Enrutar entradas de registro

En este documento se explica cómo enruta Cloud Logging las entradas de registro que recibe Trusted Cloud by S3NS. Hay varios tipos de destinos de ruta. Por ejemplo, puedes enrutar entradas de registro a un destino como un segmento de registro, que almacena entradas de registro. Si quieres exportar tus datos de registro a un destino de terceros, puedes enrutar las entradas de registro a Pub/Sub. Además, una entrada de registro se puede enrutar a varios destinos.

Acerca de los routers de registros

Cada Trusted Cloud proyecto, cuenta de facturación, carpeta y organización tiene un enrutador de registros, que gestiona el flujo de entradas de registro a través de los receptores a nivel de recurso. El router de registros también gestiona el flujo de una entrada de registro a través de los sumideros que se encuentran en la jerarquía de recursos de la entrada. Los receptores controlan cómo se enrutan las entradas de registro a los destinos.

Log Router almacena una entrada de registro de forma temporal. Este comportamiento protege frente a las interrupciones y los cortes temporales que pueden producirse cuando una entrada de registro fluye a través de los receptores. El almacenamiento temporal no protege contra los errores de configuración.

El almacenamiento temporal de un enrutador de registros es diferente del almacenamiento a largo plazo que ofrecen los segmentos de Logging.

Las entradas de registro entrantes con marcas de tiempo que superen el periodo de conservación de los registros en el pasado o que sean posteriores a las próximas 24 horas se descartan.

Acerca de los sumideros de registros

Cuando un sumidero de registros recibe una entrada de registro, determina si debe ignorarla o enrutarla. Esta decisión se toma comparando la entrada de registro con los filtros del sumidero de registros. Cuando se enruta la entrada de registro, el sumidero de registros la envía al destino especificado por el sumidero de registros. El destino puede ser un proyecto, una ubicación de almacenamiento o un servicio.

Los receptores de registros pertenecen a un Trusted Cloud by S3NS recurso Trusted Cloud determinado:proyectos, cuentas de facturación, carpetas y organizaciones. Estos recursos también contienen varios receptores de registro. Cuando un recurso recibe una entrada de registro, cada receptor de registro de ese recurso evalúa la entrada de registro de forma independiente. Por lo tanto, varios receptores de registro pueden enrutar la misma entrada de registro.

De forma predeterminada, los datos de registro se almacenan en el proyecto en el que se originan. Sin embargo, hay varios motivos por los que puede que quieras cambiar esta configuración:

• Para centralizar el almacenamiento de los datos de registro.
• Para combinar tus datos de registro con otros datos empresariales.
• Para organizar los datos de registro de forma que te resulten útiles.
• Para transmitir tus registros a otras aplicaciones, otros repositorios o terceros. Por ejemplo, puede que quiera exportar sus registros de Trusted Cloud by S3NS para poder verlos en una plataforma de terceros. Para exportar tus entradas de registro, crea un receptor de registros que las dirija a Pub/Sub.

Un sumidero de registros mal configurado no enruta las entradas de registro. Cuando un receptor está mal configurado, se escriben entradas de registro que informan de los detalles del error. Además, se envía un correo a los contactos esenciales del recurso. Para obtener más información, consulta Solucionar problemas: ver errores.

Los receptores de registro no pueden enrutar entradas de registro de forma retroactiva. Es decir, un receptor de registro no puede enrutar una entrada de registro que se haya recibido antes de que se creara el receptor. Del mismo modo, si un sumidero está mal configurado, solo enrutará las entradas de registro que lleguen después de que se haya resuelto el error de configuración.

Compatibilidad con organizaciones y carpetas

Para ayudarte a gestionar los datos de registro de una organización o una carpeta, puedes hacer lo siguiente:

• Puedes crear receptores agregados, que dirigen las entradas de registro de una organización o una carpeta y sus elementos secundarios al destino especificado por el receptor. Hay dos tipos de receptores agregados:

  • Sumideros agregados no interceptores
  • Interceptar sumideros agregados

  La diferencia entre estos dos tipos de receptor es que los receptores de intercepción de un nivel de la jerarquía de recursos pueden afectar al enrutamiento de los recursos de niveles inferiores de la jerarquía. Los receptores que no interceptan no afectan al enrutamiento de otros recursos. Cuando un receptor interceptor de un recurso coincide con una entrada de registro, la entrada de registro no se envía a los receptores de los recursos secundarios, con la excepción de que la entrada de registro siempre se envía al receptor de registro _Required del recurso en el que se origina la entrada de registro.

• Puedes configurar los ajustes de recursos predeterminados para especificar la configuración del receptor _Default creado por el sistema para los recursos nuevos de una organización o una carpeta. Por ejemplo, puedes usar estos ajustes para inhabilitar el receptor _Default o especificar los filtros de ese receptor.

Ejemplos de enrutamiento

En esta sección se muestra cómo puede fluir una entrada de registro que se origina en un proyecto a través de los receptores de su jerarquía de recursos.

Ejemplo: No hay sumideros agregados

Si no hay receptores agregados en la jerarquía de recursos de la entrada de registro, esta se envía a los receptores de registro del proyecto en el que se origina. Un sumidero a nivel de proyecto enruta la entrada de registro al destino del sumidero cuando la entrada de registro coincide con el filtro de inclusión del sumidero, pero no coincide con ninguno de los filtros de exclusión del sumidero.

Ejemplo: Existe un receptor agregado que no intercepta

Supongamos que existe un sumidero agregado que no intercepta en la jerarquía de recursos de una entrada de registro. Después de que el enrutador de registros envíe la entrada de registro al receptor agregado que no intercepta, ocurre lo siguiente:

1. El sumidero agregado no interceptor dirige la entrada de registro al destino del sumidero cuando la entrada de registro coincide con el filtro de inclusión, pero no con ningún filtro de exclusión.

2. El enrutador de registros envía la entrada de registro a los sumideros de registros del proyecto en el que se ha originado la entrada de registro.

   Un sumidero a nivel de proyecto enruta la entrada de registro al destino del sumidero cuando la entrada de registro coincide con el filtro de inclusión del sumidero, pero no coincide con ninguno de los filtros de exclusión del sumidero.

Ejemplo: existe un receptor agregado interceptor

Supongamos que existe un sumidero agregado de intercepción en la jerarquía de recursos de una entrada de registro. Después de que el enrutador de registros envíe la entrada de registro al receptor agregado interceptor, ocurre una de las siguientes situaciones:

• La entrada de registro coincide con el filtro de inclusión, pero no con ningún filtro de exclusión:

  1. La entrada de registro se enruta al destino del sumidero agregado interceptor.
  2. La entrada de registro se envía al receptor _Required del proyecto en el que se ha originado.

• La entrada de registro no coincide con el filtro de inclusión o coincide con al menos un filtro de exclusión:

  1. La entrada de registro no se enruta mediante el receptor agregado interceptor.

  2. El enrutador de registros envía la entrada de registro a los sumideros de registros del proyecto en el que se ha originado la entrada de registro.

     Un sumidero a nivel de proyecto enruta la entrada de registro al destino del sumidero cuando la entrada de registro coincide con el filtro de inclusión del sumidero, pero no coincide con ninguno de los filtros de exclusión del sumidero.

Filtros de sumideros de registro

Cada sumidero de registros contiene un filtro de inclusión y puede contener varios filtros de exclusión. Estos filtros determinan si el sumidero de registros enruta una entrada de registro al destino del sumidero. Si no especifica ningún filtro, todas las entradas de registro se dirigirán al destino del sumidero.

Una entrada de registro se enruta mediante un receptor de registros en función de estas reglas:

• Si la entrada de registro no coincide con el filtro de inclusión, no se enruta. Si un sumidero no especifica un filtro de inclusión, todas las entradas de registro coinciden con ese filtro.

• Si la entrada de registro coincide con el filtro de inclusión y con al menos un filtro de exclusión, no se enruta.

• Si la entrada de registro coincide con el filtro de inclusión y no coincide con ningún filtro de exclusión, se dirige al destino del sumidero.

Los filtros de un receptor de registro se especifican mediante el lenguaje de consultas de registro.

No puedes usar filtros de exclusión para reducir el consumo de tu cuota de la API entries.write ni el número de llamadas a la API entries.write. Los filtros de exclusión se aplican después de que la API de Logging reciba las entradas de registro.

Sumideros de registro creados por el sistema

Por cada Trusted Cloud proyecto, cuenta de facturación, carpeta y organización, Cloud Logging crea dos receptores de registros: uno llamado _Required y otro llamado _Default. Los filtros de inclusión y exclusión de estos sumideros verifican que cada entrada de registro que llega al recurso se enruta a través de uno de estos sumideros. Ambos receptores enrutan los datos de registro a un segmento de registro que se encuentra en el mismo recurso que el receptor de registro.

En el resto de esta sección se proporciona información sobre los filtros y los destinos de los receptores de registro creados por el sistema.

Sumidero de registros de _Required

El _Requiredreceptor de registro de un recurso dirige un subconjunto de registros de auditoría al contenedor de registro del recurso _Required. Este receptor no especifica ningún filtro de exclusión y el filtro de inclusión es el siguiente:

LOG_ID("cloudaudit.googleapis.com/activity") OR
LOG_ID("externalaudit.googleapis.com/activity") OR
LOG_ID("cloudaudit.googleapis.com/system_event") OR
LOG_ID("externalaudit.googleapis.com/system_event") OR
LOG_ID("cloudaudit.googleapis.com/access_transparency") OR
LOG_ID("externalaudit.googleapis.com/access_transparency")

El sumidero de registros _Required solo coincide con las entradas de registro que proceden del recurso en el que se define el sumidero de registros _Required. Por ejemplo, supongamos que un receptor de registro dirige una entrada de registro de actividad del proyecto A al proyecto B. Como la entrada de registro no se ha originado en el proyecto B, el receptor de registro _Required del proyecto B no enruta esta entrada de registro al segmento de registro _Required.

No puedes modificar ni eliminar el sumidero de registro _Required.

Sumidero de registros de _Default

El sumidero de registros _Default de un recurso dirige todas las entradas de registro, excepto las que coinciden con el filtro del sumidero de registros _Required, al cubo de registros _Default del recurso. Como el filtro de inclusión de este sumidero está vacío, coincide con todas las entradas de registro. Sin embargo, el filtro de exclusión se configura de la siguiente manera:

NOT LOG_ID("cloudaudit.googleapis.com/activity") AND
NOT LOG_ID("externalaudit.googleapis.com/activity") AND
NOT LOG_ID("cloudaudit.googleapis.com/system_event") AND
NOT LOG_ID("externalaudit.googleapis.com/system_event") AND
NOT LOG_ID("cloudaudit.googleapis.com/access_transparency") AND
NOT LOG_ID("externalaudit.googleapis.com/access_transparency")

Puedes modificar e inhabilitar el sumidero de registro _Default. Por ejemplo, puedes editar el receptor de registro _Default y cambiar el destino. También puede modificar cualquier filtro y añadir filtros de exclusión.

Destinos del sumidero

El destino de un receptor puede estar en un recurso distinto al del receptor. Por ejemplo, puedes usar un sumidero de registros para enrutar entradas de registro de un proyecto a un segmento de registros almacenado en otro proyecto.

Se admiten los siguientes destinos:

Trusted Cloud proyecto

Selecciona este destino si quieres que los sumideros de registros del proyecto de destino redirijan tus entradas de registro o si has creado un sumidero agregado interceptor. Los sumideros de registro del proyecto que es el destino del sumidero pueden redirigir las entradas de registro a cualquier destino admitido, excepto a un proyecto.

Segmento de registros

Selecciona este destino si quieres almacenar los datos de registro en recursos gestionados por Cloud Logging. Los datos de registro almacenados en los contenedores de registro se pueden ver y analizar con servicios como el explorador de registros.

Tema Pub/Sub

Selecciona este destino si quieres exportar tus datos de registro desde Trusted Cloud by S3NS y, a continuación, usar una integración de terceros. Las entradas de registro se formatean en JSON y, a continuación, se dirigen a un tema de Pub/Sub.

Limitaciones de los destinos

En esta sección se describen las limitaciones específicas de cada destino:

• Se aplican las siguientes limitaciones cuando el destino de un receptor de registro es un proyecto de Trusted Cloud :

  • Hay un límite de un salto.
  • Las entradas de registro que coinciden con el filtro del _Requiredsumidero de registros solo se enrutan al _Requiredsegmento de registros del proyecto de destino cuando proceden de él.
  • Solo los receptores agregados que se encuentran en la jerarquía de recursos de una entrada de registro procesan la entrada de registro.

  Por ejemplo, supongamos que el destino de un receptor de registro del proyecto A es el proyecto B. Entonces, se cumplen las siguientes condiciones:

  • Debido al límite de un salto, los receptores de registro del proyecto B no pueden redirigir las entradas de registro a un proyecto Trusted Cloud .
  • El segmento de registros _Required del proyecto B solo almacena entradas de registro que proceden del proyecto B. Este segmento de registro no almacena ninguna entrada de registro que proceda de ningún otro recurso, incluidas las que proceden del proyecto A.
  • Si la jerarquía de recursos del proyecto A y del proyecto B son diferentes, una entrada de registro que un receptor de registro del proyecto A enruta al proyecto B no se envía a los receptores agregados de la jerarquía de recursos del proyecto B.
  • Si el proyecto A y el proyecto B tienen la misma jerarquía de recursos, las entradas de registro se envían a los receptores agregados de esa jerarquía. Si una entrada de registro no se intercepta mediante un receptor agregado, el enrutador de registros envía la entrada de registro a los receptores del proyecto A.

Prácticas recomendadas

Para consultar las prácticas recomendadas sobre el uso del enrutamiento para el gobierno de datos o para casos prácticos habituales, consulta los siguientes documentos:

• Agrega los registros de tu organización en un segmento de registros central

• Regionalizar los registros

• Configurar las CMEK para el enrutamiento de registros

Ejemplos: centralizar el almacenamiento de registros

En esta sección se describe cómo puedes configurar el almacenamiento centralizado. El almacenamiento centralizado proporciona un único lugar para consultar datos de registro, lo que simplifica las consultas cuando buscas tendencias o investigas problemas. Desde el punto de vista de la seguridad, también tienes una ubicación de almacenamiento, lo que puede simplificar las tareas de tus analistas de seguridad.

Si centraliza el almacenamiento de registros, plantéese si quiere poner un embargo en el proyecto que almacena sus datos de registro. Una retención puede evitar que se elimine un proyecto por error. Para obtener más información, consulte Proteger proyectos mediante retenciones.

Centralizar el almacenamiento de registros de proyectos en una carpeta

Supongamos que gestionas una carpeta y quieres centralizar el almacenamiento de tus entradas de registro. En este caso práctico, puedes hacer lo siguiente:

1. En tu carpeta, crea un proyecto llamado CentralStorage.
2. Crea un sumidero agregado interceptor para tu carpeta y configúralo para que enrute todas las entradas de registro. Has definido el destino del receptor como el proyecto CentralStorage.

Cuando llega una entrada de registro que procede de la carpeta o de uno de sus recursos secundarios, se envía al receptor agregado de intercepción que has creado. Este receptor dirige las entradas de registro al proyecto CentralStorage. Los sumideros de registros de este proyecto procesan las entradas de registro:

• El _Defaultsumidero de registros envía al _Default contenedor de registros todas las entradas de registro que coincidan con el filtro del sumidero. Este segmento de registro es tu ubicación de almacenamiento centralizada.

• El _Requiredsumidero de registros envía a un _Requiredcubo de registros las entradas de registro que coinciden con los filtros del sumidero y que proceden del proyecto CentralStorage. Este segmento de registro no es una ubicación de almacenamiento centralizada. Sin embargo, puedes almacenar de forma centralizada todos tus datos de registro. Para ver un ejemplo, consulta Almacenar registros de auditoría en una ubicación centralizada.

Una vez completado el procesamiento del sumidero agregado, la entrada de registro se envía al _Required sumidero de registros del recurso en el que se originó la entrada de registro. Cuando la entrada de registro coincide con el filtro del sumidero de registros _Required, se dirige al segmento de registros _Required del recurso. Por lo tanto, cada proyecto de Trusted Cloud de tu carpeta almacena entradas de registro en su segmento de registros _Required.

Centralizar el almacenamiento de registros de un conjunto de proyectos

También puedes almacenar entradas de registro en una sola ubicación cuando no tengas una organización o una carpeta. Por ejemplo, puedes hacer lo siguiente:

1. Crea un proyecto llamado CentralStorage.
2. En todos los proyectos, excepto en CentralStorage, edita el sumidero de registro _Default y define como destino el proyecto llamado CentralStorage.

Puede que te preguntes por qué en el ejemplo anterior se define el destino de los _Defaultreceptores de registro_Default como un proyecto, en lugar de como el _Defaultcubo de registro_Default de ese proyecto. Los motivos principales son la sencillez y la coherencia. Cuando enrutas entradas de registro a un proyecto, los receptores de registro del proyecto de destino controlan qué entradas de registro se almacenan y dónde se almacenan. Es decir, centralizas las funciones de filtro y de destino. Si quiere cambiar las entradas de registro que se almacenan o dónde se almacenan, solo tiene que modificar los receptores de registro de un proyecto.

Centralizar el almacenamiento de registros de auditoría

Puedes almacenar de forma centralizada las entradas de registro que coincidan con el sumidero de registros _Required. Si quieres almacenar estas entradas de registro de forma centralizada, haz una de las siguientes acciones:

• Crea sumideros de registros que enruten las entradas de registro que coincidan con el sumidero de registros _Required a un segmento de registros centralizado.

• Configura los sumideros de registro como en los dos ejemplos anteriores y, a continuación, añade un sumidero de registro en el proyecto de destino que enrute las entradas de registro que coincidan con el sumidero de registro _Required a un segmento de registro. También puedes editar los filtros en el receptor de registro _Default.

Antes de implementar una estrategia de este tipo, consulta las directrices de precios.

Siguientes pasos

Para obtener ayuda sobre cómo enrutar y almacenar datos de Cloud Logging, consulta los siguientes documentos:

• Para crear sumideros que dirijan las entradas de registro a destinos admitidos, consulta el artículo Dirigir registros a destinos admitidos.

• Para saber cómo crear sumideros agregados que puedan enrutar entradas de registro desde los recursos de carpetas u organizaciones, consulta el artículo Descripción general de los sumideros agregados.

• Para obtener información sobre el formato de las entradas de registro enrutadas y sobre cómo se organizan los registros en los destinos, consulte los siguientes documentos:

  • Ver los registros en los segmentos de registro
  • Consulta los registros enrutados a Pub/Sub de registros.