En este documento se describe cómo crear y gestionar segmentos de Cloud Logging con la Cloud de Confiance consola, la CLI de Google Cloud y la API de Logging.
También se proporcionan instrucciones para crear y gestionar segmentos de registro a nivel deCloud de Confiance proyecto. No puedes crear contenedores de registro a nivel de carpeta ni de organización. Sin embargo, Cloud Logging crea automáticamente contenedores de registro _Default y _Required a nivel de carpeta y de organización.
Para obtener una descripción general conceptual de los segmentos, consulta Descripción general del enrutamiento y el almacenamiento: segmentos de registro.
En este documento no se describe cómo crear un segmento de registro que use una clave de cifrado gestionada por el cliente (CMEK). Si te interesa este tema, consulta el artículo sobre cómo configurar CMEK para el almacenamiento de registros.
Antes de empezar
Para empezar a usar los contenedores, haz lo siguiente:
- Configura tu proyecto de Cloud de Confiance :
-
Verify that billing is enabled for your Cloud de Confiance project.
-
Para obtener los permisos que necesitas para crear, actualizar y vincular un segmento de registro, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Escritor de configuración de registros (
roles/logging.configWriter) en tu proyecto. Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar acceso a proyectos, carpetas y organizaciones.También puedes conseguir los permisos necesarios a través de roles personalizados u otros roles predefinidos.
Para ver la lista completa de permisos y roles, consulta Control de acceso con gestión de identidades y accesos.
-
- Consulta las regiones admitidas en las que puedes almacenar tus registros.
-
Select the tab for how you plan to use the samples on this page:
Console
When you use the Cloud de Confiance console to access Cloud de Confiance by S3NS services and APIs, you don't need to set up authentication.
gcloud
Instala Google Cloud CLI y, a continuación, inicia sesión en gcloud CLI con tu identidad federada. Después de iniciar sesión, inicializa la CLI de Google Cloud ejecutando el siguiente comando:
gcloud initREST
Para usar las muestras de la API REST de esta página en un entorno de desarrollo local, debes usar las credenciales que proporciones a la CLI de gcloud.
Instala Google Cloud CLI y, a continuación, inicia sesión en gcloud CLI con tu identidad federada. Después de iniciar sesión, inicializa la CLI de Google Cloud ejecutando el siguiente comando:
gcloud initPara obtener más información, consulta el artículo Autenticarse para usar REST de la documentación sobre autenticación de Cloud de Confiance .
- Si tienes previsto usar Google Cloud CLI o la API Cloud Logging para crear o gestionar tus cubos de registro, consulta los requisitos de formato de
LogBucket.Crear un segmento
Puedes crear un máximo de 100 contenedores porCloud de Confiance proyecto.
Para crear un bucket de registro definido por el usuario para tu Cloud de Confiance proyecto, haz lo siguiente:
Cloud de Confiance consola
Para crear un contenedor de registro en tu proyecto de Cloud de Confiance , sigue estos pasos:
-
En la Cloud de Confiance consola, ve a la página Almacenamiento de registros:
Ve a Almacenamiento de registros.
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuya sección sea Registro.
Haz clic en Crear segmento de registro.
Escriba un nombre y una descripción para el segmento.
Opcional: Para seleccionar la región de almacenamiento de los registros, haz clic en el menú Seleccionar región del segmento de registro y elige una región. Si no selecciona ninguna región, se usará la región
global, lo que significa que los registros podrían estar ubicados físicamente en cualquier región admitida.Haz clic en Crear segmento.
Estos pasos pueden tardar un poco en completarse.
gcloud
Para crear un bucket de registro, ejecuta el comando
gcloud logging buckets create:gcloud logging buckets create BUCKET_ID --location=LOCATION
Por ejemplo, si quiere crear un segmento con el nombre BUCKET_ID
my-bucketen la regiónglobal, el comando sería el siguiente:gcloud logging buckets create my-bucket --location global --description "My first bucket"
REST
Para crear un segmento, usa el método
projects.locations.buckets.create. Prepara los argumentos del método de la siguiente manera:En el parámetro
parent, defina el recurso en el que se va a crear el segmento:projects/PROJECT_ID/locations/LOCATIONLa variable LOCATION hace referencia a la región en la que quieres que se almacenen tus registros.
Por ejemplo, si quieres crear un segmento para el proyecto
my-projecten la regiónglobal, el parámetroparentsería el siguiente:projects/my-project/locations/globalDefine el parámetro
bucketId. Por ejemplo,my-bucket.Llama al método síncrono
projects.locations.buckets.createpara crear el segmento.
Después de crear un segmento, crea un receptor para dirigir las entradas de registro a tu segmento y configura vistas de registro para controlar quién puede acceder a los registros de tu nuevo segmento y a qué registros puede acceder.
Gestionar segmentos
En esta sección se describe cómo gestionar los segmentos de registro con la CLI de Google Cloud o la Cloud de Confiance consola.
Actualizar un contenedor
Para actualizar las propiedades de tu contenedor, como la descripción, sigue estos pasos:Cloud de Confiance consola
Para actualizar las propiedades de un contenedor, sigue estos pasos:
-
En la Cloud de Confiance consola, ve a la página Almacenamiento de registros:
Ve a Almacenamiento de registros.
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuya sección sea Registro.
En el contenedor que quieras actualizar, haz clic en more_vert Más.
Selecciona Editar segmento.
Edita el contenedor según sea necesario.
Haz clic en Actualizar segmento.
gcloud
Para actualizar las propiedades de tu contenedor, ejecuta el comando
gcloud logging buckets update:gcloud logging buckets update BUCKET_ID --location=LOCATION UPDATED_ATTRIBUTES
Por ejemplo:
gcloud logging buckets update my-bucket --location=global --description "Updated description"
REST
Para actualizar las propiedades de tu cubo, usa
projects.locations.buckets.patchen la API Logging.Bloquear un segmento
Cuando bloqueas un segmento para que no se actualice, también bloqueas su política de retención. Una vez que se bloquea una política de retención, no puedes eliminar el segmento hasta que todas las entradas de registro del segmento hayan cumplido el periodo de retención del segmento. Si quieres evitar que se elimine accidentalmente un proyecto que contenga un bucket de registro bloqueado, añade una retención al proyecto. Para obtener más información, consulte Proteger proyectos mediante retenciones.
Para evitar que nadie actualice o elimine un segmento de registro, bloquéalo. Para bloquear el segmento, haz lo siguiente:
Cloud de Confiance consola
La Cloud de Confiance consola no admite el bloqueo de un contenedor de registro.
gcloud
Para bloquear el segmento, ejecuta el comando
gcloud logging buckets updatecon la marca--locked:gcloud logging buckets update BUCKET_ID --location=LOCATION --locked
Por ejemplo:
gcloud logging buckets update my-bucket --location=global --locked
REST
Para bloquear los atributos de tu bucket, usa
projects.locations.buckets.patchen la API Logging. Asigna el valortrueal parámetrolocked.Mostrar segmentos
Para enumerar los contenedores de registro asociados a un proyecto Cloud de Confiance y ver detalles como la configuración de retención, haz lo siguiente:
Cloud de Confiance consola
En la Cloud de Confiance consola, ve a la página Almacenamiento de registros:
Ve a Almacenamiento de registros.
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuya sección sea Registro.
En la tabla Segmentos de registro se muestran los segmentos asociados al proyecto deCloud de Confiance actual.
En la tabla se muestran los siguientes atributos de cada contenedor de registro:
- Nombre: el nombre del contenedor de registro.
- Descripción: descripción del segmento.
- Periodo de conservación: el número de días que Cloud Logging almacenará los datos del segmento.
- Región: la ubicación geográfica en la que se almacenan los datos del segmento.
- Estado: indica si el contenedor está bloqueado o desbloqueado.
Si Cloud Logging está pendiente de eliminar un bucket, su entrada de tabla se anota con el símbolo de warning advertencia.
gcloud
Ejecuta el comando
gcloud logging buckets list:gcloud logging buckets list
Verá los siguientes atributos de los contenedores de registro:
LOCATION: la región en la que se almacenan los datos del segmento.BUCKET_ID: el nombre del segmento de registro.RETENTION_DAYS: El número de días que Cloud Logging almacenará los datos del bucket.LIFECYCLE_STATE: indica si Cloud Logging ha programado la eliminación del segmento.LOCKED: indica si el contenedor está bloqueado o desbloqueado.CREATE_TIME: marca de tiempo que indica cuándo se creó el contenedor.UPDATE_TIME: marca de tiempo que indica cuándo se modificó por última vez el contenedor.
También puede ver los atributos de un solo segmento. Por ejemplo, para ver los detalles del segmento de registro
_Defaultde la regiónglobal, ejecuta el comandogcloud logging buckets describe:gcloud logging buckets describe _Default --location=global
REST
Para enumerar los segmentos de registro asociados a un Cloud de Confiance proyecto, utiliza
projects.locations.buckets.listen la API Logging.Ver los detalles de un segmento
Para ver los detalles de un solo contenedor de registro, sigue estos pasos:
Cloud de Confiance consola
En la Cloud de Confiance consola, ve a la página Almacenamiento de registros:
Ve a Almacenamiento de registros.
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuya sección sea Registro.
En el contenedor de registro, haga clic en more_vert Más y, a continuación, seleccione Ver detalles del contenedor.
En el cuadro de diálogo se muestran los siguientes atributos del contenedor de registro:
- Nombre: el nombre del contenedor de registro.
- Descripción: la descripción del segmento de registro.
- Periodo de conservación: el número de días que Cloud Logging almacenará los datos del segmento.
- Región: la ubicación geográfica en la que se almacenan los datos del segmento.
gcloud
Ejecuta el comando
gcloud logging buckets describe.Por ejemplo, el siguiente comando muestra los detalles del contenedor
_Default:gcloud logging buckets describe _Default --location=global
Verá los siguientes atributos del contenedor de registro:
createTime: marca de tiempo que indica cuándo se creó el segmento.description: la descripción del segmento de registro.lifecycleState: indica si Cloud Logging ha programado la eliminación del segmento.name: el nombre del segmento de registro.retentionDays: El número de días que Cloud Logging almacenará los datos del bucket.updateTime: marca de tiempo que indica cuándo se modificó por última vez el contenedor.
REST
Para ver los detalles de un solo contenedor de registro, usa
projects.locations.buckets.geten la API Logging.Eliminar un segmento
Puede eliminar los contenedores de registro que cumplan una de las siguientes condiciones:
- El log bucket está desbloqueado.
- El segmento de registro está bloqueado y todas las entradas de registro del segmento han cumplido el periodo de conservación del segmento.
No puedes eliminar un segmento de registro que esté bloqueado contra actualizaciones cuando almacene entradas de registro que no hayan cumplido el periodo de conservación del segmento.
Después de ejecutar el comando de eliminación, el contenedor de registro pasa al estado
DELETE_REQUESTEDy permanece en ese estado durante 7 días. Durante este periodo, Logging sigue enviando registros al contenedor de registros. Para dejar de enrutar registros al segmento de registro, puedes eliminar o modificar los sumideros de registro que enrutan las entradas de registro al segmento.No puedes crear un nuevo contenedor de registro que tenga el mismo nombre que un contenedor de registro que esté en el estado
DELETE_REQUESTED.Para eliminar un segmento de registro, siga estos pasos:
Cloud de Confiance consola
Para eliminar un segmento de registro, siga estos pasos:
-
En la Cloud de Confiance consola, ve a la página Almacenamiento de registros:
Ve a Almacenamiento de registros.
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuya sección sea Registro.
Busca el contenedor que quieras eliminar y haz clic en more_vertMás
Selecciona Eliminar el contenedor.
En el panel de confirmación, haz clic en Eliminar.
En la página Almacenamiento de registros, tu contenedor tiene un indicador que muestra que la eliminación está pendiente. El segmento, incluidos todos los registros que contiene, se elimina al cabo de 7 días.
gcloud
Para eliminar un segmento de registro, ejecuta el comando
gcloud logging buckets delete:gcloud logging buckets delete BUCKET_ID --location=LOCATION
No puedes eliminar un contenedor de registro si tiene un conjunto de datos de BigQuery vinculado:
- Para enumerar los enlaces asociados a un contenedor de registro, ejecuta el comando
gcloud logging links list. - Para eliminar un conjunto de datos vinculado, ejecuta el comando
gcloud logging links delete.
REST
Para eliminar un bucket, usa
projects.locations.buckets.deleteen la API Logging.Restaurar un segmento eliminado
Puedes restaurar o recuperar un segmento de registro que esté en estado de eliminación pendiente. Para restaurar un contenedor de registro, siga estos pasos:
Cloud de Confiance consola
Para restaurar un contenedor de registro que esté pendiente de eliminación, siga estos pasos:
-
En la Cloud de Confiance consola, ve a la página Almacenamiento de registros:
Ve a Almacenamiento de registros.
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuya sección sea Registro.
En el caso del contenedor que quieras restaurar, haz clic en more_vert Más y, a continuación, selecciona Restaurar contenedor eliminado.
En el panel de confirmación, haz clic en Restaurar.
En la página Almacenamiento de registros, se quita el indicador de eliminación pendiente de tu segmento de registro.
gcloud
Para restaurar un segmento de registro que esté pendiente de eliminación, ejecuta el comando
gcloud logging buckets undelete:gcloud logging buckets undelete BUCKET_ID --location=LOCATION
REST
Para restaurar un segmento que está pendiente de eliminación, usa
projects.locations.buckets.undeleteen la API Logging.Escribir en un segmento
No escribes registros directamente en un segmento de registro. En su lugar, escribe los registros en unCloud de Confiance recurso: Cloud de Confiance un proyecto, una carpeta o una organización. Los receptores del recurso principal dirigen los registros a destinos, incluidos los contenedores de registros. Un sumidero enruta los registros a un segmento de registro de destino cuando los registros coinciden con el filtro del sumidero y el sumidero tiene permiso para enrutar los registros al segmento de registro.
Leer de un segmento
Cada contenedor de registro tiene un conjunto de vistas de registro. Para leer los registros de un segmento de registro, debes tener acceso a una vista de registro del segmento. Las vistas de registro te permiten conceder a un usuario acceso solo a un subconjunto de los registros almacenados en un segmento de registro. Para obtener información sobre cómo configurar vistas de registro y cómo conceder acceso a vistas de registro específicas, consulta el artículo Configurar vistas de registro en un contenedor de registro.
Para leer los registros de un contenedor de registro, haz lo siguiente:
Cloud de Confiance consola
-
En la Cloud de Confiance consola, ve a la página Explorador de registros:
Ve al Explorador de registros.
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuya sección sea Registro.
Para personalizar los registros que se muestran en el Explorador de registros, haga clic en Refinar ámbito y, a continuación, seleccione una opción. Por ejemplo, puedes ver los registros almacenados en un proyecto o por vista de registro.
Haz clic en Aplicar. El panel Resultados de la consulta se vuelve a cargar con los registros que coinciden con la opción que has seleccionado.
Para obtener más información, consulta el artículo Descripción general de Explorador de registros: acotar el ámbito.
gcloud
Para leer los registros de un segmento de registro, usa el comando
gcloud logging ready añadeLOG_FILTERpara seleccionar los datos:gcloud logging read LOG_FILTER --bucket=BUCKET_ID --location=LOCATION --view=LOG_VIEW_ID
REST
Para leer los registros de un segmento de registro, usa el método entries.list. Define
resourceNamespara especificar el segmento y la vista de registro adecuados, y definefilterpara seleccionar los datos.Para obtener información detallada sobre la sintaxis de filtrado, consulta el artículo Lenguaje de consultas de registro.
Solucionar problemas frecuentes
Si tienes problemas al usar los contenedores de registro, consulta los siguientes pasos para solucionar problemas y las respuestas a las preguntas frecuentes.
¿Por qué no puedo eliminar este contenedor?
Si intentas eliminar un contenedor, haz lo siguiente:
Verifica que tienes los permisos correctos para eliminar el segmento. Para ver la lista de permisos que necesitas, consulta el artículo sobre el control de acceso con gestión de identidades y accesos.
Determina si el contenedor está bloqueado consultando sus atributos. Si el segmento está bloqueado, comprueba su periodo de conservación. No puedes eliminar un segmento bloqueado hasta que todos los registros del segmento hayan cumplido el periodo de conservación del segmento.
¿Qué cuentas de servicio están enviando registros a mi segmento?
Para determinar si alguna cuenta de servicio tiene permisos de gestión de identidades y accesos para enrutar registros a tu bucket, haz lo siguiente:
-
En la Cloud de Confiance consola, ve a la página Gestión de identidades y accesos:
Ve a Gestión de identidades y accesos.
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuya sección sea IAM y administrador.
En la pestaña Permisos, selecciona Roles. Verás una tabla con todos los roles de gestión de identidades y accesos y los principales asociados a tuCloud de Confiance proyecto.
En el cuadro de texto filter_list Filtro de la tabla, introduce Escritor de cubos de registro.
Verá las entidades de seguridad que tengan el rol Escritor de cubos de registro. Si un principal es una cuenta de servicio, su ID contiene la cadena
s3ns-system.iam.gserviceaccount.com.Opcional: Si quieres impedir que una cuenta de servicio pueda enrutar registros a tu proyecto Cloud de Confiance , selecciona la casilla check_box_outline_blank de la cuenta de servicio y haz clic en Quitar.
¿Por qué veo registros de un proyecto Cloud de Confiance aunque los haya excluido de mi receptor
_Default?Es posible que estés viendo registros de un contenedor de registros de un proyecto centralizado Cloud de Confiance , que agrega registros de toda tu organización.
Si usas el Explorador de registros para acceder a estos registros y ver los que has excluido del receptor
_Default, es posible que la vista esté configurada en el nivel de proyectoCloud de Confiance .Para solucionar este problema, selecciona Vista de registro en el menú Refinar ámbito y, a continuación, selecciona la vista de registro asociada al
_Defaultcontenedor de tuCloud de Confiance proyecto. Ya no deberías ver los registros excluidos.Siguientes pasos
Para obtener información sobre los métodos de la API de contenedor de registro, consulta la documentación de referencia de
LogBucket.Si gestionas una organización o una carpeta, puedes especificar la ubicación de los contenedores de registro
_Defaulty_Requiredde los recursos secundarios. También puedes configurar si los contenedores de registro usan CMEK y el comportamiento del_Defaultreceptor de registro. Para obtener más información, consulta Configurar ajustes predeterminados para organizaciones y carpetas.Para obtener información sobre cómo abordar casos prácticos habituales con los contenedores de registro, consulta los siguientes temas:
A menos que se indique lo contrario, el contenido de esta página está sujeto a la licencia Reconocimiento 4.0 de Creative Commons y las muestras de código están sujetas a la licencia Apache 2.0. Para obtener más información, consulta las políticas del sitio web de Google Developers. Java es una marca registrada de Oracle o sus afiliados.
Última actualización: 2025-10-22 (UTC).
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Me falta la información que necesito","missingTheInformationINeed","thumb-down"],["Es demasiado complicado o hay demasiados pasos","tooComplicatedTooManySteps","thumb-down"],["Está obsoleto","outOfDate","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Problema de muestras o código","samplesCodeIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-10-22 (UTC)."],[],[]] - Si tienes previsto usar Google Cloud CLI o la API Cloud Logging para crear o gestionar tus cubos de registro, consulta los requisitos de formato de