Crear y gestionar ámbitos de registro

En este documento se describe cómo puede crear y gestionar ámbitos de registro, que puede usar para encontrar de forma eficiente las entradas de registro que quiera ver o analizar. Si solo quieres ver y analizar las entradas de registro que proceden de un proyecto, una carpeta o una organización, este documento no es para ti. Sin embargo, si utilizas receptores de registros para enrutar registros a otros proyectos o a segmentos de registros definidos por el usuario, o bien si usas vistas de registros, la información de este documento puede ayudarte a encontrar entradas de registro específicas de forma eficiente.

En este documento no se explica cómo ver los registros. Para obtener información sobre este tema, consulta el artículo Ver registros con el Explorador de registros.

Acerca de los ámbitos de registro

Los ámbitos de registro son recursos persistentes a nivel de proyecto que incluyen una lista de recursos. Estos recursos pueden ser proyectos, carpetas, organizaciones y vistas de registro. Por ejemplo, puede definir un ámbito de registro que incluya los proyectos que contengan recursos utilizados en producción o uno que incluya las vistas de registro que contengan entradas de registro de un tipo de recurso específico.

Cuando creas un recurso de Cloud de Confiance proyecto, carpeta u organización, Logging crea un ámbito de registro llamado _Default. Este ámbito incluye el proyecto, la carpeta o la organización que se ha creado. Cuando el recurso buscado es un Cloud de Confiance proyecto, una carpeta o una organización, los resultados incluyen las entradas de registro que se originan en el recurso y, a continuación, se almacenan en un segmento de registro. El segmento de registro puede estar en cualquier proyecto. Cuando se busca un proyecto, los resultados también incluyen entradas de registro que se han enrutado al proyecto mediante un receptor de otro proyecto y que se han almacenado en un segmento de registro.

Puedes crear ámbitos de registro. También puedes editar y eliminar los ámbitos de registro que crees. Sin embargo, no puedes editar ni eliminar el ámbito de registro llamado _Default.

Un ámbito de registro te permite controlar en qué recursos busca datos de registro la página Explorador de registros. Cuando abres esa página y seleccionas un ámbito de registro, la página busca los recursos incluidos en ese ámbito y, a continuación, actualiza la pantalla.

En el caso de los proyectos, el ámbito de registro predeterminado determina el conjunto de recursos que busca la página Explorador de registros cuando se abre. Sin embargo, los roles de gestión de identidades y accesos (IAM) que tengas en los recursos buscados y el ajuste del periodo determinan qué entradas de registro se obtienen del almacenamiento. Cuando se crean proyectos, el ámbito de registro llamado _Default se designa como ámbito de registro predeterminado.

Diferencias entre los ámbitos de registro y el almacenamiento de registros centralizado

Tanto el almacenamiento de registros centralizado como los ámbitos de registro te permiten ver los datos de registro que proceden de diferentes proyectos.

Cuando centralizas el almacenamiento de registros, configuras los receptores de una organización o una carpeta para que dirijan las entradas de registro a una única ubicación de almacenamiento. El almacenamiento centralizado proporciona un único lugar para consultar los datos de registro, lo que simplifica las consultas cuando buscas tendencias o investigas problemas. Desde el punto de vista de la seguridad, también tienes una ubicación de almacenamiento, lo que simplifica las tareas de tus analistas de seguridad.

Cuando se envía una consulta a los recursos incluidos en un ámbito de registro, se combinan los resultados de la consulta individual. Un ámbito de registro facilita la agregación en tiempo de lectura de los datos de registro, que pueden almacenarse en diferentes ubicaciones. Sin embargo, también se puede usar un ámbito de registro para proporcionar acceso de lectura a una o varias vistas de registro en un contenedor de registro centralizado.

Cuando se abre la página Explorador de registros, se envían consultas a los recursos que se indican en el ámbito de registro predeterminado. Por lo tanto, configure el ámbito predeterminado para que la página le muestre los datos que suele consultar. Por ejemplo, puedes definir el ámbito de registro predeterminado para que muestre una vista de registro que, cuando se consulte, devuelva los datos de registro de una aplicación App Hub.

Prácticas recomendadas

Como los ámbitos de registro te permiten definir y guardar una configuración para usarla en el futuro, te recomendamos que crees ámbitos de registro para configuraciones de búsqueda complejas.

Por ejemplo, supongamos que estás solucionando un problema y quieres ver las entradas de registro de todas las instancias de máquina virtual (VM) propiedad de tu equipo. Para llevar a cabo esta tarea, puedes hacer lo siguiente:

  1. Determinas que las entradas de registro que quieres ver se almacenan en varios segmentos de registro y en varios proyectos. En la mayoría de los segmentos de registro, hay una vista de registro que incluye las entradas de registro que quieres analizar. Si no hay ninguna vista de registro, puedes crear una.

  2. Decides crear un ámbito de registro porque prevés que tendrás que realizar una tarea de solución de problemas similar en el futuro.

  3. Abre la página Explorador de registros en la Cloud de Confiance consola y, a continuación, usa el menú Refinar ámbito para seleccionar el nuevo ámbito de registro.

  4. Revisas las entradas del registro y encuentras la información que necesitas para resolver el problema que estabas investigando.

  5. Una vez que hayas resuelto el problema, comparte la causa del fallo con tus compañeros. También nos dices que esperas que se produzcan errores similares en el futuro, por lo que has creado un ámbito de registro que te permitirá a ti o a quien investigue el error encontrar rápidamente las entradas de registro pertinentes.

Aplicaciones y ámbitos de registro de App Hub

Es posible que tus aplicaciones de App Hub escriban datos de registro en varios proyectos. Los datos de registro pueden almacenarse en el proyecto en el que se originan o un administrador de la organización puede haber configurado el almacenamiento centralizado. Para ver los datos de registro de tu aplicación, crea un ámbito de registro, configúralo para que muestre los proyectos o las vistas de registro que almacenan los datos de registro de tu aplicación y, a continuación, configúralo como ámbito de registro predeterminado. Cuando completes estos pasos, la página Explorador de registros mostrará automáticamente los datos escritos por tu aplicación, aunque estén almacenados en diferentes proyectos o en un contenedor de registros centralizado.

Crea el ámbito de registro personalizado en el proyecto desde el que vas a ver tus datos de registro. Este proyecto es el proyecto host de tu centro de aplicaciones o el proyecto de gestión de tu carpeta habilitada para aplicaciones. Por ejemplo, si el nombre visible de una carpeta es My Folder, el nombre visible del proyecto de gestión de la carpeta es My Folder-mp.

Limitaciones

  • No puedes eliminar ni modificar el ámbito de registro llamado _Default.
  • Solo los proyectos Cloud de Confiance admiten un ámbito de registro predeterminado.
  • No puedes añadir carpetas ni organizaciones a un ámbito de registro definido por el usuario.
  • Los ámbitos de registro se crean en la ubicación global.

Antes de empezar

  1. In the Cloud de Confiance console, on the project selector page, select or create a Cloud de Confiance project.

    Roles required to select or create a project

    • Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
    • Create a project: To create a project, you need the Project Creator (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

    Go to project selector

  2. Verify that billing is enabled for your Cloud de Confiance project.

  3. Para obtener los permisos que necesitas para crear y ver ámbitos de registro, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en tu proyecto:

    Para obtener más información sobre cómo conceder roles, consulta el artículo Gestionar acceso a proyectos, carpetas y organizaciones.

    Estos roles predefinidos contienen los permisos necesarios para crear y ver ámbitos de registro. Para ver los permisos exactos que se necesitan, despliega la sección Permisos necesarios:

    Permisos obligatorios

    Para crear y ver ámbitos de registro, se necesitan los siguientes permisos:

    • Para definir el ámbito de registro predeterminado, sigue estos pasos: observability.scopes.{get, update}
    • Para crear y gestionar ámbitos de registro, sigue estos pasos: logging.logScopes.{create, delete, get, list, update}

    También puedes obtener estos permisos con roles personalizados u otros roles predefinidos.

  4. Select the tab for how you plan to use the samples on this page:

    gcloud

    Instala Google Cloud CLI y, a continuación, inicia sesión en gcloud CLI con tu identidad federada. Después de iniciar sesión, inicializa la CLI de Google Cloud ejecutando el siguiente comando: 

    gcloud init

    Terraform

    Para usar las muestras de Terraform de esta página en un entorno de desarrollo local, instala e inicializa la CLI de gcloud y, a continuación, configura las credenciales predeterminadas de la aplicación con tus credenciales de usuario.

    1. Install the Google Cloud CLI.

    2. Configura gcloud CLI para que use tu identidad federada.

      Para obtener más información, consulta el artículo Iniciar sesión en la CLI de gcloud con tu identidad federada.

    3. Create local authentication credentials for your user account: 

      gcloud auth application-default login

      If an authentication error is returned, and you are using an external identity provider (IdP), confirm that you have signed in to the gcloud CLI with your federated identity.

    Para obtener más información, consulta Configurar ADC en un entorno de desarrollo local en la documentación de autenticación Cloud de Confiance .

    REST

    Para usar las muestras de la API REST de esta página en un entorno de desarrollo local, debes usar las credenciales que proporciones a la CLI de gcloud.

      Instala Google Cloud CLI y, a continuación, inicia sesión en gcloud CLI con tu identidad federada.

    Para obtener más información, consulta el artículo Autenticarse para usar REST de la documentación sobre autenticación de Cloud de Confiance .

    Mostrar ámbitos de registro

    gcloud

    Para enumerar los ámbitos de registro de un proyecto, usa el comando gcloud logging scopes list:

     gcloud logging scopes list --project=PROJECT_ID

    Antes de ejecutar el comando, actualiza los siguientes campos:

    • PROJECT_ID: identificador del proyecto. En las configuraciones de App Hub, selecciona el proyecto host o el proyecto de gestión de App Hub.

    Para obtener los detalles de un ámbito de registro de un proyecto, usa el comando gcloud logging scopes describe:

     gcloud logging scopes describe LOG_SCOPE_ID --project=PROJECT_ID

    Antes de ejecutar el comando, actualiza los siguientes campos:

    • PROJECT_ID: identificador del proyecto.
    • LOG_SCOPE_ID: ID del ámbito del registro. Por ejemplo, my-scope.

    Terraform

    Puedes usar Terraform para crear y modificar un ámbito de registro. Sin embargo, no puedes usar Terraform para enumerar los ámbitos de registro.

    REST

    La API de Cloud Logging contiene comandos que muestran los ámbitos de registro de un recurso o que informan de los detalles de un ámbito de registro específico. Para ver una lista completa de los comandos, consulta la documentación de referencia de la API.

    En el caso de los proyectos de Cloud de Confiance , usa los siguientes comandos:

    En los comandos anteriores, el campo parent tiene la siguiente sintaxis:

    projects/PROJECT_ID/locations/LOCATION_ID

    Los campos de la expresión anterior tienen el siguiente significado:

    • PROJECT_ID: identificador del proyecto. En las configuraciones de App Hub, selecciona el proyecto host o el proyecto de gestión de App Hub.
    • LOCATION_ID debe establecerse en global.

    Crear un ámbito de registro

    Puede crear 100 ámbitos de registro por proyecto. Un ámbito de registro puede incluir un total de 100 vistas de registro y proyectos, pero solo puede incluir 5 proyectos. No puedes añadir carpetas ni organizaciones a un ámbito de registro.

    gcloud

    Para crear un ámbito de registro en un proyecto, usa el comando gcloud logging scopes create:

     gcloud logging scopes create LOG_SCOPE_ID --project=PROJECT_ID \
   --description=DESCRIPTION \
   --resource-names=RESOURCE_NAMES

    Antes de ejecutar el comando, actualiza los siguientes campos:

    • PROJECT_ID: identificador del proyecto. En las configuraciones de App Hub, selecciona el proyecto host o el proyecto de gestión de App Hub.
    • LOG_SCOPE_ID: ID del ámbito del registro. Por ejemplo, my-scope.

    • DESCRIPTION: opcional. Descripción del ámbito del registro. Da formato a la descripción como una cadena.

    • RESOURCE_NAMES: lista separada por comas de los nombres completos de los proyectos o las vistas de registro. Por ejemplo, para incluir my-project en el ámbito del registro, especifica projects/my-project.

    Terraform

    Para saber cómo aplicar o quitar una configuración de Terraform, consulta Comandos básicos de Terraform. Para obtener más información, consulta la documentación de referencia del proveedor Terraform.

    Para crear un ámbito de registro en un proyecto, una carpeta o una organización con Terraform, usa el recurso de Terraform google_logging_log_scope.

    En el comando, define los siguientes campos:

    • parent: el nombre completo de tu proyecto, carpeta u organización. Por ejemplo, puedes asignar a este campo el valor "projects/PROJECT_ID", donde PROJECT_ID es el ID de tu proyecto Cloud de Confiance . En las configuraciones de App Hub, selecciona el proyecto host o el proyecto de gestión de App Hub.
    • locations: elija "global".

    • name: se asigna al nombre completo del ámbito del registro. En el caso de los proyectos, el formato de este campo es el siguiente:

      "projects/PROJECT_ID/locations/global/logScopes/LOG_SCOPE_ID"

      En la expresión anterior, LOG_SCOPE_ID es el nombre de un ámbito de registro, como "production".

    • resource_names: un array de proyectos y vistas de registro, donde cada proyecto y vista de registro se especifica mediante su nombre completo.

    • description: una breve descripción. Por ejemplo, "Scope for production resources" (Ámbito de los recursos de producción).

    REST

    La API Cloud Logging también permite crear ámbitos de registro en una carpeta o una organización. Para obtener más información, consulta la documentación de referencia de la API.

    En el caso de los proyectos de Cloud de Confiance , usa el siguiente comando:

    En los comandos anteriores, el campo parent tiene la siguiente sintaxis:

    projects/PROJECT_ID/locations/LOCATION_ID

    Los campos de la expresión anterior tienen el siguiente significado:

    • PROJECT_ID: identificador del proyecto. En las configuraciones de App Hub, selecciona el proyecto host o el proyecto de gestión de App Hub.
    • LOCATION_ID debe establecerse en global.

    Modificar o eliminar un ámbito de registro

    gcloud

    Para modificar la descripción de la lista de recursos de un ámbito de registro de un proyecto, usa el comando gcloud logging scopes update:

     gcloud logging scopes update LOG_SCOPE_ID --project=PROJECT_ID \
   --description=DESCRIPTION \
   --resource-names=RESOURCE_NAMES

    Antes de ejecutar el comando, actualiza los siguientes campos:

    • PROJECT_ID: identificador del proyecto. En las configuraciones de App Hub, selecciona el proyecto host o el proyecto de gestión de App Hub.
    • LOG_SCOPE_ID: ID del ámbito del registro. Por ejemplo, my-scope.

    • DESCRIPTION: la descripción del ámbito del registro. Da formato a la descripción como una cadena. Omite este campo si no quieres cambiar la descripción del ámbito del registro.

    • RESOURCE_NAMES: lista separada por comas de los nombres completos de los proyectos o las vistas de registro. Omite este campo si no quieres cambiar la lista de recursos.

    Para eliminar un ámbito de registro de un proyecto, usa el comando gcloud logging scopes delete:

     gcloud logging scopes delete LOG_SCOPE_ID --project=PROJECT_ID

    Antes de ejecutar el comando, actualiza los siguientes campos:

    • PROJECT_ID: identificador del proyecto. En las configuraciones de App Hub, selecciona el proyecto host o el proyecto de gestión de App Hub.
    • LOG_SCOPE_ID: ID del ámbito del registro. Por ejemplo, my-scope.

    Terraform

    Para saber cómo aplicar o quitar una configuración de Terraform, consulta Comandos básicos de Terraform. Para obtener más información, consulta la documentación de referencia del proveedor Terraform.

    Para modificar un ámbito de registro en un proyecto, una carpeta o una organización con Terraform, usa el recurso de Terraform google_logging_log_scope.

    REST

    La API Cloud Logging contiene comandos que pueden modificar o eliminar un ámbito de registro. Para ver una lista completa de los comandos, consulta la documentación de referencia de la API.

    En el caso de los proyectos de Cloud de Confiance , usa los siguientes comandos:

    En los comandos anteriores, el campo parent tiene la siguiente sintaxis:

    projects/PROJECT_ID/locations/LOCATION_ID/logScopes/LOG_SCOPE_ID

    Los campos de la expresión anterior tienen el siguiente significado:

    • PROJECT_ID: identificador del proyecto. En las configuraciones de App Hub, selecciona el proyecto host o el proyecto de gestión de App Hub.
    • LOCATION_ID debe establecerse en global.
    • LOG_SCOPE_ID: ID del ámbito del registro. Por ejemplo, my-scope.

    Siguientes pasos