Configurar buckets de registros

Neste documento, descrevemos como criar e gerenciar buckets do Cloud Logging usando o console Trusted Cloud , a Google Cloud CLI e a API Logging. Ele também fornece instruções para criar e gerenciar buckets de registros no nível do projetoTrusted Cloud . Não é possível criar buckets de registros no nível da pasta ou da organização. No entanto, o Cloud Logging cria automaticamente buckets de registros _Default e _Required nesses níveis para você.

Para uma visão geral conceitual dos buckets, consulte Visão geral de roteamento e armazenamento: buckets de registros.

Este documento não descreve como criar um bucket de registros que usa uma chave de criptografia gerenciada pelo cliente (CMEK). Se você tiver interesse nesse assunto, consulte Configurar a CMEK para armazenamento de registros.

Antes de começar

Para começar a usar buckets, faça o seguinte:

Criar um bucket

É possível criar no máximo 100 buckets por projeto doTrusted Cloud .

Para criar um bucket de registros definido pelo usuário para seu projeto Trusted Cloud , faça o seguinte:

Trusted Cloud console

Para criar um bucket de registros no seu projeto Trusted Cloud , faça o seguinte:

  1. No console Trusted Cloud , acesse a página Armazenamento de registros:

    Acessar o armazenamento de registros

    Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo Logging.

  2. Clique em Criar bucket de registros.

  3. Insira um Nome e uma Descrição para o bucket.

  4. Opcional: para selecionar a região de armazenamento dos registros, clique no menu Selecionar região do bucket de registros e escolha uma região. Se você não selecionar uma região, a região global será usada, o que significa que os registros poderão estar localizados fisicamente em qualquer região compatível.

  5. Clique em Criar bucket.

    Pode levar um tempo para que essas etapas sejam concluídas.

gcloud

Para criar um bucket de registros, execute o comando gcloud logging buckets create:

gcloud logging buckets create BUCKET_ID --location=LOCATION

Por exemplo, se você quiser criar um bucket com a my-bucket BUCKET_ID na região global, seu comando será semelhante ao seguinte:

gcloud logging buckets create my-bucket --location global --description "My first bucket"

REST

Para criar um bucket, use o método projects.locations.buckets.create. Prepare os argumentos do método da seguinte maneira:

  1. Defina o parâmetro parent como o recurso em que o bucket será criado: projects/PROJECT_ID/locations/LOCATION

    A variável LOCATION refere-se à região em que você quer que seus registros sejam armazenados.

    Por exemplo, se você quiser criar um bucket para o projeto my-project na região global, o parâmetro parent será assim: projects/my-project/locations/global

  2. Defina o parâmetro bucketId. Por exemplo, my-bucket.

  3. Chame o método síncrono projects.locations.buckets.create para criar o bucket.

Depois de criar um bucket, crie um coletor para rotear as entradas de registro para ele e configure as visualizações de registros para controlar quem pode acessar os registros no novo bucket e quais registros podem ser acessados por eles.

Gerenciar buckets

Nesta seção, descrevemos como gerenciar seus buckets de registros usando a Google Cloud CLI ou o console Trusted Cloud .

Atualizar um bucket

Para atualizar as propriedades do bucket, como a descrição, faça o seguinte:

Trusted Cloud console

Para atualizar as propriedades do bucket, faça o seguinte:

  1. No console Trusted Cloud , acesse a página Armazenamento de registros:

    Acessar o armazenamento de registros

    Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo Logging.

  2. No bucket que você quer atualizar, clique em Mais.

  3. Selecione Editar bucket.

  4. Edite o bucket conforme necessário.

  5. Clique em Atualizar bucket.

gcloud

Para atualizar as propriedades do bucket, execute o comando gcloud logging buckets update:

gcloud logging buckets update BUCKET_ID --location=LOCATION UPDATED_ATTRIBUTES

Exemplo:

gcloud logging buckets update my-bucket --location=global --description "Updated description"

REST

Para atualizar as propriedades do bucket, use projects.locations.buckets.patch na API Logging.

Bloquear um bucket

Quando você bloqueia um bucket contra atualizações, também bloqueia a política de retenção dele. Depois que uma política de retenção é bloqueada, não é possível excluir o bucket até que todas as entrada de registro nele tenham cumprido o período de retenção. Se você quiser evitar a exclusão acidental de um projeto que contém um bucket de registros bloqueado, adicione uma garantia ao projeto. Para saber mais, consulte Como proteger projetos com garantias.

Para impedir que alguém atualize ou exclua um bucket de registros, bloqueie-o. Para bloquear o bucket, faça o seguinte:

Trusted Cloud console

O console Trusted Cloud não é compatível com o bloqueio de um bucket de registros.

gcloud

Para bloquear seu bucket, execute o comando gcloud logging buckets update com a flag --locked:

gcloud logging buckets update BUCKET_ID --location=LOCATION --locked

Exemplo:

gcloud logging buckets update my-bucket --location=global --locked

REST

Para bloquear os atributos do bucket, use projects.locations.buckets.patch na API Logging. Defina o parâmetro locked como true.

Listar buckets

Para listar os buckets de registros associados a um Trusted Cloud projeto e ver detalhes, como as configurações de retenção, faça o seguinte:

Trusted Cloud console

No console Trusted Cloud , acesse a página Armazenamento de registros:

Acessar o armazenamento de registros

Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo Logging.

Uma tabela chamada Buckets de registros lista os buckets associados aoTrusted Cloud projeto atual.

A tabela lista os seguintes atributos para cada bucket de registro:

  • Nome: o nome do bucket de registros.
  • Descrição: a descrição do bucket.
  • Período de armazenamento: o número de dias em que os dados do bucket são armazenados pelo Cloud Logging.
  • Região: a localização geográfica em que os dados do bucket são armazenados.
  • Status: indica se o bucket está bloqueado ou desbloqueado.

Se um bucket estiver pendente de exclusão pelo Cloud Logging, a entrada da tabela será anotada com um símbolo de aviso.

gcloud

Execute o comando gcloud logging buckets list:

gcloud logging buckets list

Você verá os seguintes atributos dos buckets de registro:

  • LOCATION: a região em que os dados do bucket são armazenados.
  • BUCKET_ID: o nome do bucket de registros.
  • RETENTION_DAYS: o número de dias em que os dados do bucket serão armazenados pelo Cloud Logging.
  • LIFECYCLE_STATE: indica se o bucket está exclusão pendente pelo Cloud Logging.
  • LOCKED: se o bucket está bloqueado ou desbloqueado.
  • CREATE_TIME: um carimbo de data/hora que indica quando o bucket foi criado.
  • UPDATE_TIME: um carimbo de data/hora que indica quando o bucket foi modificado pela última vez.

Também é possível visualizar os atributos de apenas um bucket. Por exemplo, para ver os detalhes do bucket de registros _Default na região global, execute o comando gcloud logging buckets describe:

gcloud logging buckets describe _Default --location=global

REST

Para listar os buckets de registros associados a um projeto Trusted Cloud , use projects.locations.buckets.list na API Logging.

Ver os detalhes de um intervalo

Para ver os detalhes de um único bucket de registro, faça o seguinte:

Trusted Cloud console

No console Trusted Cloud , acesse a página Armazenamento de registros:

Acessar o armazenamento de registros

Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo Logging.

No bucket de registros, clique em Mais e selecione Ver detalhes do bucket.

A caixa de diálogo lista os seguintes atributos para o bucket de registros:

  • Nome: o nome do bucket de registros.
  • Descrição: a descrição do bucket de registros.
  • Período de armazenamento: o número de dias em que os dados do bucket são armazenados pelo Cloud Logging.
  • Região: a localização geográfica em que os dados do bucket são armazenados.

gcloud

Execute o comando gcloud logging buckets describe.

Por exemplo, o comando a seguir informa os detalhes do bucket _Default:

gcloud logging buckets describe _Default --location=global

Você vai encontrar os seguintes atributos do bucket de registros:

  • createTime: um carimbo de data/hora que indica quando o bucket foi criado.
  • description: a descrição do bucket de registros.
  • lifecycleState: indica se o bucket está exclusão pendente pelo Cloud Logging.
  • name: o nome do bucket de registros.
  • retentionDays: o número de dias em que os dados do bucket serão armazenados pelo Cloud Logging.
  • updateTime: um carimbo de data/hora que indica quando o bucket foi modificado pela última vez.

REST

Para conferir os detalhes de um único bucket de registros, use projects.locations.buckets.get na API Logging.

Excluir um bucket

É possível excluir buckets de registros que atendam a uma das seguintes condições:

  • O bucket de registros está desbloqueado.
  • O bucket de registros está bloqueado e todas as entradas de registro nele atendem ao período de armazenamento.

Não é possível excluir um bucket de registros bloqueado contra atualizações quando ele armazena entradas de registro que não cumpriram o período de armazenamento.

Depois de emitir o comando de exclusão, o bucket de registros passa para o estado DELETE_REQUESTED e permanece assim por sete dias. Durante esse período, o Logging continua a direcionar registros para o bucket de registros. Para interromper o roteamento de registros para o bucket de registros, exclua ou modifique os coletores de registros que encaminham entradas para o bucket.

Não é possível criar um bucket de registros com o mesmo nome de um bucket no estado DELETE_REQUESTED.

Para excluir um bucket de registro, faça o seguinte:

Trusted Cloud console

Para excluir um bucket de registro, faça o seguinte:

  1. No console Trusted Cloud , acesse a página Armazenamento de registros:

    Acessar o armazenamento de registros

    Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo Logging.

  2. Localize o bucket que você quer excluir e clique em Mais.

  3. Selecione Excluir bucket.

  4. No painel de confirmação, clique em Excluir.

  5. Na página Armazenamento de registros, o bucket tem um indicador mostrando que a exclusão está pendente. O bucket e todos os registros contidos nele são excluídos após sete dias.

gcloud

Para excluir um bucket de registros, execute o comando gcloud logging buckets delete:

gcloud logging buckets delete BUCKET_ID --location=LOCATION

Não é possível excluir um bucket de registros quando ele tem um conjunto de dados vinculado do BigQuery:

REST

Para excluir um bucket, use projects.locations.buckets.delete na API Logging.

Restaurar um bucket excluído

É possível restaurar ou cancelar a exclusão de um bucket que esteja no estado de exclusão pendente. Para restaurar um bucket de registro, faça o seguinte:

Trusted Cloud console

Para restaurar um bucket de registros com exclusão pendente, faça o seguinte:

  1. No console Trusted Cloud , acesse a página Armazenamento de registros:

    Acessar o armazenamento de registros

    Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo Logging.

  2. No bucket que você quer restaurar, clique em Mais e selecione Restaurar bucket excluído.

  3. No painel de confirmação, clique em Restaurar.

  4. Na página Armazenamento de registros, o indicador de exclusão pendente é removido do bucket de registros.

gcloud

Para restaurar um bucket de registros com exclusão pendente, execute o comando gcloud logging buckets undelete:

gcloud logging buckets undelete BUCKET_ID --location=LOCATION

REST

Para restaurar um bucket com exclusão pendente, use projects.locations.buckets.undelete na API Logging.

Gravar em um bucket

Os registros não são gravados diretamente em um bucket de registros. Em vez disso, grave registros no Trusted Cloud recurso: um projeto, uma pasta ou uma organização do Trusted Cloud . Os coletores no recurso pai então roteiam os registros para destinos, incluindo buckets de registro. Um coletor encaminha registros para um destino de bucket de registro quando os registros correspondem ao filtro do coletor e o coletor tem permissão para rotear os registros para o bucket de registros.

Ler em um bucket

Cada bucket de registros tem um conjunto de visualizações. Para ler registros de um bucket de registro, é preciso ter acesso a uma visualização no bucket. Com as visualizações de registros, é possível conceder a um usuário acesso apenas a um subconjunto dos registros armazenados em um bucket de registros. Para informações sobre como configurar visualizações de registros e conceder acesso a visualizações específicas, consulte Configurar visualizações de registros em um bucket de registros.

Para ler registros de um bucket de registro, faça o seguinte:

Trusted Cloud console

  1. No console Trusted Cloud , acesse a página Análise de registros.

    Acessar a Análise de registros

    Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo Logging.

  2. Para personalizar quais registros são mostrados no Explorador de registros, clique em Refinar escopo e selecione uma opção. Por exemplo, é possível ver os registros armazenados em um projeto ou por visualização de registro.

  3. Clique em Aplicar. O painel Resultados da consulta é recarregado com os registros que correspondem à opção selecionada.

Para mais informações, consulte Visão geral do Explorador de registros: refinar o escopo.

gcloud

Para ler registros de um bucket de registros, use o comando gcloud logging read e adicione um LOG_FILTER para selecionar dados:

gcloud logging read LOG_FILTER --bucket=BUCKET_ID --location=LOCATION --view=LOG_VIEW_ID

REST

Para ler registros de um bucket de registros, use o método entries.list. Defina resourceNames para especificar o bucket e a visualização de registros adequados e filter para selecionar dados.

Para informações detalhadas sobre a sintaxe de filtragem, consulte Linguagem de consulta do Logging.

Resolver problemas comuns

Se você tiver problemas ao usar buckets de registros, consulte as etapas de solução de problemas e respostas a perguntas comuns a seguir.

Por que não consigo excluir esse bucket?

Se você estiver tentando excluir um bucket, faça o seguinte:

  • Verifique se você tem as permissões corretas para excluir o bucket. Para ver a lista de permissões necessárias, consulte Controle de acesso com o IAM.

  • Determine se o bucket está bloqueado listando os atributos do bucket. Se o bucket estiver bloqueado, verifique o período de armazenamento do bucket. Não é possível excluir um bucket bloqueado até que todos os registros nele tenham cumprido o período de armazenamento.

Quais contas de serviço estão roteando registros para meu bucket?

Para determinar se alguma conta de serviço tem permissões de IAM para rotear registros para o bucket, faça o seguinte:

  1. No console Trusted Cloud , acesse a página IAM:

    Acesse o IAM

    Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo IAM e administrador.

  2. Na guia Permissões, visualize por Papéis. Você vai ver uma tabela com todos os papéis e principais do IAM associados ao seu projetoTrusted Cloud .

  3. No campoFiltro caixa de texto, digiteGravador de bucket de registros.

    Você verá todos os principais com o papel de Gravador de bucket de registros. Se um principal for uma conta de serviço, o ID conterá a string s3ns-system.iam.gserviceaccount.com.

  4. Opcional: se quiser remover uma conta de serviço para poder rotear registros para o projeto do Trusted Cloud , marque a caixa de seleção da conta de serviço e clique em Remover.

Por que vejo registros de um projeto do Trusted Cloud mesmo após excluí-los do meu coletor _Default?

É possível visualizar registros em um bucket de registros em um projeto Trusted Cloud centralizado, que agrega registros de toda a organização.

Se você estiver usando a Análise de registros para acessar esses registros e encontrar registros excluídos do coletor _Default, talvez sua visualização esteja definida como o nível do projetoTrusted Cloud .

Para corrigir esse problema, selecione Visualização de registros no menu Refinar escopo e escolha a visualização de registros associada ao bucket _Default no projetoTrusted Cloud . Você não verá mais os registros excluídos.

A seguir

Para mais informações sobre os métodos da API Logs Bucket, consulte a documentação de referência de LogBucket.

Se você gerencia uma organização ou pasta, pode especificar a localização dos buckets de registros _Default e _Required dos recursos filhos. Também é possível configurar se os buckets de registros usam a CMEK e o comportamento do coletor de registros _Default. Para mais informações, consulte Definir configurações padrão para organizações e pastas.

Para informações sobre como lidar com casos de uso comuns com buckets de registro, consulte os tópicos a seguir: