En este documento se describen los sumideros agregados, que te permiten recopilar y enrutar entradas de registro que proceden de recursos de una carpeta o una organización a un destino compatible. Te recomendamos que uses receptores agregados para enrutar los datos de registro a una ubicación de almacenamiento central.
Acerca de los sumideros agregados
Un sumidero agregado es similar a un sumidero a nivel de proyecto, ya que contiene filtros y un destino. Sin embargo, Log Router envía a un receptor agregado las siguientes entradas de registro:
- Todas las entradas de registro que proceden de una carpeta o una organización.
- Todas las entradas de registro que proceden de los recursos secundarios de la carpeta o de la organización.
Por ejemplo, si crea un sumidero agregado a nivel de carpeta, el enrutador de registros enviará a ese sumidero todas las entradas de registro que se originen en la carpeta o en los recursos secundarios de la carpeta.
Cuando hay receptores agregados en la jerarquía de recursos de una entrada de registro, el enrutador de registros envía inicialmente la entrada de registro a esos receptores. Como los receptores agregados pueden ser interceptores o no interceptores, es posible que el enrutador de registros no envíe una entrada de registro que se haya enrutado mediante un receptor agregado a los receptores a nivel de proyecto.
- Interceptar un sumidero agregado
Un sumidero agregado interceptor impide que las entradas de registro se enruten a los sumideros de los recursos secundarios, excepto a los sumideros
_Requiredde los recursos en los que se originan las entradas de registro. Un receptor agregado interceptor puede ser útil para evitar que se almacenen copias duplicadas de entradas de registro en varios lugares.Por ejemplo, supongamos que necesitas habilitar los registros de auditoría de acceso a datos con fines de auditoría. Para simplificar el análisis, quieres almacenar estos registros en una ubicación central. Sin embargo, por motivos de seguridad y costes, también quieres evitar que estos registros se almacenen a nivel de proyecto. En este caso, puedes crear un receptor agregado de intercepción.
- Sumidero agregado no interceptor
Un receptor agregado que no intercepta no afecta a la forma en que se enrutan las entradas de registro a otros receptores. Es decir, aunque una entrada de registro coincida con el filtro de un sumidero agregado que no intercepta, esa entrada se reenvía a otros sumideros de la jerarquía de recursos de la entrada de registro. Un receptor agregado no interceptor te permite mantener la visibilidad de las entradas de registro en los recursos en los que se generaron.
Por ejemplo, puede crear un receptor agregado que no intercepte y que dirija todas las entradas de registro generadas a partir de las carpetas que contiene una organización a un segmento de registro central. Las entradas de registro se almacenan en el segmento de registros central. Sin embargo, como el sumidero no intercepta, el enrutador de registros también envía entradas de registro a los sumideros de registros del recurso en el que se generaron.
Ejemplos de enrutamiento
En esta sección se muestra cómo puede fluir una entrada de registro que se origina en un proyecto a través de los receptores de su jerarquía de recursos.
Ejemplo: No hay sumideros agregados
Si no hay receptores agregados en la jerarquía de recursos de la entrada de registro, esta se envía a los receptores de registro del proyecto en el que se origina. Un sumidero a nivel de proyecto enruta la entrada de registro al destino del sumidero cuando la entrada de registro coincide con el filtro de inclusión del sumidero, pero no coincide con ninguno de los filtros de exclusión del sumidero.
Ejemplo: Existe un receptor agregado que no intercepta
Supongamos que existe un sumidero agregado que no intercepta en la jerarquía de recursos de una entrada de registro. Después de que el enrutador de registros envíe la entrada de registro al receptor agregado que no intercepta, ocurre lo siguiente:
El sumidero agregado no interceptor dirige la entrada de registro al destino del sumidero cuando la entrada de registro coincide con el filtro de inclusión, pero no con ningún filtro de exclusión.
El enrutador de registros envía la entrada de registro a los sumideros de registros del proyecto en el que se ha originado la entrada de registro.
Un sumidero a nivel de proyecto enruta la entrada de registro al destino del sumidero cuando la entrada de registro coincide con el filtro de inclusión del sumidero, pero no coincide con ninguno de los filtros de exclusión del sumidero.
Ejemplo: existe un receptor agregado interceptor
Supongamos que existe un sumidero agregado de intercepción en la jerarquía de recursos de una entrada de registro. Después de que el enrutador de registros envíe la entrada de registro al receptor agregado interceptor, ocurre una de las siguientes situaciones:
La entrada de registro coincide con el filtro de inclusión, pero no con ningún filtro de exclusión:
- La entrada de registro se enruta al destino del sumidero agregado interceptor.
- La entrada de registro se envía al receptor
_Requireddel proyecto en el que se ha originado.
La entrada de registro no coincide con el filtro de inclusión o coincide con al menos un filtro de exclusión:
- La entrada de registro no se enruta mediante el receptor agregado interceptor.
El enrutador de registros envía la entrada de registro a los sumideros de registros del proyecto en el que se ha originado la entrada de registro.
Un sumidero a nivel de proyecto enruta la entrada de registro al destino del sumidero cuando la entrada de registro coincide con el filtro de inclusión del sumidero, pero no coincide con ninguno de los filtros de exclusión del sumidero.
Destinos admitidos para sumideros agregados
En esta sección se indica qué destinos se admiten para los receptores agregados.
Interceptar sumideros
El destino de un receptor agregado interceptor debe ser un proyecto deGoogle Cloud .
Los sumideros de registro del proyecto de destino redirigen las entradas de registro a sus destinos. Se admiten todos los destinos, excepto los proyectos. Por ejemplo, los sumideros de registro del proyecto de destino pueden redirigir las entradas de registro a un segmento de registro.
Sumideros que no interceptan
El destino de un receptor agregado que no intercepta puede ser cualquiera de los siguientes:
El destino de un receptor puede estar en un recurso distinto al del receptor. Por ejemplo, puedes usar un sumidero de registros para enrutar entradas de registro de un proyecto a un segmento de registros almacenado en otro proyecto.
Se admiten los siguientes destinos:
- Google Cloud proyecto
Selecciona este destino si quieres que los sumideros de registros del proyecto de destino redirijan tus entradas de registro o si has creado un sumidero agregado interceptor. Los sumideros de registro del proyecto que es el destino del sumidero pueden redirigir las entradas de registro a cualquier destino admitido, excepto a un proyecto.
- Segmento de registros
Selecciona este destino si quieres almacenar los datos de registro en recursos gestionados por Cloud Logging. Los datos de registro almacenados en segmentos de registro se pueden ver y analizar mediante servicios como el Explorador de registros y Analíticas de registros.
Si quieres combinar tus datos de registro con otros datos empresariales, puedes almacenar tus datos de registro en un segmento de registro y crear un conjunto de datos de BigQuery vinculado. Un conjunto de datos vinculado es un conjunto de datos de solo lectura que se puede consultar como cualquier otro conjunto de datos de BigQuery.
- Conjunto de datos de BigQuery
- Selecciona este destino si quieres combinar tus datos de registro con otros datos empresariales. El conjunto de datos que especifiques debe tener habilitada la escritura. No configure el destino de un sink como un conjunto de datos de BigQuery vinculado. Los conjuntos de datos vinculados son de solo lectura.
- Segmento de Cloud Storage
- Selecciona este destino si quieres almacenar tus datos de registro a largo plazo. El segmento de Cloud Storage puede estar en el mismo proyecto en el que se originan las entradas de registro o en otro proyecto. Las entradas de registro se almacenan como archivos JSON.
- Tema Pub/Sub
- Selecciona este destino si quieres exportar tus datos de registro desde Google Cloud y, a continuación, usar integraciones de terceros como Splunk o Datadog. Las entradas de registro se formatean en JSON y, a continuación, se dirigen a un tema de Pub/Sub.
Prácticas recomendadas
Recomendamos que el destino de un receptor agregado sea un Google Cloud proyecto.
Con este destino, los sumideros de registros del proyecto de destino Google Cloud redirigen las entradas de registro.
El sumidero _Required solo enruta las entradas de registro que coinciden con su filtro y que proceden del recurso en el que se define el sumidero. Por lo tanto, si quieres almacenar copias adicionales de las entradas de registro que coincidan con el filtro del receptor _Required, debes crear un receptor de registro personalizado o modificar el filtro del receptor de registro _Default.
Cuando crees un receptor de intercepción, te recomendamos que hagas lo siguiente:
Considera si los recursos secundarios necesitan controlar de forma independiente el enrutamiento de sus entradas de registro. Si un recurso secundario necesita controlar de forma independiente determinadas entradas de registro, comprueba que tu receptor de intercepción no enrute esas entradas de registro.
Añade información de contacto a la descripción de un receptor interceptor. Esto puede ser útil si los usuarios que gestionan el receptor de intercepción son diferentes de los que gestionan los proyectos cuyas entradas de registro se están interceptando.
Prueba la configuración del receptor creando primero un receptor agregado que no intercepte para verificar que se están enrutando las entradas de registro correctas.
Interceptar agregaciones de receptores y métricas basadas en registros
Las métricas basadas en registros son métricas de Cloud Monitoring que se derivan del contenido de las entradas de registro. La forma en que se enruta una entrada de registro determina las métricas basadas en registros a las que puede contribuir. Como un receptor agregado interceptor afecta a la forma en que se enrutan las entradas de registro, la creación de este tipo de receptor puede provocar cambios en los valores de las métricas basadas en registros.
Para obtener más información, consulta Cómo afecta el enrutamiento de entradas de registro a las métricas basadas en registros.
Receptores agregados y Controles de Servicio de VPC
Se aplican las siguientes limitaciones cuando usas receptores agregados y Controles de Servicio de VPC:
Los receptores agregados pueden acceder a los datos de los proyectos que se encuentran dentro de un perímetro de servicio. Para evitar que los receptores agregados accedan a los datos de un perímetro, le recomendamos que use la gestión de identidades y accesos para gestionar los permisos de registro.
Controles de Servicio de VPC no admite la adición de recursos de carpetas ni de organizaciones a perímetros de servicio. Por lo tanto, no puedes usar Controles del servicio de VPC para proteger los registros a nivel de carpeta y de organización, incluidos los registros agregados. Para gestionar los permisos de registro a nivel de carpeta o de organización, te recomendamos que uses IAM.
Si enruta los registros mediante un receptor a nivel de carpeta u organización a un recurso que protege un perímetro de servicio, debe añadir una regla de entrada al perímetro de servicio. La regla de entrada debe permitir el acceso al recurso desde la cuenta de servicio que usa el receptor agregado. Para obtener más información, consulta las siguientes páginas:
Cuando especifiques una política de entrada o salida para un perímetro de servicio, no podrás usar
ANY_SERVICE_ACCOUNTniANY_USER_ACCOUNTcomo tipo de identidad si utilizas un sumidero de registros para enrutar registros a recursos de Cloud Storage. Sin embargo, puede usarANY_IDENTITYcomo tipo de identidad.
Siguientes pasos
Para saber cómo crear un sumidero agregado, consulta el artículo Recopilar y enrutar registros a nivel de organización y de carpeta a destinos admitidos.
Para ver un tutorial, consulta Agrega y almacena los registros de tu organización.
Para obtener información sobre cómo gestionar los receptores, consulta Dirigir registros a destinos admitidos: gestionar receptores.
Para saber cómo ver los registros en sus destinos, así como el formato y la organización de los registros, consulta Ver registros en destinos de sumidero.