que deseas enrutar.

        Por ejemplo, si deseas enrutar las entradas de registro de acceso a los datos del proyecto llamado Project-A a un bucket de registros en el proyecto llamado Project-B, selecciona Project-A.

      3. Selecciona Crear receptor.

      4. En el panel Detalles del receptor, ingresa los siguientes detalles:

        • Nombre del receptor: Proporciona un identificador para el receptor. Ten en cuenta que, después de crear el receptor, no podrás cambiarle el nombre, pero sí podrás borrarlo y crear uno nuevo.

        • Descripción del receptor (opcional): Describe el propósito o el caso de uso del receptor.

      5. En el panel Destino del receptor, selecciona el servicio del receptor y el destino con el menú Selecciona el servicio del receptor. Realiza una de las siguientes acciones:

        • Para enrutar las entradas de registro a un servicio que se encuentre en el mismo proyecto deGoogle Cloud , selecciona una de las siguientes opciones:

          • Conjunto de datos de BigQuery: Selecciona o crea el conjunto de datos grabable para recibir las entradas de registro que se enrutan. También tienes la opción de usar tablas particionadas.
          • Bucket de Cloud Storage: Selecciona o crea el bucket de Cloud Storage específico para recibir las entradas de registro enrutadas.
          • Tema de Pub/Sub: Selecciona o crea el tema específico para recibir las entradas de registro enrutadas.
          • Splunk: Selecciona el tema de Pub/Sub para tu servicio de Splunk.

        • Para enrutar las entradas de registro a un proyecto Google Cloud diferente, selecciona Google Cloud proyecto y, luego, ingresa el nombre completo del destino:

          logging.googleapis.com/projects/DESTINATION_PROJECT_ID

        • Para enrutar entradas de registro a un servicio que se encuentra en unGoogle Cloud proyecto diferente, haz lo siguiente:

          1. Selecciona Otro recurso.
          2. Ingresa el nombre completamente calificado del destino. Para obtener información sobre la sintaxis, consulta Formatos de ruta de destino.

      6. Especifica las entradas de registro que se incluirán:

        1. Ve al panel Elige registros para incluirlos en el receptor.

        2. En el campo Crear filtro de inclusión, ingresa una expresión de filtro que coincida con las entradas de registro que deseas incluir. Para obtener más información sobre la sintaxis para escribir filtros, consulta Lenguaje de consulta de Logging.

          Si no estableces un filtro, todas las entradas de registro del recurso seleccionado se enrutan al destino.

          Por ejemplo, para enrutar todas las entradas del registro de acceso a los datos a un bucket de Logging, puedes usar el siguiente filtro:

          log_id("cloudaudit.googleapis.com/data_access") OR log_id("externalaudit.googleapis.com/data_access")

          La longitud de un filtro no puede superar los 20,000 caracteres.

        3. Para verificar que ingresaste el filtro correcto, selecciona Obtener vista previa de los registros. El Explorador de registros se abre en una pestaña nueva con el filtro completado previamente.

      7. (Opcional) Configura un filtro de exclusión para eliminar algunas de las entradas de registro incluidas:

        1. Ve al panel Elige registros para filtrar fuera del receptor.

        2. En el campo Nombre de filtro de exclusión, ingresa un nombre.

        3. En el campo Crea un filtro de exclusión, ingresa una expresión de filtro que coincida con las entradas de registro que deseas excluir. También puedes usar la función sample para seleccionar una parte de las entradas de registro que se excluirán.

        Puedes crear hasta 50 filtros de exclusión por receptor. Ten en cuenta que la longitud de un filtro no puede superar los 20,000 caracteres.

      8. Selecciona Crear receptor.

      9. Otorga a la cuenta de servicio del receptor el permiso para escribir entradas de registro en el destino del receptor. Para obtener más información, consulta Cómo establecer permisos de destino.

      gcloud

      Para crear un receptor, haz lo siguiente:

      1. Ejecuta el siguiente comando gcloud logging sinks create:

        gcloud logging sinks create SINK_NAME SINK_DESTINATION

        Antes de ejecutar el comando, realiza los siguientes reemplazos:

        • SINK_NAME: Es el nombre del receptor de registros. No puedes cambiar el nombre de un receptor después de crearlo.

        • SINK_DESTINATION: Es el servicio o proyecto al que deseas enrutar tus entradas de registro. Establece SINK_DESTINATION con la ruta de acceso adecuada, como se describe en Formatos de ruta de acceso de destino.

          Por ejemplo, si el destino del receptor es un tema de Pub/Sub, SINK_DESTINATION se verá de la siguiente manera:

          pubsub.googleapis.com/projects/PROJECT_ID/topics/TOPIC_ID

        También puedes proporcionar las siguientes opciones:

        • --log-filter : Usa esta opción para establecer un filtro que coincida con las entradas de registro que deseas incluir en tu receptor. Si no proporcionas un valor para el filtro de inclusión, este filtro coincidirá con todas las entradas de registro.
        • --exclusion: Usa esta opción para establecer un filtro de exclusión para las entradas de registro que deseas excluir del enrutamiento de tu receptor. También puedes usar la función sample para seleccionar una parte de las entradas de registro que se excluirán. Esta opción se puede repetir. Puedes crear hasta 50 filtros de exclusión por receptor.
        • --description: Usa esta opción para describir el propósito o el caso de uso del receptor.

        Por ejemplo, para crear un receptor en un bucket de Logging, tu comando podría verse de la siguiente manera:

        gcloud logging sinks create my-sink logging.googleapis.com/projects/myproject123/locations/global/buckets/my-bucket \
 --log-filter='logName="projects/myproject123/logs/matched"' --description="My first sink"

        Para obtener más información sobre cómo crear receptores con Google Cloud CLI, consulta la referencia de gcloud logging sinks.

      2. Si la respuesta del comando contiene una clave JSON etiquetada como "writerIdentity", otorga a la cuenta de servicio del receptor el permiso para escribir en el destino del receptor. Para obtener más información, consulta Cómo establecer permisos de destino.

        No es necesario que establezcas permisos de destino cuando la respuesta no contiene una clave JSON etiquetada como "writerIdentity".

      REST

      1. Para crear un receptor de registros en tu proyecto de Google Cloud , usa projects.sinks.create en la API de Logging. En el objeto LogSink, proporciona los valores obligatorios correspondientes en el cuerpo de la solicitud del método:

        • name: Es un identificador del receptor. Ten en cuenta que, después de crear el receptor, no podrás cambiarle el nombre, pero sí podrás borrarlo y crear uno nuevo.

        • destination: Es el servicio y el destino al que deseas enrutar tus entradas de registro. Para enrutar las entradas de registro a un proyecto diferente o a un destino que se encuentre en otro proyecto, configura el campo destination con la ruta de acceso adecuada, como se describe en Formatos de rutas de acceso de destino.

          Por ejemplo, si el destino del receptor es un tema de Pub/Sub, el destination se verá de la siguiente manera:

          pubsub.googleapis.com/projects/PROJECT_ID/topics/TOPIC_ID

      2. En el objeto LogSink, proporciona la información opcional adecuada:

        • filter : Establece el campo filter para que coincida con las entradas de registro que deseas incluir en tu receptor. Si no estableces un filtro, todas las entradas de registro de tu proyectoGoogle Cloud se enrutan al destino. Ten en cuenta que la longitud de un filtro no puede superar los 20,000 caracteres.
        • exclusions: Configura este campo para que coincida con las entradas de registro que deseas excluir de tu receptor. También puedes usar la función sample para seleccionar una parte de las entradas de registro que se excluirán. Puedes crear hasta 50 filtros de exclusión por receptor.
        • description: Establece este campo para describir el propósito o el caso de uso del receptor.

      3. Llama a projects.sinks.create para crear el receptor.

      4. Si la respuesta de la API contiene una clave JSON etiquetada como "writerIdentity", otorga a la cuenta de servicio del receptor el permiso para escribir en el destino del receptor. Para obtener más información, consulta Cómo establecer permisos de destino.

        No es necesario que configures permisos de destino cuando la respuesta de la API no contiene una clave JSON etiquetada como "writerIdentity".

      Para obtener más información sobre cómo crear receptores con la API de Logging, consulta la referencia de LogSink.

      Si recibes notificaciones de error, consulta Solución de problemas de enrutamiento y receptores.

      Formatos de rutas de destino

      Si enrutas entradas de registro a un servicio que se encuentra en otro proyecto, debes proporcionar al receptor el nombre completamente calificado del servicio. Del mismo modo, si enrutas entradas de registro a un proyecto Google Cloud diferente, debes proporcionar al receptor el nombre calificado completo del proyecto de destino:

      • Bucket de registros de Cloud Logging:

        logging.googleapis.com/projects/DESTINATION_PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME

      • Otro proyecto Google Cloud :

        logging.googleapis.com/projects/DESTINATION_PROJECT_ID

      • Conjunto de datos de BigQuery:

        bigquery.googleapis.com/projects/PROJECT_ID/datasets/DATASET_ID

      • Cloud Storage:

        storage.googleapis.com/BUCKET_NAME

      • Tema de Pub/Sub:

        pubsub.googleapis.com/projects/PROJECT_ID/topics/TOPIC_ID

      Cómo configurar los permisos de destino

      En esta sección, se describe cómo otorgar a Logging los permisos de Identity and Access Management para escribir entradas de registro en el destino de tu receptor. Para obtener la lista completa de las funciones y los permisos de Logging, consulta Control de acceso.

      Cloud Logging crea una cuenta de servicio compartida para un recurso cuando se crea un receptor, a menos que ya exista la cuenta de servicio requerida. Es posible que la cuenta de servicio exista porque se usa la misma cuenta de servicio para todos los receptores del recurso subyacente. Los recursos pueden ser un Google Cloud proyecto, una organización, una carpeta o una cuenta de facturación.

      La identidad del escritor de un receptor es el identificador de la cuenta de servicio asociada a ese receptor. Todos los receptores tienen una identidad de escritor, excepto los que escriben en un bucket de registros en el mismo proyecto de Google Cloud en el que se originó la entrada de registro. Para la última configuración, no se requiere una cuenta de servicio y, por lo tanto, el campo identidad del escritor del receptor aparece como None en la consola. La API y los comandos de Google Cloud CLI no informan una identidad de escritor.

      Las siguientes instrucciones se aplican a proyectos, carpetas, organizaciones y cuentas de facturación:

      Console

      1. Asegúrate de tener acceso de propietario al proyectoGoogle Cloud que contiene el destino. Si no tienes acceso de Propietario al destino del receptor, pídele a un propietario del proyecto que agregue la identidad de escritor como principal.

      2. Para obtener la identidad de escritor del receptor nuevo, que es una dirección de correo electrónico, haz lo siguiente:

        1. En la consola de Google Cloud , ve a la página Enrutador de registros:

          Ir a Enrutador de registros

          Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.

        2. En la barra de herramientas, selecciona el proyecto que contiene el receptor.
        3. Selecciona Menú y, luego, Ver detalles del receptor. La identidad de escritor aparece en el panel Detalles del receptor.

      3. Si el valor del campo writerIdentity contiene una dirección de correo electrónico, continúa con el siguiente paso. Cuando el valor es None, no es necesario que configures los permisos de destino para el receptor.

      4. Copia la identidad de escritor del receptor en el portapapeles.

        La dirección de correo electrónico identifica al principal. El prefijo, serviceAccount:, especifica el tipo de cuenta.

      5. Otorga al principal especificado en la identidad de escritor del receptor el permiso para escribir datos de registro en el destino:

        1. En la Google Cloud consola, ve a la página IAM:

          Ir a IAM

          Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es IAM y administrador.

        2. En la barra de herramientas, asegúrate de que el proyecto seleccionado sea el que almacena el destino o el destino receptor. Por ejemplo, si el destino es un bucket de registros, asegúrate de que la barra de herramientas muestre el proyecto que almacena el bucket de registros.

        3. Haz clic en Grant access.

        4. Otorga a la principal especificada en la identidad de escritor del receptor un rol de IAM según el destino del receptor de registros:

      gcloud

      1. Asegúrate de tener acceso de propietario al proyectoGoogle Cloud que contiene el destino. Si no tienes acceso de Propietario al destino del receptor, pídele a un propietario del proyecto que agregue la identidad de escritor como principal.

      2. Obtén la cuenta de servicio del campo writerIdentity en tu receptor:

        gcloud logging sinks describe SINK_NAME

      3. Ubica el receptor cuyos permisos deseas modificar y, si los detalles del receptor contienen una línea con writerIdentity, continúa con el siguiente paso. Cuando los detalles no incluyen un campo writerIdentity, no es necesario que configures los permisos de destino para el receptor.

        La identidad del escritor para la cuenta de servicio se verá de la siguiente manera:

        serviceAccount:service-123456789012@gcp-sa-logging.iam.gserviceaccount.com

      4. Llama al comando gcloud projects add-iam-policy-binding para otorgarle a la identidad de escritor del receptor el permiso para escribir datos de registros en el destino.

        Antes de usar el siguiente comando, realiza los siguientes reemplazos:

        • PROJECT_ID: Es el identificador del proyecto. Especifica el proyecto que almacena el destino del receptor de registros. Cuando el destino es un proyecto, especifica ese proyecto.
        • PRINCIPAL: Es un identificador de la principal a la que deseas otorgar el rol. Los identificadores principales suelen tener el siguiente formato: PRINCIPAL-TYPE:ID. Por ejemplo, user:my-user@example.com. Para obtener una lista completa de los formatos que puede tener PRINCIPAL, consulta Identificadores de principal.

        • ROLE: Es un rol de IAM. Otorga a la identidad de escritor del receptor un rol de IAM según el destino del receptor de registros:

        Ejecuta el comando gcloud projects add-iam-policy-binding:

        gcloud projects add-iam-policy-binding PROJECT_ID --member=PRINCIPAL --role=ROLE

      REST

      Te recomendamos que uses la consola de Google Cloud o Google Cloud CLI para otorgar un rol a la cuenta de servicio.

      Administra receptores

      Después de crear los receptores, puedes realizar las siguientes acciones en ellos. Los cambios que se realicen en un receptor pueden tardar unos minutos en aplicarse:

      • Ver detalles
      • Actualizar

      • Inhabilitar

        • No puedes inhabilitar el receptor _Required.
        • Puedes inhabilitar el receptor _Default para evitar que enrute entradas de registro al bucket de registros _Default.
        • Si deseas inhabilitar el receptor _Default para cualquier proyecto o carpetaGoogle Cloud nuevos que se creen en tu organización, considera configurar los parámetros de configuración predeterminados de los recursos.

      • Borrar

        • No puedes borrar los receptores _Default ni _Required.
        • Cuando borras un receptor, este ya no enruta las entradas de registro.
        • Si el receptor tiene una cuenta de servicio dedicada, borrar ese receptor también borra la cuenta de servicio. Los receptores creados antes del 22 de mayo de 2023 tienen cuentas de servicio dedicadas. Los receptores creados a partir del 22 de mayo de 2023 tienen una cuenta de servicio compartida. Si borras el receptor, no se borrará la cuenta de servicio compartida.

      • Soluciona problemas de fallas

      • Visualiza las tasas de error y el volumen de registros

      A continuación, se brindan las instrucciones para administrar un receptor en un proyecto de Google Cloud . En lugar de un proyecto Google Cloud , puedes especificar una cuenta de facturación, una carpeta o una organización:

      Console

      1. En la consola de Google Cloud , ve a la página Enrutador de registros:

        Ir a Enrutador de registros

        Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.

      2. En la barra de herramientas, selecciona el recurso que contiene tu receptor. El recurso puede ser un proyecto, una carpeta, una organización o una cuenta de facturación.

      En la página Enrutador de registros, se muestran los receptores del recurso seleccionado. Cada fila de la tabla contiene información sobre las propiedades de un receptor:

      • Habilitado: Indica si el estado del receptor está habilitado o inhabilitado.
      • Tipo: Es el servicio de destino del receptor, por ejemplo, Cloud Logging bucket.
      • Nombre: Es el identificador del receptor, como se proporcionó cuando se creó; por ejemplo, _Default.
      • Descripción: Es la descripción del receptor, tal como se proporcionó cuando se creó.
      • Destino: Es el nombre completo del destino al que se envían las entradas de registro enrutadas.
      • Creado: Fecha y hora en que se creó el receptor.
      • Última actualización: Fecha y hora en que se editó el receptor por última vez.
      • Volumen: Informa el volumen total de registros enrutados al receptor de registros. El valor incluye el volumen enrutado a buckets de registros, proyectos o a otros destinos.

      Para cada fila de la tabla, el menú Más acciones proporciona las siguientes opciones:

      • Visualizar detalles del receptor: Muestra el nombre, la descripción, el servicio de destino, el destino y los filtros de inclusión y exclusión del receptor. Si seleccionas Editar, se abrirá el panel Editar receptor.
      • Editar receptor: Abre un panel de Editar receptor en el que puedes actualizar los parámetros del receptor.
      • Inhabilitar el receptor: Te permite inhabilitar el receptor y detener el enrutamiento de entradas de registro al destino del receptor. Para obtener más información sobre cómo inhabilitar receptores, consulta Cómo dejar de almacenar registros en buckets de registros.
      • Habilitar el receptor: Te permite habilitar un receptor inhabilitado y reiniciar las entradas de registro de enrutamiento al destino del receptor.
      • Borrar receptor: Te permite borrar el receptor y detener el enrutamiento de las entradas de registro al destino del receptor.
      • Solucionar problemas del receptor: Abre el Explorador de registros, en el que puedes solucionar problemas relacionados con el receptor.
      • Visualiza las tasas de error y el volumen de registro del receptor: Abre el Explorador de métricas, en el que puedes ver y analizar los datos del receptor.

      Para ordenar la tabla por una columna, selecciona el nombre de la columna.

      gcloud

      • Para ver la lista de receptores de tu proyecto Google Cloud , usa el comando gcloud logging sinks list, que corresponde al método de la API de Logging projects.sinks.list:

        gcloud logging sinks list

        Para ver tu lista de receptores agregados, usa la opción adecuada para especificar el recurso que contiene el receptor. Por ejemplo, si creaste el receptor a nivel de la organización, usa la opción --organization=ORGANIZATION_ID para enumerar los receptores de la organización.

      • Para describir un receptor, usa el comando gcloud logging sinks describe, que corresponde al método de la API de Logging projects.sinks.get:

        gcloud logging sinks describe SINK_NAME

      • Para actualizar un receptor, usa el comando gcloud logging sinks update, que corresponde al método de la API projects.sink.update.

        Puedes actualizar un receptor para cambiar el destino, los filtros y la descripción, o bien para inhabilitar o volver a habilitar el receptor:

        gcloud logging sinks update SINK_NAME NEW_DESTINATION --log-filter=NEW_FILTER

        Omite NEW_DESTINATION o --log-filter si esas partes no cambian.

        Por ejemplo, para actualizar el destino de tu receptor llamado my-project-sink a un nuevo destino de bucket de Cloud Storage llamado my-second-gcs-bucket, tu comando se verá de la siguiente manera:

        gcloud logging sinks update  my-project-sink storage.googleapis.com/my-second-gcs-bucket

      • Para inhabilitar un receptor, usa el comando gcloud logging sinks update, que corresponde al método de la API projects.sink.update, y agrega la opción --disabled:

        gcloud logging sinks update SINK_NAME --disabled

        Para volver a habilitar el receptor, usa el comando gcloud logging sinks update, quita la opción --disabled y agrega la opción --no-disabled:

        gcloud logging sinks update SINK_NAME --no-disabled

      • Para borrar un receptor, usa el comando gcloud logging sinks delete, que corresponde al método de la API projects.sinks.delete:

        gcloud logging sinks delete SINK_NAME

        Para obtener más información sobre cómo administrar receptores con Google Cloud CLI, consulta la referencia de gcloud logging sinks.

      REST

      • Para ver los receptores de tu proyecto Google Cloud , llama a projects.sinks.list.

      • Para ver los detalles de un receptor, llama a projects.sinks.get.

      • Para actualizar un receptor, llama a projects.sink.update.

        Puedes actualizar el destino, los filtros y la descripción de un receptor. También puedes inhabilitar o volver a habilitar el receptor.

      • Para inhabilitar un receptor, establece el campo disabled en el objeto LogSink como true y, luego, llama a projects.sink.update.

        Para volver a habilitar el receptor, configura el campo disabled del objeto LogSink en false y, luego, llama a projects.sink.update.

      • Para borrar un receptor, llama a projects.sinks.delete.

        Para obtener más información sobre cómo administrar receptores con la API de Logging, consulta la referencia de LogSink.

      Deja de almacenar entradas de registro en buckets de registros

      Puedes inhabilitar el receptor _Default y cualquier receptor definido por el usuario. Cuando inhabilitas un receptor, este deja de enrutar entradas de registro a su destino. Por ejemplo, si inhabilitas el receptor _Default, no se enrutará ninguna entrada de registro al bucket _Default. El bucket _Default queda vacío cuando todas las entradas de registro almacenadas anteriormente cumplen con el período de retención del bucket.

      En las siguientes instrucciones, se ilustra cómo inhabilitar los receptores de tu proyecto Google Cloud que enrutan las entradas de registro a los buckets de registros_Default:

      Console

      1. En la consola de Google Cloud , ve a la página Enrutador de registros:

        Ir a Enrutador de registros

        Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.

      2. Para encontrar todos los receptores que enrutan las entradas de registro al bucket de registros _Default, filtra los receptores por destino y, luego, ingresa _Default.

      3. Para cada receptor, selecciona Menú y, luego, Inhabilitar receptor.

        Los receptores ahora están inhabilitados y los del proyecto Google Cloud ya no reciben entradas de registro de ruta en el bucket _Default.

      Para volver a habilitar un receptor inhabilitado y reiniciar las entradas de registro de enrutamiento al destino del receptor, haz lo siguiente:

      1. En la consola de Google Cloud , ve a la página Enrutador de registros:

        Ir a Enrutador de registros

        Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.

      2. Para encontrar todos los receptores que enrutan las entradas de registro al bucket de registros _Default, filtra los receptores por destino y, luego, ingresa _Default.
      3. Para cada receptor, selecciona Menú y, luego, Habilitar receptor.

      gcloud

      1. Para ver la lista de receptores de tu proyecto Google Cloud , usa el comando gcloud logging sinks list, que corresponde al método de la API de Logging projects.sinks.list:

        gcloud logging sinks list

      2. Identifica los receptores que enrutan al bucket de registros _Default. Para describir un receptor, incluido el nombre de destino, usa el comando gcloud logging sinks describe, que corresponde al método de la API de Logging projects.sinks.get:

        gcloud logging sinks describe SINK_NAME

      3. Ejecuta el comando gcloud logging sinks update e incluye la opción --disabled. Por ejemplo, para inhabilitar el receptor _Default, usa el siguiente comando:

        gcloud logging sinks update _Default  --disabled

        El receptor _Default ahora está inhabilitado y ya no enruta entradas de registro al bucket de registros _Default.

      Para inhabilitar los otros receptores de tu proyecto Google Cloud que se enrutan al bucket_Default, repite los pasos anteriores.

      Para volver a habilitar un receptor, usa el comando gcloud logging sinks update, quita la opción --disabled y agrega la opción --no-disabled:

      gcloud logging sinks update _Default  --no-disabled

      REST

      1. Para ver los receptores de tu proyecto Google Cloud , llama al método de la API de Logging projects.sinks.list.

        Identifica los receptores que enrutan al bucket _Default.

      2. Por ejemplo, para inhabilitar el receptor _Default, establece el campo disabled en el objeto LogSink como true y, luego, llama a projects.sink.update.

        El receptor _Default ahora está inhabilitado y ya no enruta entradas de registro al bucket _Default.

      Para inhabilitar los otros receptores de tu proyecto Google Cloud que se enrutan al bucket_Default, repite los pasos anteriores.

      Para volver a habilitar un receptor, establece el campo disabled en el objeto LogSink como false y, luego, llama a projects.sink.update.

      Muestras de código

      Para usar el código de la biblioteca cliente y configurar receptores en los lenguajes que elijas, consulta Bibliotecas cliente de Logging: Receptores de registros.

      Filtra ejemplos

      A continuación, se incluyen algunos ejemplos de filtros que son particularmente útiles cuando se crean receptores. Para ver ejemplos adicionales que podrían ser útiles a medida que compilas tus filtros de inclusión y exclusión, consulta Consultas de muestra.

      Restablece el filtro de receptor _Default.

      Si editaste el filtro para el receptor _Default, es posible que quieras restablecer este receptor a su configuración original. Cuando se crea, el receptor _Default se configura con el siguiente filtro de inclusión y un filtro de exclusión vacío:

        NOT log_id("cloudaudit.googleapis.com/activity") AND NOT \
  log_id("externalaudit.googleapis.com/activity") AND NOT \
  log_id("cloudaudit.googleapis.com/system_event") AND NOT \
  log_id("externalaudit.googleapis.com/system_event") AND NOT \
  log_id("cloudaudit.googleapis.com/access_transparency") AND NOT \
  log_id("externalaudit.googleapis.com/access_transparency")

      Excluye los registros de contenedores y Pods de Google Kubernetes Engine

      Para excluir las entradas de registro de contenedores y Pods de Google Kubernetes Engine para el sistema namespaces de GKE, usa el siguiente filtro:

      resource.type = ("k8s_container" OR "k8s_pod")
resource.labels.namespace_name = (
"cnrm-system" OR
"config-management-system" OR
"gatekeeper-system" OR
"gke-connect" OR
"gke-system" OR
"istio-system" OR
"knative-serving" OR
"monitoring-system" OR
"kube-system")

      Para excluir las entradas de registro de nodos de Google Kubernetes Engine para el sistema logNames de GKE, usa el siguiente filtro:

      resource.type = "k8s_node"
logName:( "logs/container-runtime" OR
"logs/docker" OR
"logs/kube-container-runtime-monitor" OR
"logs/kube-logrotate" OR
"logs/kube-node-configuration" OR
"logs/kube-node-installation" OR
"logs/kubelet" OR
"logs/kubelet-monitor" OR
"logs/node-journal" OR
"logs/node-problem-detector")

      Para ver el volumen de entradas de registro de nodos, pods y contenedores de Google Kubernetes Engine almacenadas en buckets de registros, usa el Explorador de métricas:

      Excluye los registros de Dataflow que no son necesarios para la asistencia

      Para excluir las entradas de registro de Dataflow que no se requieren para la compatibilidad, usa el siguiente filtro:

      resource.type="dataflow_step"
labels."dataflow.googleapis.com/log_type"!="system" AND labels."dataflow.googleapis.com/log_type"!="supportability"

      Para ver el volumen de registros de Dataflow almacenados en buckets de registros, usa el Explorador de métricas.

      Compatibilidad

      Si bien Cloud Logging te permite excluir entradas de registro y evitar que se almacenen en un bucket de registros, te recomendamos que conserves las entradas de registro que ayudan con la asistencia. El uso de estas entradas de registro puede ayudarte a identificar y solucionar problemas con tus aplicaciones.

      Por ejemplo, las entradas de registro del sistema de GKE son útiles para solucionar problemas de tus aplicaciones y clústeres de GKE, ya que se generan para los eventos que ocurren en tu clúster. Estas entradas de registro pueden ayudarte a determinar si el error de la aplicación se debe al código de la aplicación o al clúster de GKE subyacente. Los registros del sistema de GKE también incluyen el registro de auditoría de Kubernetes generado por el componente del servidor de la API de Kubernetes, que incluye los cambios realizados con el comando kubectl y los eventos de Kubernetes.

      En el caso de Dataflow, te recomendamos que, como mínimo, escribas tus registros del sistema (labels."dataflow.googleapis.com/log_type"="system") y registros de capacidad de asistencia (labels."dataflow.googleapis.com/log_type"="supportability") en buckets de registros. Estos registros son esenciales para que los desarrolladores observen y solucionen problemas en sus canalizaciones de Dataflow, y es posible que los usuarios no puedan usar la página Detalles del trabajo de Dataflow para ver los registros del trabajo.

      ¿Qué sigue?