Es posible que parte o toda la información de esta página no se aplique a Trusted Cloud de S3NS.

Se usó la API de Cloud Translation para traducir esta página.

Almacena las entradas de registro

En este documento, se presentan los buckets de registro, que son los contenedores que Cloud Logging usa para almacenar tus datos de registro. Proporciona información sobre la ubicación, la administración de la clave de encriptación y la retención de datos para los buckets de registro. También se destaca dónde puedes usar las políticas de la organización o la configuración de recursos predeterminada para controlar la ubicación y la encriptación de los buckets de registro nuevos en carpetas o organizaciones.

Acerca de los buckets de registros

De forma predeterminada, Cloud Logging encripta el contenido del cliente almacenado en reposo. Los datos que Logging almacena en los buckets de registros se encriptan con claves de encriptación de claves, un proceso conocido como encriptación de sobre. Acceder a tus datos de registro requiere acceso a esas claves de encriptación de claves. De forma predeterminada, son Google Cloud-powered encryption keys y no requieren ninguna acción de tu parte.

Tu organización puede tener requisitos de encriptación avanzados, regulatorios o relacionados con el cumplimiento que nuestra encriptación en reposo predeterminada no proporciona. Para cumplir con los requisitos de tu organización, en lugar de usar Google Cloud-powered encryption keys, puedes administrar tus propias claves.

Los buckets de registro son recursos regionales con una ubicación fija. Trusted Cloud by S3NS administra esa infraestructura para que tus aplicaciones estén disponibles de forma redundante en todas las zonas dentro de esa región.

El período de retención de los datos almacenados por un bucket de registros depende del bucket de registros. Este documento contiene información sobre la retención de datos.

Puedes crear vistas de registros en un bucket de registros. Una vista de registro proporciona acceso solo a un subconjunto de los datos de registro almacenados en un bucket de registros. Para cada bucket de registros, Cloud Logging crea automáticamente una vista de registros que proporciona acceso a cada entrada de registro en el bucket. Puedes controlar el acceso a una vista de registro con Identity and Access Management (IAM).

Para consultar y ver tus datos de registro, usa el Explorador de registros. Esta página te ayuda a solucionar problemas y analizar el rendimiento de tus servicios y aplicaciones. Puedes ver entradas de registro individuales y filtrar tus datos de registro. Esta interfaz tiene una configuración de alcance, que te permite buscar datos de registro por proyecto, bucket de registros o vista de registro.

Para obtener más información, consulta Cómo consultar y ver entradas de registro.

Compatibilidad con organizaciones y carpetas

Para ayudar a tu organización a satisfacer las necesidades de cumplimiento y reglamentarias, la función de registro admite las políticas de la organización y la configuración predeterminada de los recursos:

La configuración predeterminada de los recursos especifica la ubicación y cómo se administran las claves de encriptación para los buckets de registro creados por el sistema cuando se crean recursos nuevos en una carpeta o organización. Por ejemplo, puedes forzar que estos buckets de registro creados por el sistema estén en una ubicación específica.
Una política de la organización puede restringir la ubicación de los nuevos buckets de registro definidos por el usuario. El registro admite políticas de la organización que especifican regiones en las que se pueden crear o no los buckets de registro.

Buckets de registros creados por el sistema

Para cada Trusted Cloud proyecto, cuenta de facturación, carpeta o organización, Cloud Logging crea dos buckets de registros, uno llamado _Required y el otro llamado _Default. A menos que se configure la configuración de recursos predeterminada, estos buckets de registro tienenGoogle Cloud-powered encryption keys y Cloud Logging selecciona su ubicación.

No puedes borrar los buckets de registro creados por el sistema.

Bucket de registro `_Required`

El bucket de registros _Required almacena las entradas de registro que se requieren para fines de cumplimiento o auditoría. Por este motivo, no puedes borrar este bucket de registros ni modificar las entradas de registro que se almacenan en él. Las entradas de registro de este bucket de registros se retienen durante 400 días, no puedes cambiar este período de retención.

Las entradas de registro que se almacenan en el bucket de registros _Required de un recurso también se originan en ese recurso. Es decir, el bucket de registros _Required en un proyecto Trusted Cloud solo puede almacenar entradas de registro que se originan en ese proyecto.

El bucket de registros _Required almacena los siguientes tipos de entradas de registro:

Registros de auditoría de actividad del administrador
Registros de auditoría de eventos del sistema
Registros de auditoría del administrador de Google Workspace
Registros de auditoría de Grupos Enterprise
Registros de auditoría de accesos

Bucket de registro `_Default`

El bucket de registros _Default almacena entradas de registro que no se almacenan automáticamente en el bucket de registros _Required. Como el bucket de registros _Default es creado por el sistema, no puedes borrarlo. Sin embargo, puedes modificar las entradas de registro que se almacenan en este bucket de registros.

Cloud Logging retiene las entradas de registro en el bucket _Default durante 30 días.

Por ejemplo, este bucket de registros almacena lo siguiente:

Registros de auditoría de acceso a los datos.
Registros de auditoría de política denegada.
Registros generados por aplicaciones y Trusted Cloud by S3NS servicios.

Buckets de registros definidos por el usuario

Puedes crear buckets de registros definidos por el usuario en cualquier proyecto deTrusted Cloud . Cuando creas un bucket de registros definido por el usuario, debes seleccionar la ubicación. Tienes la opción de proporcionar una clave de encriptación administrada por el cliente.

Puedes modificar y borrar los buckets de registros definidos por el usuario. Para evitar borrar un bucket de registros que almacena entradas de registro que se encuentran dentro de su período de retención, puedes bloquear el bucket de registros contra actualizaciones.

Controla el acceso a un bucket de registros

Los permisos y roles de IAM controlan el acceso a los datos de registro. Por ejemplo, puedes hacer lo siguiente:

Otorga acceso de lectura y edición a un bucket de registros.
Usa etiquetas para otorgar acceso de edición a un bucket de registros según la membresía del grupo.
Para controlar el acceso a campos específicos en una entrada de registro, configura el acceso a nivel de campo en un bucket de registro.
Para otorgar acceso a un subconjunto de entradas de registro en un bucket de registros, crea una vista de registro en ese bucket de registros.

Cada bucket de registros tiene una vista de registro predeterminada, que suele incluir todas las entrada de registro del bucket de registros. En el bucket de registros _Default, la vista de registro predeterminada excluye las entradas de registro de acceso a los datos.

Para otorgar a un usuario los permisos que necesita para ver y analizar las entradas de registro, por lo general, se otorga uno de los siguientes roles de IAM:

Rol de visualizador de registros (roles/logging.viewer): Otorga acceso a todas las entradas de registro del bucket _Required y a la vista de registro predeterminada del bucket _Default.
Rol de Visor de registros privados (roles/logging.privateLogViewer): Otorga acceso a todos los registros de los buckets _Required y _Default, incluidos los registros de acceso a los datos.

Si creas buckets de registros definidos por el usuario o vistas de registros en buckets de registros, se requieren permisos adicionales. Para obtener más información sobre los roles, consulta Control de acceso con IAM.

Lista de regiones compatibles

Los buckets de registros son recursos regionales. La infraestructura que almacena, indexa y busca tus entradas de registro se encuentra en una ubicación geográfica específica. Con la excepción de los buckets de registros en las regiones global, eu o us, Trusted Cloud by S3NS administra la infraestructura para que tus aplicaciones estén disponibles de forma redundante en todas las zonas dentro de la región del bucket de registros.

Cloud Logging admite las siguientes regiones:

Nombre de la región Descripción de la región

u-france-east1 Francia

Nombre de la región	Descripción de la región
`u-france-east1`	Francia
`global`	Registros almacenados en cualquier centro de datos que se encuentre en cualquier región admitida Los registros se pueden mover a diferentes centros de datos. No hay garantías de redundancia adicionales. Si deseas elegir la ubicación de almacenamiento de tus datos de registro, usa un bucket de registros regional.

global

Registros almacenados en cualquier centro de datos que se encuentre en cualquier región admitida Los registros se pueden mover a diferentes centros de datos. No hay garantías de redundancia adicionales.

Si deseas elegir la ubicación de almacenamiento de tus datos de registro, usa un bucket de registros regional.