En este documento, se explican los problemas comunes de enrutamiento y almacenamiento, y cómo usar la consola deTrusted Cloud para ver y solucionar errores de configuración o resultados inesperados.
Para obtener información general sobre cómo ver los datos de registro, consulta Visualiza registros en destinos de receptores.
Soluciona problemas de enrutamiento de registros
En esta sección, se describe cómo solucionar problemas comunes cuando enrutas tus entradas de registro.
El destino contiene entradas de registro no deseadas
Estás viendo las entradas de registro que se enrutaron a un destino y determinas que este contiene entradas de registro no deseadas.
Para resolver esta condición, actualiza los filtros de exclusión de los receptores que enrutan las entradas de registro al destino. Los filtros de exclusión te permiten evitar que las entradas de registro seleccionadas se enruten a un destino.
Por ejemplo, supongamos que creas un receptor agregado para enrutar las entradas de registro de una organización a un destino. Para evitar que las entradas de registro de un proyecto específico se enruten al destino, agrega el siguiente filtro de exclusión al receptor:
logName:projects/PROJECT_ID
También puedes excluir entradas de registro de varios proyectos con el operador lógico OR para unir cláusulas logName.
Faltan entradas de registro en el destino
Quizás el problema más común relacionado con los receptores es que parece que faltan entradas de registro en el destino de un receptor.
En algunos casos, no se genera un error, pero es posible que notes que las entradas de registro no están disponibles cuando intentas acceder a ellas en tu destino. Si sospechas que tu receptor no enruta correctamente las entradas de registro, consulta las métricas basadas en registros del sistema del receptor:
exports/byte_count: Cantidad de bytes en las entradas de registro que se redireccionaron.exports/log_entry_count: Es la cantidad de entradas de registro que se redireccionaron.exports/error_count: Es la cantidad de entradas de registro que no se pudieron enrutar.
Las métricas tienen etiquetas que registran los recuentos según el nombre del receptor y el nombre del destino, y te permiten saber si el receptor enruta las entradas de registro correctamente o si falla.
Si las métricas de tu receptor indican que este no tiene el rendimiento esperado, estos son algunos motivos posibles y qué puedes hacer al respecto:
Latencia
No se recibieron entradas de registro coincidentes desde que creaste o actualizaste tu receptor; solo se enrutan entradas de registro nuevas.
Espera una hora y vuelve a verificar tu destino.
Las entradas de registro coincidentes llegan tarde.
Puede haber una demora antes de que puedas ver las entradas de registro en el destino. Espera unas horas y vuelve a consultar tu destino.
El filtro o el alcance de visualización son incorrectos
El alcance que usas para ver las entradas de registro almacenadas en un bucket de registros es incorrecto.
Define el alcance de tu búsqueda en una o más vistas de registro de la siguiente manera:
Si usas el Explorador de registros, usa el botón Refine scope.
Si usas gcloud CLI, usa el comando
gcloud logging ready agrega una marca--view=AllLogs.
El período que usas para seleccionar y ver datos en el destino del receptor es demasiado corto.
Intenta ampliar el período que utilizas cuando seleccionas datos en el destino del receptor.
Error en el filtro de receptor
El filtro del receptor es incorrecto y no captura las entradas de registro que esperabas ver en tu destino.
Edita el filtro de tu receptor con el enrutador de registros en la consola de Trusted Cloud . Para verificar que ingresaste el filtro correcto, selecciona Obtener vista previa de los registros en el panel Editar receptor. Se abrirá el Explorador de registros en una pestaña nueva con el filtro prepropagado. Si deseas obtener instrucciones para ver y administrar tus receptores, consulta Administra receptores.
Ver errores
Para cada uno de los destinos de receptores admitidos, Logging proporciona mensajes de error para los receptores configurados de forma incorrecta.
Existen varias formas de ver estos errores relacionados con el receptor, que se describen en las siguientes secciones:
- Consulta los registros de errores generados para el receptor.
- Recibir notificaciones de errores de receptor por correo electrónico El remitente de este correo electrónico es
logging-noreply@google.com.
Registros de errores
El método recomendado para inspeccionar en detalle los errores relacionados con el receptor es ver las entradas de registro de errores que genera el receptor. Para obtener detalles sobre cómo ver las entradas de registro, consulta Visualiza registros con el Explorador de registros.
Puedes usar la siguiente consulta en el panel del editor de consultas del Explorador de registros para revisar los registros de errores de tu receptor. La misma consulta funciona en la API de Logging y en gcloud CLI.
Antes de copiar la consulta, reemplaza la variable SINK_NAME por el nombre del receptor de datos para el que intentas solucionar problemas. Puedes encontrar el nombre de tu receptor en la página Enrutador de registros de la consola de Trusted Cloud .
logName:"logging.googleapis.com%2Fsink_error"
resource.type="logging_sink"
resource.labels.name="SINK_NAME"
Por ejemplo, si el nombre de tu receptor es my-sink-123, la entrada de registro podría verse de la siguiente manera:
{
errorGroups: [
0: {
id: "COXu96aNws6BiQE"
}]
insertId: "170up6jan"
labels: {
activity_type_name: "LoggingSinkConfigErrorV2"
destination: "pubsub.googleapis.com/projects/my-project/topics/my-topic"
error_code: "topic_not_found"
error_detail: ""
sink_id: "my-sink-123"
}
logName: "projects/my-project/logs/logging.googleapis.com%2Fsink_error"
receiveTimestamp: "2024-07-11T14:41:42.578823830Z"
resource: {
labels: {
destination: "pubsub.googleapis.com/projects/my-project/topics/my-topic"
name: "my-sink-123"
project_id: "my-project"
}
type: "logging_sink"
}
severity: "ERROR"
textPayload: "Cloud Logging sink configuration error in my-project, sink my-sink-123: topic_not_found ()"
timestamp: "2024-07-11T14:41:41.296157014Z"
}
El campo LogEntry labels y su información anidada de clave-valor te ayudan a orientar el origen del error de tu receptor, ya que contiene el recurso afectado, el receptor afectado y el código de error. El campo labels.error_code contiene una descripción abreviada del error, que te indica qué componente de tu receptor necesita una reconfiguración.
Para resolver este error, edita tu receptor. Por ejemplo, puedes editar tu receptor con la página Enrutador de registros:
Notificaciones por correo electrónico
Contactos esenciales envía notificaciones por correo electrónico sobre errores de configuración del receptor a los contactos asignados a la categoría de notificación Técnica de un proyecto Trusted Cloud o su recurso principal.
Si el recurso no tiene un contacto configurado para las notificaciones técnicas, los usuarios que aparecen como propietarios del proyecto de IAM roles/owner para el recurso recibirán la notificación por correo electrónico.
El mensaje de correo electrónico contiene la siguiente información:
- ID del recurso: Es el nombre del proyecto Trusted Cloud o de otro recursoTrusted Cloud en el que se configuró el receptor.
- Nombre del receptor: Es el nombre del receptor que contiene el error de configuración.
- Destino del receptor: Es la ruta de acceso completa al destino de enrutamiento del receptor; por ejemplo,
pubsub.googleapis.com/projects/PROJECT_ID/topics/TOPIC_ID. - Código de error: Es la descripción abreviada de la categoría de error, por ejemplo,
topic_not_found. - Detalles del error: Información detallada sobre el error, incluidas recomendaciones para solucionar el error subyacente.
El remitente de este correo electrónico es logging-noreply@google.com.
Para ver y administrar tus receptores, usa la página Enrutador de registros:
Los errores de configuración del receptor que se aplican al recurso aparecen en la lista como Cloud Logging sink configuration error. Cada error contiene un vínculo a una de las entradas de registro generadas por el receptor defectuoso. Para examinar los errores subyacentes en detalle, consulta la sección Registros de errores.
Tipos de errores de receptor
En las siguientes secciones, se describen categorías generales de errores relacionados con el receptor y cómo puedes solucionarlos.
El destino es incorrecto
Si configuraste un receptor, pero luego ves un error de configuración que indica que no se pudo encontrar el destino cuando Logging intentó enrutar las entradas de registro, estos son algunos motivos posibles:
La configuración de tu receptor contiene un error ortográfico o de formato en el destino especificado.
Debes actualizar la configuración del receptor para especificar correctamente el destino existente.
Es posible que se haya borrado el destino especificado.
Puedes cambiar la configuración del receptor para usar un destino diferente existente o volver a crear el destino con el mismo nombre.
Para resolver estos tipos de errores, edita tu receptor. Por ejemplo, puedes editar tu receptor en la página Enrutador de registros:
Tu receptor comienza a enrutar entradas de registro cuando se encuentra el destino y Logging recibe nuevas entradas de registro que coinciden con tu filtro.
Administra problemas de receptores
Si inhabilitaste un receptor para dejar de almacenar entradas de registro en un bucket de registros, pero sigues viendo que se enrutan entradas de registro, espera unos minutos para que se apliquen los cambios al receptor.
Problemas de permisos
Cuando un receptor intenta enrutar una entrada de registro, pero carece de los permisos de IAM correspondientes para el destino del receptor, este informa un error que puedes ver y omite la entrada de registro.
Cuando creas un receptor, se le debe otorgar a la cuenta de servicio del receptor los permisos de destino adecuados. Si creas el receptor en la consola de Trusted Cloud en el mismo proyecto deTrusted Cloud , la consola de Trusted Cloud suele asignar estos permisos automáticamente. Sin embargo, si creas el receptor en unTrusted Cloud proyecto diferente o con gcloud CLI o la API de Logging, debes configurar los permisos de forma manual.
Si ves errores relacionados con los permisos de tu receptor, agrega los permisos necesarios o actualiza tu receptor para que use un destino diferente. Para obtener instrucciones sobre cómo actualizar estos permisos, consulta Permisos de destino.
Existe una leve demora entre la creación del receptor y el uso de su cuenta de servicio nueva para autorizar la escritura en el destino. Tu receptor comienza a enrutar entradas de registro cuando se corrigen los permisos y Logging recibe entradas de registro nuevas que coinciden con tu filtro.
Problemas relacionados con las políticas de la organización
Si intentas enrutar una entrada de registro, pero encuentras una política de la organización que restringe que Logging escriba en el destino del receptor, el receptor no podrá enrutar al destino seleccionado y mostrará un error.
Si ves errores relacionados con las políticas de la organización, puedes hacer lo siguiente:
Actualiza la política de la organización del destino para quitar las restricciones que impiden que el receptor enrute las entradas de registro. Esto supone que tienes los permisos adecuados para actualizar la política de la organización.
Puedes examinar si existe una restricción de ubicación del recurso (
constraints/gcp.resourceLocations). Esta restricción determina las ubicaciones en las que se pueden almacenar los datos. Además, algunos servicios admiten restricciones que podrían afectar un receptor de registros. Por ejemplo, existen varias restricciones que podrían aplicarse cuando se selecciona un destino de Pub/Sub. Para obtener una lista de las posibles restricciones, consulta las restricciones de las políticas de la organización.Para obtener instrucciones, consulta Crea y edita políticas.
Si no puedes actualizar la política de la organización, actualiza tu receptor en la página Log Router para usar un destino que cumpla con los requisitos.
Tu receptor comienza a enrutar entradas de registro cuando la política de la organización ya no impide que el receptor escriba en el destino y Logging recibe nuevas entradas de registro que coinciden con tu filtro.
Problemas con la clave de encriptación
Si usas claves de encriptación, ya sea que las administres con Cloud Key Management Service o por tu cuenta, para encriptar los datos en el destino del receptor, es posible que veas errores relacionados. Estos son algunos problemas posibles y formas de solucionarlos:
No se encuentra la clave de Cloud KMS.
No se encuentra el Trusted Cloud proyecto que contiene la clave de Cloud KMS configurada para encriptar los datos.
Usa una clave de Cloud KMS válida de un proyectoTrusted Cloud existente.
La ubicación de la clave de Cloud KMS no coincide con la ubicación del destino.
Si el proyecto Trusted Cloud que contiene la clave de Cloud KMS se encuentra en una región diferente de la región del destino, la encriptación fallará y el receptor no podrá enrutar datos a ese destino.
Usa una clave de Cloud KMS que contenga un proyecto Trusted Cloud cuya región coincida con el destino del receptor.
Se denegó el acceso a la clave de encriptación de la cuenta de servicio del receptor.
Incluso si el receptor se creó de forma correcta con los permisos de la cuenta de servicio correctos, este mensaje de error se muestra si el destino del receptor usa una clave de encriptación que no le proporciona a la cuenta de servicio los permisos suficientes para encriptar o desencriptar los datos.
Otorga el rol de encriptador/desencriptador de CryptoKey de Cloud KMS a la cuenta de servicio especificada en el campo
writerIdentitydel receptor para la clave que se usa en el destino. También verifica que la API de Cloud KMS esté habilitada.
Problemas de cuotas
Cuando los receptores escriben entradas de registro, se aplican cuotas específicas del destino a losTrusted Cloud proyectos en los que se crearon los receptores. Si se agotan las cuotas, el receptor deja de enrutar las entradas de registro al destino.
Por ejemplo, es posible que tu receptor esté enrutando demasiadas entradas de registro demasiado rápido.
Para solucionar los problemas de agotamiento de la cuota, actualiza el filtro del receptor para que coincida con menos entradas de registro y, así, disminuir la cantidad de datos de registro que se enrutan. Puedes usar la función sample en tu filtro para seleccionar una fracción de la cantidad total de entradas de registro.
Cuando hay cuota disponible, tu receptor enruta las entradas de registro al destino del receptor.
Para obtener detalles sobre los límites que se pueden aplicar cuando enrutas entradas de registro, revisa la información de cuotas del destino correspondiente:
Además de los tipos de errores de receptor generales, a continuación se indican los tipos de errores más comunes específicos del destino y cómo puedes corregirlos.
Errores de enrutamiento a buckets de Cloud Logging
Es posible que te encuentres en una situación en la que veas entradas de registro en el Explorador de registros que excluiste con tu receptor. Aun así, puedes ver estas entradas de registro si se cumple alguna de las siguientes condiciones:
Estás ejecutando la consulta en el proyecto Trusted Cloud que generó las entradas de registro.
Para corregir este problema, verifica que estés ejecutando la consulta en el proyecto deTrusted Cloud correcto.
Las entradas de registro excluidas se enviaron a varios buckets de registros. Verás una copia del mismo registro que deseas excluir.
Para solucionar este problema, revisa tus receptores en la página Enrutador de registros para verificar que no incluyas las entradas de registro en los filtros de otros receptores.
Tienes acceso a las vistas en el bucket de registros al que se enviaron las entradas de registro. En este caso, puedes ver esas entradas de registro de forma predeterminada.
Para evitar ver estas entradas de registro en el Explorador de registros, puedes definir mejor el alcance de tu búsqueda en tu proyecto o bucket de origen Trusted Cloud .
Soluciona problemas de almacenamiento de registros
¿Por qué no puedo borrar este bucket?
Si intentas borrar un bucket, haz lo siguiente:
Verifica que tengas los permisos correctos para borrar el bucket. Para obtener la lista de permisos que necesitas, consulta Control de acceso con IAM.
Determina si el bucket está bloqueado enumerando sus atributos. Si el bucket está bloqueado, verifica el período de retención del bucket. No puedes borrar un bucket bloqueado hasta que todos los registros del bucket cumplan con el período de retención del bucket.
¿Qué cuentas de servicio enrutan registros a mi bucket?
Para determinar si alguna cuenta de servicio tiene permisos de IAM para enrutar registros a tu bucket, haz lo siguiente:
-
En la Trusted Cloud consola, ve a la página IAM:
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es IAM y administrador.
En la pestaña Permisos, selecciona la opción Roles. Verás una tabla con todos los roles de IAM y las principales asociadas a tu proyecto deTrusted Cloud .
En el cuadro de textoFiltro de la tabla filter_list, ingresa Logs Bucket Writer.
Verás los principales con el rol de Escritor de bucket de registros. Si un principal es una cuenta de servicio, su ID contiene la cadena
s3ns-system.iam.gserviceaccount.com.Opcional: Si deseas quitar la capacidad de una cuenta de servicio para enrutar registros a tu proyecto de Trusted Cloud , selecciona la casilla de verificación check_box_outline_blank de la cuenta de servicio y haz clic en Quitar.
¿Por qué veo registros de un proyecto de Trusted Cloud aunque los excluí de mi receptor _Default?
Es posible que estés viendo registros en un bucket de registros en un proyecto Trusted Cloud centralizado, que agrega registros de toda tu organización.
Si usas el Explorador de registros para acceder a estos registros y ves registros que excluiste del receptor _Default, es posible que tu vista esté configurada en el nivel del proyectoTrusted Cloud .
Para solucionar este problema, selecciona Vista de registros en el menú Definir mejor el permiso y, luego, selecciona la vista de registros asociada con el bucket _Default en tu proyectoTrusted Cloud . Ya no deberías ver los registros excluidos.