Configura vistas de registro en un bucket de registros

En este documento, se describe cómo crear y administrar vistas de registros en tus buckets de Cloud Logging. Las vistas de registro te brindan un control avanzado y detallado sobre quién tiene acceso a los registros de tus buckets de registros.

Puedes configurar y administrar tus vistas de registro con la consola de Google Cloud, gcloud CLI, Terraform o la API de Cloud Logging.

Para obtener información general sobre el modelo de almacenamiento de Logging, consulta Descripción general del enrutamiento y el almacenamiento.

Información acerca de las vistas de registro

Las vistas de registro te permiten otorgarle a un usuario acceso solo a un subconjunto de los registros almacenados en un bucket de registros. Por ejemplo, imagina una situación en la que almacenas los registros de tu organización en un proyecto central. Puedes crear una vista de registro para cada proyecto que aporte registros al bucket de registros. Luego, puedes otorgar a cada usuario acceso a una o más vistas de registro y, de esta manera, restringir los registros que pueden ver.

Puedes crear un máximo de 30 vistas de registro por bucket de registro.

Controla el acceso a una vista de registro

Cloud Logging usa políticas de IAM para controlar quién tiene acceso a las vistas de registro. Las políticas de IAM pueden existir a nivel del recurso, el proyecto, la carpeta y la organización. En el caso de Cloud Logging, puedes crear una política de IAM para cada vista de registro. Para determinar si un principal está autorizado para realizar una acción, IAM evalúa todas las políticas aplicables, con la primera evaluación a nivel del recurso.

Las principales con el rol de roles/logging.viewAccessor en un proyecto de Google Cloud pueden acceder a las vistas y los registros de cualquier bucket de registro del proyecto.

Para otorgar acceso de principal solo a una vista de registro específica, realiza una de las siguientes acciones:

  • Crea una política de IAM para la vista de registro y, luego, agrega una vinculación de IAM a esa política que otorgue al principal acceso a la vista de registro.

    Si creas una gran cantidad de vistas de registro, te recomendamos este enfoque.

  • Otorga al principal el rol de IAM de roles/logging.viewAccessor en el proyecto que contiene la vista de registros, pero adjunta una condición de IAM para restringir la concesión a la vista de registros específica. Si omites la condición, le otorgas al principal acceso a todas las vistas de registro. Existe un límite de 20 vinculaciones de roles en el archivo de políticas de un proyecto de Google Cloud que incluyen el mismo rol y el mismo principal, pero diferentes expresiones condicionales.

Para obtener más información, consulta las siguientes secciones de este documento:

Vistas de registro creadas automáticamente

Cloud Logging crea automáticamente una vista _AllLogs para cada bucket de registros y una vista _Default para el bucket de registros _Default:

  • Vista _AllLogs: Puedes ver todos los registros en el bucket de registros.
  • Vista _Default: Puedes ver todos los registros de auditoría que no sean de acceso a los datos en el bucket de registros.

No puedes modificar las vistas que crea automáticamente Cloud Logging. Sin embargo, puedes borrar la vista _AllLogs.

Filtro de vista de registro

Cada vista de registro contiene un filtro que determina qué entradas de registro son visibles en la vista. Los filtros pueden contener operadores AND y NOT lógicos. Sin embargo, no pueden incluir operadores OR lógicos. Los filtros pueden comparar cualquiera de los siguientes valores:

  • Una fuente de datos que usa la función source La función source muestra las entradas de registro de un recurso en particular en las organizaciones, carpetas y jerarquía de los proyectos de Google Cloud.

  • Un ID de registro con la función log_id. La función log_id muestra entradas de registro que coinciden con el argumento LOG_ID determinado del campo logName.

  • Un tipo de recurso válido que usa la comparación resource.type= FIELD_NAME.

Por ejemplo, el siguiente filtro captura las entradas de registro stdout de Compute Engine de un proyecto de Google Cloud llamado myproject:

source("projects/myproject") AND resource.type = "gce_instance" AND log_id("stdout")

Para obtener más información sobre la sintaxis de filtrado, consulta Comparaciones.

Diferencias entre las vistas de registros y las vistas de estadísticas

Las vistas de registro y las vistas de estadísticas son diferentes.

Una vista de registro en un bucket de registro controla qué entradas de registro del bucket de registro puedes ver. Cuando usas Log Analytics, la estructura de datos LogEntry determina el esquema de los datos que consultas.

Una vista de estadísticas contiene una consulta de SQL en una o más vistas de registro. Con Log Analytics, puedes escribir consultas en una vista de estadísticas. Debido a que el creador de una vista de estadísticas determina el esquema, un caso de uso para las vistas de estadísticas es transformar los datos de registro del formato LogEntry en un formato que sea más adecuado para ti.

Antes de comenzar

Antes de crear o actualizar una vista de registro, completa los siguientes pasos:

  1. Si aún no lo hiciste, en el proyecto de Google Cloud correspondiente, crea un bucket de registro para el que deseas configurar una vista de registro personalizada.

  2. Para obtener los permisos que necesitas para crear y administrar vistas de registro y otorgar acceso a ellas, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu proyecto:

    Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

    También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.

  3. Select the tab for how you plan to use the samples on this page:

    Console

    When you use the Google Cloud console to access Google Cloud services and APIs, you don't need to set up authentication.

    gcloud

    In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

    Terraform

    Para usar las muestras de Terraform de esta página en un entorno de desarrollo local, instala e inicializa gcloud CLI y, luego, configura las credenciales predeterminadas de la aplicación con tus credenciales de usuario.

    1. Install the Google Cloud CLI.

    2. If you're using an external identity provider (IdP), you must first sign in to the gcloud CLI with your federated identity.

    3. To initialize the gcloud CLI, run the following command: 

      gcloud init

    4. If you're using a local shell, then create local authentication credentials for your user account: 

      gcloud auth application-default login

      You don't need to do this if you're using Cloud Shell.

      If an authentication error is returned, confirm that you have configured the gcloud CLI to use Workforce Identity Federation.

    Si deseas obtener más información, consulta Configura ADC para un entorno de desarrollo local en la documentación de autenticación de Google Cloud .

  4. Determina qué registros deseas incluir en la vista. Usa esta información para especificar el filtro de la vista de registro.

  5. Determina quién debe tener acceso a la vista de registro y si deseas agregar vinculaciones a la política de IAM de la vista de registro o del proyecto de Google Cloud. Para obtener más información, consulta Controla el acceso a una vista de registro.

Crea una vista de registro

Puedes crear un máximo de 30 vistas de registro por bucket de registro.

Console

Para crear una vista de registro, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página Explorador de registros:

    Ir al Almacenamiento de registros

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.

  2. Selecciona el proyecto, la carpeta o la organización que almacena el bucket de registros.
  3. En el panel Buckets de registros, selecciona el nombre del bucket de registros en el que deseas crear una vista de registro.
  4. En la página de detalles del bucket de registros, ve al panel Vistas de registro y, luego, haz clic en Crear vista de registro.

  5. En la página Define la vista de registro, completa lo siguiente:

    1. Ingresa un nombre para la vista de registro. No puedes cambiar este nombre después de que se crea la vista de registro. El nombre está limitado a 100 caracteres y solo puede incluir letras, dígitos, guiones bajos y guiones.
    2. Ingresa una descripción para la vista de registro.
    3. En el campo Build filter, ingresa una expresión que determine qué entradas de registro del bucket de registro se incluyen en la vista de registro. Para obtener información sobre la estructura de este campo, consulta la sección Filtro de vista de registro de este documento.

  6. Opcional: Para agregar una vinculación de roles al recurso de vista de registro, haz lo siguiente:

    1. Haz clic en Continuar y avanza a la página Establecer permisos.
    2. Haz clic en Grant access.
    3. En la sección Agregar principales, expande el menú Principales nuevas y, luego, selecciona una principal.
    4. En la sección Asignar roles, selecciona el rol Descriptor de acceso de vistas de registro.
    5. Haz clic en Guardar.

  7. Haz clic en Guardar vista.

  8. Si no otorgaste acceso a los principales a tu vista de registro como parte del flujo de creación, completa los pasos de la siguiente sección.

gcloud

Para crear una vista de registro, haz lo siguiente:

  1. Ejecuta el comando gcloud logging views create.

    Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

    • LOG_VIEW_ID: Es el identificador de la vista de registro, que se limita a 100 caracteres y solo puede incluir letras, dígitos, guiones bajos y guiones.
    • BUCKET_NAME: Es el nombre del bucket de registros.
    • LOCATION: Es la ubicación del bucket de registros.
    • FILTER: Es un filtro que define la vista de registro. Cuando está vacía, la vista de registro incluye todos los registros. Por ejemplo, para filtrar por registros de instancias de VM de Compute Engine, ingresa "resource.type=gce_instance".
    • DESCRIPTION: Es una descripción de la vista de registro. Por ejemplo, puedes ingresar lo siguiente para la descripción "Compute logs":
    • PROJECT_ID: Es el identificador del proyecto. Para crear una vista de registro en una carpeta o una organización, reemplaza --project por --folder o --organization.

    Ejecuta el comando gcloud logging views create:

    Linux, macOS o Cloud Shell

    gcloud logging views create LOG_VIEW_ID --bucket=BUCKET_NAME \
 --location=LOCATION --log-filter=FILTER --description=DESCRIPTION \
 --project=PROJECT_ID

    Windows (PowerShell)

    gcloud logging views create LOG_VIEW_ID --bucket=BUCKET_NAME `
 --location=LOCATION --log-filter=FILTER --description=DESCRIPTION `
 --project=PROJECT_ID

    Windows (cmd.exe)

    gcloud logging views create LOG_VIEW_ID --bucket=BUCKET_NAME ^
 --location=LOCATION --log-filter=FILTER --description=DESCRIPTION ^
 --project=PROJECT_ID

    Este comando no proporciona una respuesta. Para confirmar los cambios, puedes ejecutar el comando gcloud logging views list.

  2. Otorga acceso a las principales a tu vista de registros. La siguiente sección contiene información sobre estos pasos.

Terraform

Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform. Para obtener más información, consulta la documentación de referencia del proveedor de Terraform.

Para crear una vista de registro en un proyecto, una carpeta o una organización con Terraform, haz lo siguiente:

  1. Usa el recurso google_logging_log_view de Terraform.

    En el comando, establece los siguientes campos:

    • name: Establece el nombre completamente calificado de la vista de registro. Por ejemplo, para los proyectos, el formato de este campo es el siguiente:

      "projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/view/LOG_VIEW_ID"

      En la expresión anterior, LOCATION es la ubicación del bucket de registros.

    • bucket: Se establece en el nombre completamente calificado del bucket de registros. Por ejemplo, este campo podría ser el siguiente:

      "projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME"

    • filter: Es el filtro que describe qué entradas de registro se incluyen en la vista de registro.

    • description: Una descripción breve.

  2. Otorga acceso a las principales a tu vista de registros. La siguiente sección contiene información sobre estos pasos.

Otorga acceso a una vista de registro

Para restringir un principal a una vista de registro específica en un bucket de registro definido por el usuario, existen dos enfoques que puedes usar:

Cuando creas una gran cantidad de vistas de registro, te recomendamos que controles el acceso con el archivo de política de IAM de la vista de registro.

Vista de registro: Agrega vinculaciones de roles

En esta sección, se describe cómo usar el archivo de políticas de IAM para una vista de registro para controlar quién tiene acceso a las entradas de registro en esa vista de registro. Cuando usas este enfoque, agregas una vinculación al archivo de política de la vista de registro, que otorga al principal especificado acceso a la vista de registro.

En esta sección, también se describe cómo enumerar la vinculación de roles contenida en el archivo de política de IAM para una vista de registro.

Console

Para actualizar el archivo de política de IAM de una vista de registro, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página Explorador de registros:

    Ir al Almacenamiento de registros

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.

  2. Selecciona el proyecto, la carpeta o la organización que almacena el bucket de registros.
  3. En el panel Buckets de registro, selecciona el nombre del bucket de registro que aloja la vista de registro.
  4. En la página de detalles del bucket de registros, ve al panel Vistas de registro.

  5. En la vista de registro cuyo archivo de política de IAM deseas modificar, haz clic en Acciones y, luego, selecciona Ajustar permisos.

    Se abrirá el menú flotante de permisos y se mostrarán los permisos asociados con la vista de registros.

  6. En el menú flotante de permisos, haz clic en Agregar principal.

  7. En la sección Agregar principales, expande el menú Principales nuevas y, luego, selecciona un principal.

  8. En la sección Asignar roles, selecciona el rol Descriptor de acceso de vistas de registro.

  9. Haz clic en Guardar.

    El menú flotante de permisos se actualiza con los permisos nuevos.

    • En la sección etiquetada Usuario con acceso a vistas de registros (N), se enumeran las principales con concesiones a nivel del proyecto del rol Usuario con acceso a vistas de registros. Estos principales tienen acceso a todas las vistas de registro del proyecto.

    • En las secciones etiquetadas como Logs View Accessor condition:Condition-specific descriptive text (N), se enumeran las principales que tienen concesiones condicionales a nivel del proyecto del rol Logs View Accessor. Estos principales solo tienen acceso a la vista de registro que especifica la condición.

    • En la sección etiquetada como Logs View Accessor condition:abcde (N), se enumeran las principales que tienen concesiones a nivel de la vista de registros.

    En la siguiente captura de pantalla, se muestra un menú flotante de permisos en el que dos principales tienen concesiones de roles a nivel del proyecto, que se identifican con el ícono del proyecto, , y un principal tiene una concesión a nivel de la vista de registro:

    Ilustración del menú flotante de permisos.

  10. Para cerrar el menú flotante, haz clic en la X.

gcloud

Para actualizar el archivo de política de IAM de una vista de registro, haz lo siguiente:

  1. Ejecuta el comando gcloud logging views add-iam-policy-binding.

    Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

    • LOG_VIEW_ID: Es el identificador de la vista de registro, que se limita a 100 caracteres y solo puede incluir letras, dígitos, guiones bajos y guiones.
    • PRINCIPAL: Es un identificador para la principal a la que deseas otorgar el rol. Los identificadores principales suelen tener el siguiente formato: PRINCIPAL-TYPE:ID. Por ejemplo, user:my-user@example.com. Para obtener una lista completa de los formatos que puede tener PRINCIPAL, consulta Identificadores de principal.
    • BUCKET_NAME: Es el nombre del bucket de registros.
    • LOCATION: Es la ubicación del bucket de registros.
    • PROJECT_ID: Es el identificador del proyecto. Cuando sea necesario, reemplaza --project por --folder o --organization.

    Ejecuta el comando gcloud logging views add-iam-policy-binding:

    Linux, macOS o Cloud Shell

    gcloud logging views add-iam-policy-binding LOG_VIEW_ID \
  --member=PRINCIPAL --role='roles/logging.viewAccessor' \
  --bucket=BUCKET_NAME --location=LOCATION \
  --project=PROJECT_ID

    Windows (PowerShell)

    gcloud logging views add-iam-policy-binding LOG_VIEW_ID `
  --member=PRINCIPAL --role='roles/logging.viewAccessor' `
  --bucket=BUCKET_NAME --location=LOCATION `
  --project=PROJECT_ID

    Windows (cmd.exe)

    gcloud logging views add-iam-policy-binding LOG_VIEW_ID ^
  --member=PRINCIPAL --role='roles/logging.viewAccessor' ^
  --bucket=BUCKET_NAME --location=LOCATION ^
  --project=PROJECT_ID

    A continuación, se ilustra la respuesta cuando se agrega una sola vinculación: 

    Updated IAM policy for logging view [projects/PROJECT_ID/locations/global/buckets/BUCKET_NAME/views/LOG_VIEW_ID].
bindings:
- members:
  - PRINCIPAL
  role: roles/logging.viewAccessor
etag: BwYXfSd9-Gw=
version: 1

  2. Para verificar la actualización, ejecuta el comando gcloud logging views get-iam-policy:

    Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

    • LOG_VIEW_ID: Es el identificador de la vista de registro, que se limita a 100 caracteres y solo puede incluir letras, dígitos, guiones bajos y guiones.
    • BUCKET_NAME: Es el nombre del bucket de registros.
    • LOCATION: Es la ubicación del bucket de registros.
    • PROJECT_ID: Es el identificador del proyecto. Cuando sea necesario, reemplaza --project por --folder o --organization.

    Ejecuta el comando gcloud logging views get-iam-policy:

    Linux, macOS o Cloud Shell

    gcloud logging views get-iam-policy LOG_VIEW_ID \
 --bucket=BUCKET_NAME --location=LOCATION \
 --project=PROJECT_ID

    Windows (PowerShell)

    gcloud logging views get-iam-policy LOG_VIEW_ID `
 --bucket=BUCKET_NAME --location=LOCATION `
 --project=PROJECT_ID

    Windows (cmd.exe)

    gcloud logging views get-iam-policy LOG_VIEW_ID ^
 --bucket=BUCKET_NAME --location=LOCATION ^
 --project=PROJECT_ID

    Cuando una vista de registro no contiene ninguna vinculación, la respuesta solo contiene un campo etag. A continuación, se ilustra la respuesta cuando una vista de registro contiene una sola vinculación: 

    bindings:
- members:
  - PRINCIPAL
  role: roles/logging.viewAccessor
etag: BwYXfSd9-Gw=
version: 1

Terraform

Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform. Para obtener más información, consulta la documentación de referencia del proveedor de Terraform.

Para aprovisionar asociaciones de IAM para una vista de registro con Terraform, hay varios recursos diferentes disponibles:

  • google_logging_log_view_iam_policy
  • google_logging_log_view_iam_binding
  • google_logging_log_view_iam_member

Para obtener más información, consulta la política de IAM para LogView de Cloud Logging.

Para enumerar las asociaciones de IAM para las vistas de registro con Terraform, usa la fuente de datos google_logging_log_view_iam_policy.

Proyecto de Google Cloud: Agrega vinculaciones de roles

En esta sección, se describe cómo agregar una vinculación de roles a un proyecto de Google Cloud y cómo enumerar las vinculaciones adjuntas a un proyecto. Cuando usas este enfoque, para restringir a un principal para que tenga acceso a las entradas de registro almacenadas en una vista de registro específica, debes agregar una condición de IAM a la concesión.

Console

Para agregar una vinculación de roles al archivo de política de IAM de un proyecto de Google Cloud, en el proyecto en el que creaste el bucket de registros, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página IAM:

    Ir a IAM

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es IAM y administrador.

    En la página IAM, se enumeran todos los principales, sus roles de IAM y las condiciones vinculadas a esos roles que se aplican a nivel del proyecto. Esta página no muestra las vinculaciones de roles que se adjuntan al archivo de políticas de una vista de registro.

  2. Haz clic en Grant access.

  3. En el campo Principales nuevas, agrega la cuenta de correo electrónico del usuario.

  4. En el menú desplegable Seleccionar un rol, selecciona Descriptor de acceso de vistas de registro.

    Esta función les proporciona a los usuarios acceso de lectura a todas las vistas. Para limitar el acceso de los usuarios a un depósito específico, agrega una condición basada en el nombre del recurso.

    1. Haz clic en Agregar condición de IAM.

    2. Ingresa un Título y una Descripción para la condición.

    3. En el menú desplegable Tipo de condición, selecciona Recurso > Nombre.

    4. En el menú desplegable Operador, selecciona es.

    5. En el campo Valor, ingresa el ID de la vista de registros, incluida la ruta de acceso completa a la vista.

      Por ejemplo:

      projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/LOG_VIEW_ID

    6. Haga clic en Guardar para agregar la condición.

  5. Haz clic en Guardar para configurar los permisos.

gcloud

Para agregar una vinculación de roles al archivo de política de IAM de un proyecto de Google Cloud, completa los siguientes pasos:

  1. Crea un archivo JSON o YAML con tu condición.

    Por ejemplo, puedes crear un archivo llamado condition.yaml con el siguiente contenido:

    expression: "resource.name == \"projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/LOG_VIEW_ID\""
title: "My title"
description: "My description"

  2. Opcional: Para verificar que el archivo JSON o YAML tenga el formato correcto, ejecuta el siguiente comando:

    gcloud alpha iam policies lint-condition --condition-from-file=condition.yaml

  3. Llama al método gcloud projects add-iam-policy-binding para actualizar la política de IAM en el proyecto de Google Cloud.

    Antes de usar el siguiente comando, realiza los siguientes reemplazos:

    • PROJECT_ID: Es el identificador del proyecto.
    • PRINCIPAL: Es un identificador para la principal a la que deseas otorgar el rol. Los identificadores principales suelen tener el siguiente formato: PRINCIPAL-TYPE:ID. Por ejemplo, user:my-user@example.com. Para obtener una lista completa de los formatos que puede tener PRINCIPAL, consulta Identificadores de principal.

    Ejecuta el comando gcloud projects add-iam-policy-binding:

    gcloud projects add-iam-policy-binding PROJECT_ID --member=PRINCIPAL --role='roles/logging.viewAccessor' --condition-from-file=condition.yaml

    La respuesta al comando anterior incluye todas las vinculaciones de roles.

    - condition:
    description: My description
    expression: resource.name == "projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/LOG_VIEW_ID"
    title: My title
  members:
  - PRINCIPAL
  role: roles/logging.viewAccessor

  4. Opcional: Para obtener una lista de las vinculaciones de roles en un proyecto de Google Cloud, usa el comando gcloud projects get-iam-policy:

    gcloud projects get-iam-policy PROJECT_ID

    Antes de usar el siguiente comando, realiza los siguientes reemplazos:

    • PROJECT_ID: Es el identificador del proyecto.

    La respuesta al comando anterior incluye todas las vinculaciones de roles.

    - condition:
    description: My description
    expression: resource.name == "projects/PROJECT_ID/locations/LOCATION/buckets/BUCKET_NAME/views/LOG_VIEW_ID"
    title: My title
  members:
  - PRINCIPAL
  role: roles/logging.viewAccessor

Terraform

Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform. Para obtener más información, consulta la documentación de referencia del proveedor de Terraform.

Para aprovisionar asociaciones de IAM para proyectos con Terraform, hay varios recursos diferentes disponibles:

  • google_project_iam_policy
  • google_project_iam_binding
  • google_project_iam_member

Para obtener más información, consulta la política de IAM para proyectos.

Para enumerar las asociaciones de IAM para proyectos con Terraform, usa la fuente de datos google_project_iam_policy.

Genera una lista de todas las vinculaciones de roles para una vista de registro

En la página IAM de la consola de Google Cloud, se enumeran las vinculaciones de roles a nivel del proyecto. En esta página, no se enumeran las vinculaciones de roles que se adjuntan a recursos, como las vistas de registro. En esta sección, se describe cómo puedes ver todas las vinculaciones de roles para una vista de registro específica.

Para enumerar las vinculaciones de IAM que están adjuntas a una vista de registro, completa los siguientes pasos.

  1. En la consola de Google Cloud, ve a la página Explorador de registros:

    Ir al Almacenamiento de registros

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.

  2. Selecciona el proyecto, la carpeta o la organización que almacena el bucket de registros.
  3. En el panel Buckets de registro, selecciona el nombre del bucket de registro que aloja la vista de registro.
  4. En la página de detalles del bucket de registros, ve al panel Vistas de registro.

  5. En la vista de registro cuyas vinculaciones de roles deseas ver, haz clic en Acciones y, luego, selecciona Ajustar permisos.

    En el menú flotante de permisos, se muestran todos los permisos asociados con la visualización de registros:

    • En la sección etiquetada Usuario con acceso a vistas de registros (N), se enumeran las principales con concesiones a nivel del proyecto del rol Usuario con acceso a vistas de registros. Estos principales tienen acceso a todas las vistas de registro del proyecto.

    • En las secciones etiquetadas como Logs View Accessor condition:Condition-specific descriptive text (N), se enumeran las principales que tienen concesiones condicionales a nivel del proyecto del rol Logs View Accessor. Estos principales solo tienen acceso a la vista de registro que especifica la condición.

    • En la sección etiquetada como Logs View Accessor condition:abcde (N), se enumeran las principales que tienen concesiones a nivel de la vista de registros.

    En la siguiente captura de pantalla, se muestra un menú flotante de permisos en el que dos principales tienen concesiones de roles a nivel del proyecto, que se identifican con el ícono del proyecto, , y un principal tiene una concesión a nivel de la vista de registro:

    Ilustración del menú flotante de permisos.

  6. Para cerrar el menú flotante, haz clic en la X.

Cómo enumerar las vistas de registro en un bucket de registros

Console

  1. En la consola de Google Cloud, ve a la página Explorador de registros:

    Ir al Almacenamiento de registros

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.

  2. Selecciona el proyecto, la carpeta o la organización que almacena el bucket de registros.

  3. En el panel Buckets de registro, selecciona el nombre del bucket de registro que aloja la vista de registro.

    Se abrirá la página de detalles del bucket de registros. En el panel Vistas de registro, se enumeran las vistas de registro del bucket de registros.

gcloud

Para enumerar las vistas de registro creadas para un bucket de registro, usa el comando gcloud logging views list.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

  • BUCKET_NAME: Es el nombre del bucket de registros.
  • LOCATION: Es la ubicación del bucket de registros.
  • PROJECT_ID: Es el identificador del proyecto. Cuando sea necesario, reemplaza --project por --folder o --organization.

Ejecuta el comando gcloud logging views list:

Linux, macOS o Cloud Shell

gcloud logging views list \
 --bucket=BUCKET_NAME --location=LOCATION \
 --project=PROJECT_ID

Windows (PowerShell)

gcloud logging views list `
 --bucket=BUCKET_NAME --location=LOCATION `
 --project=PROJECT_ID

Windows (cmd.exe)

gcloud logging views list ^
 --bucket=BUCKET_NAME --location=LOCATION ^
 --project=PROJECT_ID

Los datos de la respuesta son una lista de vistas de registro. Para cada vista de registro, se muestra el filtro junto con las fechas de creación y de la última actualización. Cuando las fechas de creación y actualización están vacías, la vista de registro se creó cuando se creó el proyecto de Google Cloud. En el siguiente resultado de ejemplo, se muestra que hay dos IDs de vista, _AllLogs y compute, en el bucket de registro que se consultó: 

VIEW_ID: _AllLogs
FILTER:
CREATE_TIME:
UPDATE_TIME:

VIEW_ID: compute
FILTER: resource.type="gce_instance"
CREATE_TIME: 2024-02-20T17:41:17.405162921Z
UPDATE_TIME: 2024-02-20T17:41:17.405162921Z

Terraform

Puedes usar Terraform para crear y modificar una vista de registro. Sin embargo, no puedes usar Terraform para enumerar tus vistas de registro.

Actualiza una vista de registro

Console

  1. En la consola de Google Cloud, ve a la página Explorador de registros:

    Ir al Almacenamiento de registros

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.

  2. Selecciona el proyecto, la carpeta o la organización que almacena el bucket de registros.
  3. En el panel Buckets de registro, selecciona el nombre del bucket de registro que aloja la vista de registro.
  4. En la página de detalles del bucket de registros, ve al panel Vistas de registro.

  5. En la vista de registro cuyos detalles deseas actualizar, haz clic en Más y, luego, en Editar vista.

    Puedes editar la descripción y el filtro de la vista de registro.

  6. Cuando hayas terminado de realizar los cambios, haz clic en Guardar vista.

gcloud

Para actualizar o modificar una vista de registro, usa el comando gcloud logging views update. Si no conoces el ID de la vista, consulta Cómo enumerar las vistas de registro.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

  • LOG_VIEW_ID: Es el identificador de la vista de registro, que se limita a 100 caracteres y solo puede incluir letras, dígitos, guiones bajos y guiones.
  • BUCKET_NAME: Es el nombre del bucket de registros.
  • LOCATION: Es la ubicación del bucket de registros.
  • FILTER: Es un filtro que define la vista de registro. Cuando está vacía, la vista de registro incluye todos los registros. Por ejemplo, para filtrar por registros de instancias de VM de Compute Engine, ingresa "resource.type=gce_instance".
  • DESCRIPTION: Es una descripción de la vista de registro. Por ejemplo, puedes ingresar lo siguiente para la descripción "New description for the log view":
  • PROJECT_ID: Es el identificador del proyecto. Cuando sea necesario, reemplaza --project por --folder o --organization.

Ejecuta el comando gcloud logging views update:

Linux, macOS o Cloud Shell

gcloud logging views update LOG_VIEW_ID \
 --bucket=BUCKET_NAME --location=LOCATION \
 --log-filter=FILTER --description=DESCRIPTION \
 --project=PROJECT_ID

Windows (PowerShell)

gcloud logging views update LOG_VIEW_ID `
 --bucket=BUCKET_NAME --location=LOCATION `
 --log-filter=FILTER --description=DESCRIPTION `
 --project=PROJECT_ID

Windows (cmd.exe)

gcloud logging views update LOG_VIEW_ID ^
 --bucket=BUCKET_NAME --location=LOCATION ^
 --log-filter=FILTER --description=DESCRIPTION ^
 --project=PROJECT_ID

Este comando no proporciona una respuesta. Para confirmar los cambios, puedes ejecutar el comando gcloud logging views describe.

Terraform

Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform. Para obtener más información, consulta la documentación de referencia del proveedor de Terraform.

Para modificar una vista de registro en un proyecto, una carpeta o una organización con Terraform, usa el recurso de Terraform google_logging_log_view.

Borra una vista de registro

Cuando ya no necesites una vista de registro que creaste, puedes borrarla. Sin embargo, antes de borrar una vista de registro, te recomendamos que verifiques que otro recurso, como una búsqueda guardada, no haga referencia a ella.

No puedes borrar la vista de registro _Default en el bucket de registros _Default.

Console

  1. En la consola de Google Cloud, ve a la página Explorador de registros:

    Ir al Almacenamiento de registros

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.

  2. Selecciona el proyecto, la carpeta o la organización que almacena el bucket de registros.
  3. En el panel Buckets de registro, selecciona el nombre del bucket de registro que aloja la vista de registro.
  4. En la página de detalles del bucket de registros, ve al panel Vistas de registro y, luego, selecciona la casilla de verificación de la vista de registro que deseas borrar.
  5. En la barra de herramientas del panel Vistas de registro, haz clic en Borrar vista y, luego, completa el diálogo.

gcloud

Para borrar una vista de registro, haz lo siguiente:

  1. Opción recomendada: Revisa tu proyecto de Google Cloud para asegurarte de que no se haga referencia a la vista de registro. Considera examinar lo siguiente:

    • Las consultas se ejecutan desde las páginas del Explorador de registros o Análisis de registros que se guardaron o compartieron.
    • Paneles personalizados

  2. Usa el comando gcloud logging views delete. Si no conoces el ID de la vista, consulta Cómo enumerar las vistas de registro.

    Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

    • LOG_VIEW_ID: Es el identificador de la vista de registro, que se limita a 100 caracteres y solo puede incluir letras, dígitos, guiones bajos y guiones.
    • BUCKET_NAME: Es el nombre del bucket de registros.
    • LOCATION: Es la ubicación del bucket de registros.
    • PROJECT_ID: Es el identificador del proyecto. Cuando sea necesario, reemplaza --project por --folder o --organization.

    Ejecuta el comando gcloud logging views delete:

    Linux, macOS o Cloud Shell

    gcloud logging views delete LOG_VIEW_ID \
 --bucket=BUCKET_NAME --location=LOCATION \
 --project=PROJECT_ID

    Windows (PowerShell)

    gcloud logging views delete LOG_VIEW_ID `
 --bucket=BUCKET_NAME --location=LOCATION `
 --project=PROJECT_ID

    Windows (cmd.exe)

    gcloud logging views delete LOG_VIEW_ID ^
 --bucket=BUCKET_NAME --location=LOCATION ^
 --project=PROJECT_ID

    La respuesta confirma la eliminación. Por ejemplo, lo siguiente muestra la respuesta a la eliminación de una vista de registro llamada tester: 

    Deleted [tester].

Terraform

Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform. Para obtener más información, consulta la documentación de referencia del proveedor de Terraform.

Describe una vista de registro

Console

  1. En la consola de Google Cloud, ve a la página Explorador de registros:

    Ir al Almacenamiento de registros

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.

  2. En el panel Buckets de registro, selecciona el nombre del bucket de registro que aloja la vista de registro.
  3. En la página de detalles del bucket de registros, ve al panel Vistas de registro.
  4. En la vista de registro cuyos detalles deseas ver, haz clic en Más y, luego, en Editar vista.
  5. Para cerrar el diálogo sin guardar ningún cambio, haz clic en Cancelar.

gcloud

Para recuperar información detallada sobre una vista de registro, usa el comando gcloud logging views describe. Si no conoces el ID de la vista, consulta Cómo enumerar las vistas de registro.

Antes de usar cualquiera de los datos de comando a continuación, realiza los siguientes reemplazos:

  • LOG_VIEW_ID: Es el identificador de la vista de registro, que se limita a 100 caracteres y solo puede incluir letras, dígitos, guiones bajos y guiones.
  • BUCKET_NAME: Es el nombre del bucket de registros.
  • LOCATION: Es la ubicación del bucket de registros.
  • PROJECT_ID: Es el identificador del proyecto. Cuando sea necesario, reemplaza --project por --folder o --organization.

Ejecuta el comando gcloud logging views describe:

Linux, macOS o Cloud Shell

gcloud logging views describe LOG_VIEW_ID \
 --bucket=BUCKET_NAME --location=LOCATION\
 --project=PROJECT_ID

Windows (PowerShell)

gcloud logging views describe LOG_VIEW_ID `
 --bucket=BUCKET_NAME --location=LOCATION`
 --project=PROJECT_ID

Windows (cmd.exe)

gcloud logging views describe LOG_VIEW_ID ^
 --bucket=BUCKET_NAME --location=LOCATION^
 --project=PROJECT_ID

La respuesta siempre incluye la descripción y el nombre completamente calificado de la vista de registro. También incluye el filtro, cuando el campo de filtro no está vacío. A continuación, se muestra una respuesta de ejemplo: 

createTime: '2024-02-20T17:41:17.405162921Z'
filter: resource.type="gce_instance"
name: projects/my-project/locations/global/buckets/my-bucket/views/compute
updateTime: '2024-02-20T17:41:17.405162921Z'

Terraform

Puedes usar Terraform para crear y modificar una vista de registro. Sin embargo, no puedes usar Terraform para mostrar los detalles de una vista de registro.

Visualiza los registros asociados con una vista de registros

Puedes mostrar las entradas de registro en una vista de registro con el Explorador de registros o con la página Log Analytics. Cuando usas el Explorador de registros, debes configurar el alcance y seleccionar una vista de registro. Cuando usas la página Análisis de registros, consultas una vista de registro.

Para consultar una vista de registro con el Explorador de registros, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página Explorador de registros.

    Ir al Explorador de registros

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.

  2. Selecciona los recursos en los que se buscan entradas de registro:

    • Cuando la barra de herramientas muestre Registros del proyecto, extiende el menú, selecciona Vista de registro y, luego, selecciona la vista de registro que deseas consultar.

    • Cuando la barra de herramientas muestre algo como 1 vista de registro, extiende el menú, selecciona Vista de registro y, luego, selecciona la vista de registro o las vistas de registro que deseas consultar.

    • De lo contrario, la barra de herramientas muestra un ícono y el nombre de un alcance de registro, como _Default. Expande el menú, selecciona Vista de registro y, luego, selecciona la vista de registro que deseas consultar.

Para obtener más información, consulta la documentación del Explorador de registros.

¿Qué sigue?

Para obtener información sobre cómo controlar el acceso a campos específicos en una entrada de registro, consulta Cómo configurar el acceso a nivel de campo.