En este documento, se describe cómo puedes crear y administrar los alcances de registros, que puedes usar para encontrar de manera eficiente las entradas de registro que deseas ver o analizar. Si solo deseas ver y analizar las entradas de registro que se originan en un proyecto, una carpeta o una organización, este documento no es para ti. Sin embargo, si dependes de los receptores de registros para enrutar registros a otros proyectos o a buckets de registros definidos por el usuario, o si usas vistas de registros, la información de este documento puede ayudarte a encontrar entradas de registro específicas de manera eficiente.
En este documento, no se describe cómo ver tus registros. Para obtener información sobre ese tema, consulta Visualiza registros con el Explorador de registros.
Acerca de los permisos de registro
Los permisos de registro son recursos persistentes a nivel del proyecto que enumeran un conjunto de recursos. Estos recursos pueden ser proyectos, carpetas, organizaciones y vistas de registros. Por ejemplo, podrías definir un ámbito de registros que enumere los proyectos que contienen recursos utilizados para la producción o uno que enumere las vistas de registro que incluyen entradas de registro para un tipo de recurso específico.
Cuando creas un recurso de Cloud de Confiance proyecto, carpeta u organización, Logging crea un ámbito de registros llamado _Default.
Este alcance incluye el proyecto, la carpeta o la organización que se creó.
Cuando el recurso buscado es un Cloud de Confiance proyecto, una carpeta o una organización, los resultados incluyen las entradas de registro que se originan en el recurso y, luego, se almacenan en un bucket de registros. El bucket de registros puede estar en cualquier proyecto.
Cuando se busca un proyecto, los resultados también incluyen las entradas de registro que se enrutan al proyecto a través de un receptor en otro proyecto y, luego, se almacenan en un bucket de registros.
Puedes crear alcances de registro. También puedes editar y borrar los permisos de registro que crees. Sin embargo, no puedes editar ni borrar el ámbito de registros llamado _Default.
Usas un alcance de registros para controlar en qué recursos busca datos de registro la página del Explorador de registros. Cuando abres esa página y seleccionas un ámbito de registros, la página busca los recursos que se enumeran en ese ámbito y, luego, actualiza la pantalla.
En el caso de los proyectos, el ámbito de registros predeterminado determina el conjunto de recursos que busca la página Explorador de registros cuando se abre. Sin embargo, tus roles de Identity and Access Management (IAM) en los recursos buscados y la configuración del período determinan qué entradas de registro se recuperan del almacenamiento.
Cuando se crean proyectos, el permiso de registros llamado _Default se designa como el permiso de registros predeterminado.
En qué se diferencian los alcances de registros del almacenamiento de registros centralizado
Tanto el almacenamiento de registros centralizado como los alcances de registros te permiten ver los datos de registro que se originan en diferentes proyectos.
Cuando centralizas el almacenamiento de registros, configuras los receptores en una organización o carpeta para enrutar las entradas de registro a una sola ubicación de almacenamiento. El almacenamiento centralizado proporciona un solo lugar para consultar los datos de registro, lo que simplifica tus consultas cuando buscas tendencias o investigas problemas. Desde una perspectiva de seguridad, también tienes una ubicación de almacenamiento, lo que simplifica las tareas de tus analistas de seguridad.
Cuando se emite una consulta a los recursos que se enumeran en un ámbito de registros, se combinan los resultados de la consulta individual. Un ámbito de registro facilita la agregación en tiempo de lectura de los datos de registro que se pueden almacenar en diferentes ubicaciones. Sin embargo, también se puede usar un ámbito de registros para proporcionar acceso de lectura a una o más vistas de registro en un bucket de registros centralizado.
Cuando se abre la página Explorador de registros, se envían consultas a los recursos que se indican en el ámbito de registros predeterminado. Por lo tanto, configura el alcance predeterminado para que la página te muestre los datos que sueles consultar. Por ejemplo, puedes establecer el alcance de registro predeterminado para enumerar una vista de registro que, cuando se consulta, devuelve los datos de registro de una aplicación de App Hub.
Prácticas recomendadas
Dado que los alcances de registro te permiten definir y guardar una configuración para usarla en el futuro, te recomendamos que crees alcances de registro para las configuraciones de búsqueda complejas.
Por ejemplo, supongamos que estás solucionando un problema y deseas ver las entradas de registro de todas las instancias de máquina virtual (VM) que son propiedad de tu equipo. Para completar esta tarea, puedes hacer lo siguiente:
Determinas que las entradas de registro que deseas ver se almacenan en varios buckets de registros y en varios proyectos. En la mayoría de los buckets de registros, existe una vista de registros que incluye las entradas de registro que deseas analizar. Si no existe una vista de registros, puedes crear una.
Decides crear un ámbito de registros porque esperas tener una tarea de solución de problemas similar en el futuro.
Abre la página Explorador de registros en la consola de Cloud de Confiance y, luego, usa el menú Refine scope para seleccionar tu nuevo ámbito de registros.
Revisas las entradas de registro y encuentras la información que necesitas para resolver el problema que estabas investigando.
Después de resolver el problema, comparte la causa de la falla con tus colegas. También compartes que esperas ver fallas similares en el futuro, por lo que creaste un ámbito de registros que te permitirá a ti, o a quien investigue la falla, encontrar rápidamente las entradas de registro pertinentes.
Aplicaciones de App Hub y permisos de registro
Tus aplicaciones de App Hub pueden escribir datos de registro en varios proyectos. Es posible que tus datos de registro se almacenen en el proyecto en el que se originaron, o bien que un administrador de la organización haya configurado un almacenamiento centralizado. Para ver los datos de registro de tu aplicación, crea un ámbito de registros, configúralo para que muestre los proyectos o las vistas de registros que almacenan los datos de registro de tu aplicación y, luego, configúralo como el ámbito de registros predeterminado. Cuando completes esos pasos, la página del Explorador de registros mostrará automáticamente los datos que escribió tu aplicación, incluso cuando esos datos se almacenen en diferentes proyectos o en un bucket de registros centralizado.
Crea el ámbito de registros personalizado en el proyecto desde el que verás tus datos de registro. Este proyecto es tu proyecto host o de administración de App Hub. Por ejemplo, si el nombre visible de una carpeta es My Folder, el nombre visible del proyecto de administración de la carpeta es My Folder-mp.
Limitaciones
- No puedes borrar ni modificar el ámbito de registros llamado
_Default. - Solo los proyectos Cloud de Confiance admiten un ámbito de registros predeterminado.
- No puedes agregar carpetas ni organizaciones a un ámbito de registros definido por el usuario.
- Los alcances de registro se crean en la ubicación
global.
Antes de comenzar
-
In the Cloud de Confiance console, on the project selector page, select or create a Cloud de Confiance project.
Roles required to select or create a project
- Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
-
Create a project: To create a project, you need the Project Creator role
(
roles/resourcemanager.projectCreator), which contains theresourcemanager.projects.createpermission. Learn how to grant roles.
-
Verify that billing is enabled for your Cloud de Confiance project.
Enable the Observability API.
Roles required to enable APIs
To enable APIs, you need the Service Usage Admin IAM role (
roles/serviceusage.serviceUsageAdmin), which contains theserviceusage.services.enablepermission. Learn how to grant roles.-
Para obtener los permisos que necesitas para crear y ver ámbitos de registros, pídele a tu administrador que te otorgue los siguientes roles de IAM en tu proyecto:
- Escritor de configuración de registros (
roles/logging.configWriter`) - Editor de Observability (
roles/observability.editor)
Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.
Estos roles predefinidos contienen los permisos necesarios para crear y ver ámbitos de registros. Para ver los permisos exactos que son necesarios, expande la sección Permisos requeridos:
Permisos necesarios
Se requieren los siguientes permisos para crear y ver ámbitos de registros:
-
Para establecer el ámbito de registros predeterminado, haz lo siguiente:
observability.scopes.{get, update} -
Para crear y administrar los permisos de registros, haz lo siguiente:
logging.logScopes.{create, delete, get, list, update}
También puedes obtener estos permisos con roles personalizados o con otros roles predefinidos.
- Escritor de configuración de registros (
-
Selecciona la pestaña que corresponda a la forma en que planeas usar las muestras de esta página:
gcloud
Instala Google Cloud CLI y, luego, accede a gcloud CLI con tu identidad federada. Después de acceder, inicializa Google Cloud CLI con el siguiente comando:
gcloud initTerraform
Para usar las muestras de Terraform de esta página en un entorno de desarrollo local, instala e inicializa la gcloud CLI y, luego, configura las credenciales predeterminadas de la aplicación con tus credenciales de usuario.
-
Instala Google Cloud CLI.
-
Configura gcloud CLI para usar tu identidad federada.
Para obtener más información, consulta Accede a la gcloud CLI con tu identidad federada.
-
Crea credenciales de autenticación locales para tu cuenta de usuario:
gcloud auth application-default login
Si se devuelve un error de autenticación y usas un proveedor de identidad (IdP) externo, confirma que accediste a la gcloud CLI con tu identidad federada.
Para obtener más información, consulta Configura ADC para un entorno de desarrollo local en la documentación de autenticación de Cloud de Confiance .
REST
Para usar las muestras de la API de REST incluidas en esta página en un entorno de desarrollo local, debes usar las credenciales que proporciones a la gcloud CLI.
Instala Google Cloud CLI y, luego, accede a gcloud CLI con tu identidad federada.
Para obtener más información, consulta Autentícate para usar REST en la documentación de autenticación de Cloud de Confiance .
-
Enumera los ámbitos de registros
Console
No compatible. Usa Google Cloud CLI, Terraform o la API.
gcloud
Para enumerar los permisos de registro en un proyecto, usa el comando gcloud logging scopes list:
gcloud logging scopes list --project=PROJECT_ID
Antes de ejecutar el comando, actualiza los siguientes campos:
- PROJECT_ID: Es el identificador del proyecto. Para las configuraciones de App Hub, selecciona el proyecto host o el proyecto de administración de App Hub.
Para obtener los detalles de un ámbito de registros en un proyecto, usa el comando gcloud logging scopes describe:
gcloud logging scopes describe LOG_SCOPE_ID --project=PROJECT_ID
Antes de ejecutar el comando, actualiza los siguientes campos:
- PROJECT_ID: Es el identificador del proyecto.
- LOG_SCOPE_ID: Es el ID del alcance del registro. Por ejemplo,
my-scope
Terraform
Puedes usar Terraform para crear y modificar un ámbito de registros. Sin embargo, no puedes usar Terraform para enumerar los permisos de registro.
REST
La API de Cloud Logging contiene comandos que enumeran los permisos de registro en un recurso o que informan los detalles de un permiso de registro específico. Para obtener una lista completa de los comandos, consulta la documentación de referencia de la API.
Para los proyectos de Cloud de Confiance , usa los siguientes comandos:
En los comandos anteriores, el campo parent tiene la siguiente sintaxis:
projects/PROJECT_ID/locations/LOCATION_ID
Los campos de la expresión anterior tienen el siguiente significado:
- PROJECT_ID: Es el identificador del proyecto. Para las configuraciones de App Hub, selecciona el proyecto host o el proyecto de administración de App Hub.
- LOCATION_ID debe establecerse en
global.
Crea un permiso de registro
Puedes crear 100 ámbitos de registros por proyecto. Un ámbito de registro puede incluir un total de 100 vistas de registro y proyectos; sin embargo, solo puede incluir 5 proyectos. No puedes agregar carpetas ni organizaciones a un ámbito de registros.
Console
No compatible. Usa Google Cloud CLI, Terraform o la API.
gcloud
Para crear un ámbito de registros en un proyecto, usa el comando gcloud logging scopes create:
gcloud logging scopes create LOG_SCOPE_ID --project=PROJECT_ID \
--description=DESCRIPTION \
--resource-names=RESOURCE_NAMES
Antes de ejecutar el comando, actualiza los siguientes campos:
- PROJECT_ID: Es el identificador del proyecto. Para las configuraciones de App Hub, selecciona el proyecto host o el proyecto de administración de App Hub.
- LOG_SCOPE_ID: Es el ID del alcance del registro. Por ejemplo,
my-scope DESCRIPTION: Opcional Es la descripción del ámbito de registros. Da formato a la descripción como una cadena.
RESOURCE_NAMES: Es una lista separada por comas de los nombres completamente calificados de los proyectos o las vistas de registros. Por ejemplo, para incluir
my-projecten el ámbito de registros, especificaprojects/my-project.
Terraform
Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform. Para obtener más información, consulta la documentación de referencia del proveedor de Terraform.
Para crear un ámbito de registros en un proyecto, una carpeta o una organización con Terraform, usa el recurso de Terraform google_logging_log_scope.
En el comando, configura los siguientes campos:
parent: Es el nombre completo de tu proyecto, carpeta u organización. Por ejemplo, puedes establecer este campo en"projects/PROJECT_ID", donde PROJECT_ID es el ID de tu proyecto Cloud de Confiance . Para las configuraciones de App Hub, selecciona el proyecto host o el proyecto de administración de App Hub.location: Configurado como"global".name: Se establece en el nombre completamente calificado del ámbito de registros. En el caso de los proyectos, el formato de este campo es el siguiente:"projects/PROJECT_ID/locations/global/logScopes/LOG_SCOPE_ID"En la expresión anterior, LOG_SCOPE_ID es el nombre de un ámbito de registros, como "producción".
resource_names: Es un array de proyectos y vistas de registro, en el que cada proyecto y vista de registro se especifican por su nombre completo.description: Es una descripción breve. Por ejemplo, "Alcance de los recursos de producción".
REST
La API de Cloud Logging también admite la creación de permisos de registros en una carpeta o una organización. Para obtener más información, consulta la documentación de referencia de la API.
Para los proyectos Cloud de Confiance , usa el siguiente comando:
En los comandos anteriores, el campo parent tiene la siguiente sintaxis:
projects/PROJECT_ID/locations/LOCATION_ID
Los campos de la expresión anterior tienen el siguiente significado:
- PROJECT_ID: Es el identificador del proyecto. Para las configuraciones de App Hub, selecciona el proyecto host o el proyecto de administración de App Hub.
- LOCATION_ID debe establecerse en
global.
Cómo modificar o borrar un ámbito de registros
Console
No compatible. Usa Google Cloud CLI, Terraform o la API.
gcloud
Para modificar la descripción de la lista de recursos en un ámbito de registros de un proyecto, usa el comando gcloud logging scopes update:
gcloud logging scopes update LOG_SCOPE_ID --project=PROJECT_ID \
--description=DESCRIPTION \
--resource-names=RESOURCE_NAMES
Antes de ejecutar el comando, actualiza los siguientes campos:
- PROJECT_ID: Es el identificador del proyecto. Para las configuraciones de App Hub, selecciona el proyecto host o el proyecto de administración de App Hub.
- LOG_SCOPE_ID: Es el ID del alcance del registro. Por ejemplo,
my-scope DESCRIPTION: Es la descripción del ámbito de registros. Da formato a la descripción como una cadena. Omite este campo cuando no quieras cambiar la descripción del ámbito de registros.
RESOURCE_NAMES: Es una lista separada por comas de los nombres completamente calificados de los proyectos o las vistas de registros. Omite este campo cuando no quieras cambiar la lista de recursos.
Para borrar un ámbito de registros en un proyecto, usa el comando gcloud logging scopes delete:
gcloud logging scopes delete LOG_SCOPE_ID --project=PROJECT_ID
Antes de ejecutar el comando, actualiza los siguientes campos:
- PROJECT_ID: Es el identificador del proyecto. Para las configuraciones de App Hub, selecciona el proyecto host o el proyecto de administración de App Hub.
- LOG_SCOPE_ID: Es el ID del alcance del registro. Por ejemplo,
my-scope
Terraform
Si deseas obtener más información para aplicar o quitar una configuración de Terraform, consulta los comandos básicos de Terraform. Para obtener más información, consulta la documentación de referencia del proveedor de Terraform.
Para modificar un alcance de registro en un proyecto, una carpeta o una organización con Terraform, usa el recurso de Terraform google_logging_log_scope.
REST
La API de Cloud Logging contiene comandos que pueden modificar o borrar un ámbito de registros. Para obtener una lista completa de los comandos, consulta la documentación de referencia de la API.
Para los proyectos de Cloud de Confiance , usa los siguientes comandos:
En los comandos anteriores, el campo parent tiene la siguiente sintaxis:
projects/PROJECT_ID/locations/LOCATION_ID/logScopes/LOG_SCOPE_ID
Los campos de la expresión anterior tienen el siguiente significado:
- PROJECT_ID: Es el identificador del proyecto. Para las configuraciones de App Hub, selecciona el proyecto host o el proyecto de administración de App Hub.
- LOCATION_ID debe establecerse en
global. - LOG_SCOPE_ID: Es el ID del alcance del registro. Por ejemplo,
my-scope