Neste documento, você verá como criar coletores agregados. Os coletores agregados permitem combinar e encaminhar registros gerados pelos recursos do Google Cloud na sua organização ou pasta para um local centralizado.
Visão geral
Os coletores agregados combinam e encaminham as entradas de registro dos recursos uma organização ou pasta para um destino.
Se você quiser controlar quais entradas de registro podem ser consultadas nesses recursos ou roteadas pelos coletores nesses recursos, configure um coletor agregado para não interceptar ou interceptar:
Um coletor agregado sem interceptação roteia as entradas de registro pelos coletores no sistema filho do Google Cloud. Com esse sink, você mantém a visibilidade das entradas de registro nos recursos em que elas foram geradas. Os coletores sem interceptação não estão visíveis aos recursos filhos.
Por exemplo, é possível criar um coletor agregado sem interceptação que roteia todas as entradas de registro geradas a partir das pastas contidas por uma organização para um bucket de registros central. As entradas de registro são armazenadas bucket de registros e também nos recursos em que as entradas de registro foram gerados.
Um coletor agregado que intercepta a interceptação impede que as entradas de registro sejam roteadas através coletores em recursos filhos, exceto coletores
_Required
. Esse coletor pode ser útil para evitar que cópias duplicadas de entradas de registro sejam armazenadas em vários lugares.Por exemplo, considere os registros de auditoria de acesso a dados, que podem ser grande em volume e caro para armazenar várias cópias. Se você registros de auditoria de acesso a dados ativados, poderá criar uma interceptação coletor que encaminha todos os registros de auditoria de acesso a dados para um projeto central para análise. Esse coletor de interceptação também impede que coletores em recursos filhos sejam roteados cópias dos registros em outro lugar.
Os coletores de interceptação impedem a passagem dos registros pelo roteador de recursos filhos, a menos que os registros também correspondam ao coletor
_Required
. Como o são interceptados, não são contabilizados nas métricas com base em registros e com base em registros nos recursos filhos. Você pode ver a interceptação coletores na página Roteador de registros dos recursos filhos.
Para informações sobre como gerenciar coletores, consulte Rotear registros para destinos compatíveis: gerenciar coletores.
É possível criar até 200 coletores por pasta ou organização.
Destinos possíveis
É possível usar coletores agregados sem interceptação para rotear entradas de registro entre as mesmas organizações e pastas para os seguintes destinos:
Bucket do Cloud Logging: fornece armazenamento no Cloud Logging. Um bucket de registro pode armazenar entradas de registro que são recebidas por vários projetos do Google Cloud. O bucket de registro pode estar no mesmo projeto em que as entradas de registro são originadas ou em um projeto diferente. Para informações sobre como exibir entradas de registro armazenadas em buckets de registros, consulte Visão geral de consultas e registros e Conferir registros roteados para buckets do Cloud Logging.
É possível combinar do Cloud Logging com outros dados. Para isso, faça upgrade de um bucket de registros para usar na Análise de dados de registros e, em seguida, criar um conjunto de dados vinculado, que é um conjunto de dados que pode ser consultado pelo BigQuery Studio e o Looker Studio páginas de destino.
Conjunto de dados do BigQuery: armazena as entradas de registro em um um conjunto de dados gravável do BigQuery. O conjunto de dados do BigQuery podem estar no mesmo projeto de origem das entradas de registro projeto. É possível usar os recursos de análise de Big Data nas entradas de registro armazenadas. Para informações sobre como visualizar entradas de registro roteadas para o BigQuery, consulte Veja os registros roteados para o BigQuery.
- Bucket do Cloud Storage: armazenamento de entradas de registro no Cloud Storage. O bucket do Cloud Storage pode estar no mesmo projeto em que as entradas de registro se originam ou em um projeto diferente. As entradas de registro são armazenadas na forma de arquivos JSON. Para informações sobre como visualizar entradas de registro roteadas para o Cloud Storage, consulte Conferir registros roteados para o Cloud Storage.
Tópico do Pub/Sub: oferece suporte para integrações de terceiros. As entradas de registro são formatadas em JSON e roteadas para um Pub/Sub tópico. O tópico pode estar no mesmo projeto em que as entradas de registro originam ou em um projeto diferente. Para informações sobre como visualizar entradas de registro roteadas para Pub/Sub, consulte Veja os registros roteados para o Pub/Sub.
Projeto do Google Cloud: direcione as entradas de registro para outro projeto do Google Cloud. Em nessa configuração, os coletores do projeto de destino as entradas de registro.
Práticas recomendadas para interceptar coletores
Ao criar um coletor de interceptação, recomendamos que você faça o seguinte:
Considere se os recursos filhos precisam de controle independente do roteamento as entradas de registro. Se um recurso filho precisar de controle independente de certos as entradas de registro, verifique se o coletor de interceptação não as entradas de registro.
Adicionar dados de contato à descrição de um sink de interceptação. Isso pode ser útil se aqueles que gerenciam o coletor de interceptação forem diferentes e aqueles que gerenciam os projetos cujas entradas de registro estão sendo interceptadas.
Para testar a configuração do coletor, primeiro crie um conjunto de dados para garantir que as entradas de registro corretas sejam roteadas.
Coletores agregados e VPC Service Controls
As limitações a seguir se aplicam quando você usa coletores agregados e O serviço VPC Service Controls oferece estes benefícios:
Os coletores agregados acessam dados de projetos dentro de um serviço perímetro de serviço. Para impedir que os coletores agregados acessem dados em um do perímetro, recomendamos o uso do IAM para gerenciar Permissões de registro.
O VPC Service Controls não dá suporte à adição de pastas ou de recursos da organização a perímetros de serviço. Portanto, não é possível usar VPC Service Controls para proteger registros de pasta e organização; incluindo registros agregados. Para gerenciar as permissões do Logging no nível da pasta ou da organização, recomendamos o uso do IAM.
Se você rotear registros usando um coletor no nível da pasta ou da organização para um recurso protegido por um perímetro de serviço, adicione uma regra de entrada ao perímetro de serviço. A regra de entrada precisa permitir acesso para o recurso da conta de serviço que o coletor agregado usa. Para mais informações, consulte as páginas a seguir:
Ao especificar uma política de entrada ou saída para um perímetro de serviço, não será possível usar
ANY_SERVICE_ACCOUNT
eANY_USER_ACCOUNT
como um tipo de identidade ao usar um coletor de registros para encaminhar registros aos recursos do Cloud Storage. No entanto, é possível usarANY_IDENTITY
como o tipo de identidade.
Antes de começar
Antes de criar um coletor, verifique se:
Você tem uma pasta ou organização do Google Cloud com entradas de registro que você pode ver na Análise de registros.
Você tem um dos seguintes papéis do IAM para o Organização ou pasta do Google Cloud que você está roteando as entradas de registro.
- Proprietário (
roles/owner
) - Administrador do Logging (
roles/logging.admin
) - Gravador de configuração de registros (
roles/logging.configWriter
)
As permissões contidas nesses papéis permitem criar, excluir ou modificar coletores. Para informações sobre como definir papéis do IAM, consulte as Guia de controle de acesso do Logging.
- Proprietário (
Você tem um recurso em um destino compatível ou pode criar um.
O destino precisa ser criado antes do coletor, por meio de a Google Cloud CLI, o console do Google Cloud ou a plataforma APIs de terceiros. É possível criar o destino em qualquer projeto do Google Cloud de qualquer organização, mas você precisa garantir que a conta de serviço da o coletor tem permissões para gravar no destino.
Criar um coletor agregado
Console
Para criar um coletor agregado para sua pasta ou organização, faça o seguinte:
-
No console do Google Cloud, acesse a página Roteador de registros:
Acessar o roteador de registros
Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo Logging.
Selecione uma pasta ou organização existente.
Selecione Criar coletor.
No painel Detalhes do coletor, insira os seguintes detalhes:
Nome do coletor: forneça um identificador para o coletor. Depois de criar o coletor, não será possível renomeá-lo, mas será possível excluí-lo e criar um novo coletor.
Descrição do coletor (opcional): descreva a finalidade ou o caso de uso do coletor.
Escolha uma destas opções:
Para criar um coletor de interceptação, no menu Selecionar serviço de coletor, faça o seguinte: Selecione Google Cloud project e insira o nome totalmente qualificado. para o destino. Para obter informações sobre a sintaxe, consulte Formatos de caminho de destino.
Para criar um coletor sem interceptação, acesse Selecionar serviço de coletor e escolha uma das seguintes opções:
Para rotear entradas de registro para outro projeto do Google Cloud, selecione Google Cloud project e insira o ID para o destino. Para obter informações sobre a sintaxe, consulte Formatos de caminho de destino.
Para rotear entradas de registro para um serviço que está no mesmo projeto do Google Cloud, selecione uma das seguintes opções:
- Bucket do Cloud Logging: selecione ou crie um bucket do Logging.
- Conjunto de dados do BigQuery: selecione ou crie o para receber as entradas de registro roteadas. Você também tem a opção para usar tabelas particionadas.
- Bucket do Cloud Storage: selecione ou crie o bucket o bucket do Cloud Storage para receber as entradas de registro roteadas.
- Tópico do Pub/Sub: selecione ou crie o tópico para receber as entradas de registro roteadas.
- Splunk: selecione o tópico do Pub/Sub do serviço Splunk.
Se quiser rotear entradas de registro para um serviço projeto do Google Cloud, faça o seguinte:
- Selecione Outro recurso.
Insira o nome totalmente qualificado para o destino. Para obter informações sobre a sintaxe, consulte a Formatos de caminho de destino.
Por exemplo, se o destino do coletor for um Pub/Sub o
destination
ficará assim:pubsub.googleapis.com/projects/PROJECT_ID/topics/TOPIC_ID
No painel Escolha os registros para incluir no coletor, siga um destes procedimentos:
Para criar um coletor de interceptação, selecione Interceptar registros ingeridos por dessa organização e de todos os recursos filhos.
Para criar um coletor agregado sem interceptação, selecione Incluir registros ingeridos por este recurso e por todos os recursos filhos.
Preencha a caixa de diálogo inserindo um expressão de filtro na O campo Criar filtro de inclusão que corresponda às entradas de registro que você quer incluir. Se você não definir um filtro, todas as entradas de registro dos recurso são encaminhados para o destino.
Por exemplo, talvez você queira criar um filtro para rotear todas as regras de acesso a dados registros de auditoria a um único bucket do Logging. Este filtro parece como o seguinte:
LOG_ID("cloudaudit.googleapis.com/data_access") OR LOG_ID("externalaudit.googleapis.com/data_access")
Para exemplos de filtros, consulte Criar filtros para coletores agregados.
O comprimento de um filtro não pode exceder 20.000 caracteres.
Opcional: para verificar se você inseriu o filtro correto, selecione Visualizar registros. Isso abre a Análise de registros em uma nova guia com as filtro pré-preenchido.
Opcional: no painel Escolha os registros para excluir do coletor, faça o seguinte: o seguinte:
No campo Nome do filtro de exclusão, insira um nome.
No campo Criar um filtro de exclusão, insira uma expressão de filtro que corresponda às entradas de registro que você quer excluir. Também é possível usar a função
sample
para selecionar uma parte das entradas de registro a serem excluídas.Por exemplo, para excluir as entradas de registro de um projeto ser roteadas para o destino, adicione o seguinte filtro de exclusão:
logName:projects/PROJECT_ID
Para excluir entradas de registro de vários projetos, use a função logical-OR para unir cláusulas
logName
.
É possível criar até 50 filtros de exclusão por coletor. O comprimento de um filtro não pode exceder 20.000 caracteres.
Selecione Criar coletor.
Conceda à conta de serviço do coletor a permissão para gravar para o destino do coletor. Para mais informações, consulte Defina permissões de destino.
Protocolo
Para criar um coletor agregado, use o
organizations.sinks.create
ou
folders.sinks.create
Método da API Logging.
Prepare os argumentos do método da seguinte maneira:
Defina o campo
parent
como a organização do Google Cloud ou em que o coletor será criado. O pai precisa ser um dos seguintes parâmetros:organizations/ORGANIZATION_ID
folders/FOLDER_ID
No objeto
LogSink
, no corpo da solicitação do método, siga um destes procedimentos:Defina
includeChildren
comoTrue
.Para criar um coletor de interceptação, defina também o
interceptChildren
comoTrue
.
Defina o campo
filter
para corresponder às entradas de registro que você quer incluir.Para exemplos de filtros, consulte Criar filtros para coletores agregados.
O comprimento de um filtro não pode exceder 20.000 caracteres.
Defina os campos
LogSink
restantes como você faria para qualquer coletor. Para mais informações, consulte Rotear registros para destinos compatíveis.Chame
organizations.sinks.create
oufolders.sinks.create
para criar o coletor.Conceda à conta de serviço para o coletor permissão para gravar no coletor destino. Para mais informações, consulte Defina permissões de destino.
gcloud
Para criar um coletor agregado, use o
logging sinks create
comando:
Para criar um coletor, chame o comando
gcloud logging sinks create
e inclua a opção--include-children
.Antes de usar o comando a seguir, faça as seguintes substituições:
- SINK_NAME: o nome do coletor de registros. Não é possível mudar o nome de uma sink depois de criá-la.
- SINK_DESTINATION: o serviço ou projeto para onde você quer encaminhar as entradas de registro.
- INCLUSION_FILTER: o filtro de inclusão de um coletor. Para exemplos de filtros, consulte Criar filtros para coletores agregados.
- FOLDER_ID: o ID da pasta. Se você quiser criar um coletor
no nível da organização e substitua
--folder=FOLDER_ID
com-- organization=ORGANIZATION_ID
.
Execute o
gcloud logging sinks create
comando:gcloud logging sinks create SINK_NAME \ SINK_DESTINATION --include-children \ --folder=FOLDER_ID --log-filter="INCLUSION_FILTER"
Também é possível fornecer as seguintes opções:
- Para criar um coletor de interceptação, inclua o
--intercept-children
.
Por exemplo, se você criar um coletor agregado no nível da pasta, e tiver como destino um tópico do Pub/Sub, seu comando será semelhante a esta:
gcloud logging sinks create SINK_NAME \ pubsub.googleapis.com/projects/PROJECT_ID/topics/TOPIC_ID --include-children \ --folder=FOLDER_ID --log-filter="logName:activity"
Conceda à conta de serviço para o coletor permissão para gravar no coletor destino. Para mais informações, consulte Defina permissões de destino.
As alterações feitas em um coletor podem levar alguns minutos para serem aplicadas.
Criar filtros para coletores agregados
Como qualquer outro, o coletor agregado contém um filtro que seleciona entradas de registro individuais. Para exemplos de filtros que você pode usar para criar um coletor agregado, consulte Consultas de amostra usando o Explorador de registros.
Veja a seguir alguns exemplos de comparações de filtros que são úteis ao usar o recurso de coletores agregados. Alguns exemplos utilizam a seguinte notação:
:
: é o operador de substring. Não substitua o operador=
....
representa qualquer comparação de filtros adicional.- As variáveis são indicadas por texto colorido. As substitua por valores válidos.
O comprimento de um filtro não pode exceder 20.000 caracteres.
Para mais detalhes sobre a sintaxe da filtragem, consulte Linguagem de consulta do Logging.
Selecionar a origem do registro
Para um coletor agregado, para cada recurso filho da organização ou pasta: os filtros de inclusão e exclusão do coletor são aplicados a cada entrada de registro é enviada ao recurso filho. Uma entrada de registro que corresponda o filtro de inclusão e não excluído, será roteado.
Se quiser que o coletor roteie entradas de registro de todos os recursos filhos, não especifique um projeto, uma pasta ou uma organização nos filtros de inclusão e exclusão do coletor. Por exemplo, suponha configure um coletor agregado para uma organização com o seguinte filtro:
resource.type="gce_instance"
Com o filtro anterior, as entradas de registro com um tipo de recurso Instâncias do Compute Engine que são gravadas para qualquer filho dessa organização são encaminhadas pelo coletor agregado para o destino.
No entanto, pode haver situações em que você queira usar um coletor agregado
para encaminhar entradas de registro apenas de recursos filhos específicos. Por exemplo, para
compliance
motivos para armazenar registros de auditoria de pastas ou projetos específicos
no próprio bucket do Cloud Storage. Nessas situações, configure seu
filtro de inclusão para especificar cada recurso filho com as entradas de registro que você quer
encaminhados. Se você quer rotear entradas de registro de uma pasta e todos os projetos em
daquela pasta,
o filtro deve listar a pasta e cada um dos projetos contidos
dessa pasta e mescle as instruções com uma cláusula OR
.
Os filtros a seguir restringem as entradas de registro a projetos, pastas ou organizações específicas do Google Cloud:
logName:"projects/PROJECT_ID/logs/" AND ...
logName:("projects/PROJECT_A_ID/logs/" OR "projects/PROJECT_B_ID/logs/") AND ...
logName:"folders/FOLDER_ID/logs/" AND ...
logName:"organizations/ORGANIZATION_ID/logs/" AND ...
Por exemplo, para rotear apenas entradas de registro gravadas em instâncias do Compute Engine
que foram gravados na pasta my-folder
, use o seguinte filtro:
logName:"folders/my-folder/logs/" AND resource.type="gce_instance"
Com o filtro anterior, as entradas de registro foram gravadas em qualquer recurso
my-folder
, incluindo entradas de registro gravadas em projetos do Google Cloud que
filhos de my-folder
, não são roteados para o destino.
Selecione o recurso monitorado.
Para rotear entradas de registro de apenas um recurso monitorado específico em um projeto do Google Cloud, use várias comparações para especificar o recurso exatamente:
logName:"projects/PROJECT_ID/logs" AND resource.type=RESOURCE_TYPE AND resource.labels.instance_id=INSTANCE_ID
Para uma lista de tipos de recursos, consulte Tipos de recursos monitorados.
Selecione uma amostra de entradas de registro
Para encaminhar uma amostra aleatória de entradas de registro, adicione a função incorporada sample
. Por exemplo, para rotear somente 10% das entradas de registro
correspondentes ao seu filtro atual, use esta adição:
sample(insertId, 0.10) AND ...
Para mais informações, consulte a função sample
.
Para mais informações sobre os filtros do Cloud Logging, consulte Linguagem de consulta do Logging.
Definir permissões de destino
Nesta seção, descrevemos como conceder ao Logging Permissões do Identity and Access Management para gravar entradas de registro no destino do coletor. Para a lista de papéis e permissões do Logging, consulte Controle de acesso.
Quando você cria ou atualiza um coletor que encaminha entradas de registro para qualquer destino, exceto um bucket de registro no projeto atual, é necessária uma conta de serviço para esse coletor. O Logging cria e gerencia automaticamente conta de serviço para você:
- Desde 22 de maio de 2023, quando você cria um coletor e nenhum serviço o recurso existe, o Logging cria a conta de serviço. O Logging usa a mesma conta de serviço todos os coletores do recurso. Os recursos podem ser um projeto do Google Cloud, uma organização, uma pasta do Google Cloud.
- Antes de 22 de maio de 2023, o Logging criava um serviço para cada coletor. Desde 22 de maio de 2023, o Logging usa uma conta de serviço compartilhada para todos os destinos no recurso subjacente.
A identidade do gravador de um coletor é o identificador do serviço associada a esse coletor. Todos os coletores têm uma identidade de gravador, gravar em um bucket de registros no projeto atual do Google Cloud.
Para rotear entradas de registro para um recurso protegido por uma perímetro de serviço, você precisa adicionar a conta de serviço desse coletor a um nível de acesso e, ao perímetro de serviço de destino. Isso não é necessário para coletores não agregados. Para detalhes, consulte VPC Service Controls: Cloud Logging.
Para definir permissões a fim de rotear o coletor para o destino, faça o seguinte:
Console
Para informações sobre a conta de serviço do coletor, faça o seguinte:
-
No console do Google Cloud, acesse a página Roteador de registros:
Acessar o roteador de registros
Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo Logging.
Selecione more_vert Menu e selecione Veja os detalhes do coletor. A identidade do escritor aparece Painel Detalhes do coletor.
Se o valor do campo
writerIdentity
tiver um endereço de e-mail, e prossiga para a próxima etapa. Quando o valor éNone
, para configurar as permissões de destino.Copie a identidade do gravador do coletor para a área de transferência. A string
serviceAccount:
é parte da identidade da conta de serviço. Exemplo:serviceAccount:service-123456789012@gcp-sa-logging.iam.gserviceaccount.com
Adicione a conta de serviço como principal do IAM no projeto de destino:
-
No console do Google Cloud, abra a página IAM.
Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo IAM e administrador.
Selecione o projeto de destino.
Clique em
CONCEDER ACESSO.Conceda à conta de serviço o papel do IAM necessário:
- Para destinos do Cloud Storage, adicione a identidade do gravador do coletor
como principal usando o IAM e conceder a ele o
Papel Criador de objetos do Storage
(
roles/storage.objectCreator
). - Para destinos do BigQuery, adicione a identidade de gravador do coletor
como principal usando o IAM e conceder a ele o
Papel de Editor de dados do BigQuery
(
roles/bigquery.dataEditor
). - Para destinos do Pub/Sub, incluindo o Splunk, adicione a identidade de gravador do coletor
como principal usando o IAM e conceder a ele o
Papel Editor do Pub/Sub
(
roles/pubsub.publisher
). - Para destinos de bucket do Logging em diferentes projetos do Google Cloud, adicione a identidade de gravador do coletor como principal usando o IAM e conceda a ele o papel de gravador de bucket de registros (
roles/logging.bucketWriter
). - Para destinos de projetos do Google Cloud, adicione o nome
de gravador como principal usando o IAM e conceder a ele o
Papel de Gravador de registros
(
roles/logging.logWriter
). Especificamente, um principal precisa daslogging.logEntries.route
.
- Para destinos do Cloud Storage, adicione a identidade do gravador do coletor
como principal usando o IAM e conceder a ele o
Papel Criador de objetos do Storage
(
-
-
Protocolo
Recomendamos usar o console ou a Google Cloud CLI para conceder um papel à conta de serviço.
gcloud
Verifique se você tem acesso de Proprietário Projeto do Google Cloud que contém o destino. Se você não tiver acesso de Proprietário ao destino do coletor, depois peça ao proprietário do projeto para adicionar a identidade de escritor como principal.
Para informações sobre a conta de serviço do coletor, chame o método
gcloud logging sinks describe
.Antes de usar o comando a seguir, faça as seguintes substituições:
- SINK_NAME: o nome do coletor de registros. Não é possível alterar o nome de um coletor depois de criá-lo.
Execute o
gcloud logging sinks describe
comando:gcloud logging sinks describe SINK_NAME
Se os detalhes do coletor contiverem um campo rotulado como
writerIdentity
, então: prossiga para a próxima etapa. Quando os detalhes não incluem umwriterIdentity
não é preciso configurar permissões de destino para o coletor.Copie a identidade do gravador do coletor para a área de transferência. A string
serviceAccount:
é parte da identidade da conta de serviço.A identidade do gravador para a conta de serviço é semelhante a esta:
serviceAccount:service-123456789012@gcp-sa-logging.iam.gserviceaccount.com
Para adicionar a conta de serviço como um principal do IAM no projeto de destino, chame o comando
gcloud projects add-iam-policy-binding
.Antes de usar o comando a seguir, faça as seguintes substituições:
- PROJECT_ID: o identificador do projeto.
- PRINCIPAL: um identificador do principal a quem você quer
conceder o papel. Os identificadores principais geralmente têm o seguinte formato:
PRINCIPAL-TYPE:ID
: Por exemplo,user:my-user@example.com
. Para conferir uma lista completa dos formatos quePRINCIPAL
pode ter, consulte Identificadores principais. ROLE: um papel do IAM.
- Para destinos do Cloud Storage, adicione a identidade do gravador do coletor
como principal usando o IAM e conceder a ele o
Papel Criador de objetos do Storage
(
roles/storage.objectCreator
). - Para destinos do BigQuery, adicione a identidade do gravador do coletor como um principal usando o IAM e conceda a ele o papel de editor de dados do BigQuery (
roles/bigquery.dataEditor
). - Para destinos do Pub/Sub, incluindo o Splunk, adicione a identidade do gravador do coletor
como uma conta principal usando o IAM e conceda a
função de editor do Pub/Sub
(
roles/pubsub.publisher
). - Para destinos de bucket do Logging em
projetos do Google Cloud, adicione a identidade de gravador do coletor como um principal
usando o IAM e conceder a ele o
Papel Gravador de bucket de registros
(
roles/logging.bucketWriter
). - Para destinos de projetos do Google Cloud, adicione o nome
de gravador como principal usando o IAM e conceder a ele o
Papel de Gravador de registros
(
roles/logging.logWriter
). Especificamente, um principal precisa daslogging.logEntries.route
.
- Para destinos do Cloud Storage, adicione a identidade do gravador do coletor
como principal usando o IAM e conceder a ele o
Papel Criador de objetos do Storage
(
Execute o comando
gcloud projects add-iam-policy-binding
:gcloud projects add-iam-policy-binding PROJECT_ID --member=PRINCIPAL --role=ROLE
A seguir
Saiba como criar visualizações de registros em um bucket de registros. As visualizações de registros permitem conceder aos principais acesso de leitura a um subconjunto das entradas de registro em um bucket de registros.
Para informações sobre como gerenciar coletores existentes, consulte Rotear registros para destinos compatíveis: gerenciar coletores.
Se você encontrar problemas ao usar coletores para rotear registros, consulte Resolver problemas de roteamento e coletores.
Para saber como exibir seus registros nos destinos e como os registros sejam formatados e organizados, consulte Ver registros nos destinos do coletor