Es posible que parte de la información de esta página (o toda) no se aplique a Cloud de Confiance de S3NS. Consulta Diferencias con Google Cloud para obtener más detalles.

Se usó la API de Cloud Translation para traducir esta página.

Almacena las entradas de registro

En este documento, se presentan los buckets de registros, que son los contenedores que usa Cloud Logging para almacenar tus datos de registros. Proporciona información sobre la ubicación, la administración de la clave de encriptación y la retención de datos para los buckets de registros. También se destaca dónde puedes usar políticas de la organización o la configuración predeterminada de los recursos para controlar la ubicación y la encriptación de los nuevos buckets de registros en carpetas u organizaciones.

Acerca de los buckets de registros

De forma predeterminada, Cloud Logging encripta el contenido del cliente almacenado en reposo. Los datos que Logging almacena en los buckets de registros se encriptan con claves de encriptación de claves, un proceso conocido como encriptación de sobre. Acceder a tus datos de registro requiere acceso a esas claves de encriptación de claves. De forma predeterminada, estos son Google Cloud-powered encryption keys y no requieren ninguna acción de tu parte.

Es posible que tu organización tenga requisitos de encriptación avanzados, regulatorios o relacionados con el cumplimiento que nuestra encriptación en reposo predeterminada no proporciona. Para cumplir con los requisitos de tu organización, en lugar de usarGoogle Cloud-powered encryption keys, puedes administrar tus propias claves.

Los buckets de registros son recursos regionales con una ubicación fija. Cloud de Confiance by S3NS administra esa infraestructura para que tus aplicaciones estén disponibles de forma redundante en todas las zonas dentro de esa región.

El período de retención de los datos almacenados por un bucket de registros depende del bucket de registros. En este documento, se incluye información sobre la retención de datos.

Puedes crear vistas de registros en un bucket de registros. Una vista de registros proporciona acceso solo a un subconjunto de los datos de registros almacenados en un bucket de registros. Para cada bucket de registros, Cloud Logging crea automáticamente una vista de registros que proporciona acceso a cada entrada de registro en el bucket de registros. Puedes controlar el acceso a una vista de registros con Identity and Access Management (IAM).

Para consultar y ver tus datos de registro, usa el Explorador de registros. En esta página, se te ayuda a solucionar problemas y analizar el rendimiento de tus servicios y aplicaciones. Puedes ver entradas de registro individuales y filtrar tus datos de registro. Esta interfaz tiene un parámetro de configuración de alcance que te permite buscar datos de registro por proyecto, bucket de registros o vista de registro.

Para obtener más información, consulta Cómo consultar y ver entradas de registro.

Compatibilidad con organizaciones y carpetas

Para ayudar a tu organización a satisfacer las necesidades de cumplimiento y reglamentarias, el registro admite tanto las políticas de la organización como la configuración predeterminada de los recursos:

La configuración predeterminada de los recursos especifica la ubicación y la forma en que se administran las claves de encriptación para los buckets de registros creados por el sistema cuando se crean recursos nuevos en una carpeta o una organización. Por ejemplo, puedes forzar que estos buckets de registros creados por el sistema se encuentren en una ubicación específica.
Una política de la organización puede restringir la ubicación de los buckets de registros nuevos definidos por el usuario. El registro admite políticas de la organización que especifican regiones en las que se pueden crear o no buckets de registros.

Buckets de registros creados por el sistema

Para cada proyecto, cuenta de facturación, carpeta u organización de Cloud de Confiance , Cloud Logging crea dos buckets de registros, uno llamado _Required y el otro llamado _Default. A menos que se configure la configuración predeterminada de recursos, para estos buckets de registros, estos buckets tienenGoogle Cloud-powered encryption keys y Cloud Logging selecciona su ubicación.

No puedes borrar los buckets de registros creados por el sistema.

Bucket de registro `_Required`

El bucket de registros _Required almacena las entradas de registro que se requieren para fines de cumplimiento o auditoría. Por este motivo, no puedes borrar este bucket de registros ni modificar las entradas de registro que se almacenan en él. Las entradas de registro en este bucket de registros se conservan durante 400 días, y no puedes cambiar este período de retención.

Las entradas de registro que se almacenan en el bucket de registros _Required de un recurso también se originan en ese recurso. Es decir, el bucket de registros _Required en un proyecto Cloud de Confiance solo puede almacenar entradas de registro que se originan en ese proyecto.

El bucket de registros _Required almacena los siguientes tipos de entradas de registro:

Registros de auditoría de actividad del administrador
Registros de auditoría de eventos del sistema
Registros de auditoría del administrador de Google Workspace
Registros de auditoría de Grupos Enterprise
Registros de auditoría de accesos

Bucket de registro `_Default`

El bucket de registros _Default almacena las entradas de registro que no se almacenan automáticamente en el bucket de registros _Required. Como el bucket de registros _Default se crea de forma automática, no puedes borrarlo. Sin embargo, puedes modificar las entradas de registro que se almacenan en este bucket de registros.

Cloud Logging conserva las entradas de registro en el bucket _Default durante 30 días.

Por ejemplo, este bucket de registros almacena lo siguiente:

Registros de auditoría de acceso a los datos
Registros de auditoría de política denegada
Registros generados por aplicaciones y Cloud de Confiance by S3NS servicios.

Buckets de registros definidos por el usuario

Puedes crear buckets de registros definidos por el usuario en cualquier proyecto deCloud de Confiance . Cuando creas un bucket de registros definido por el usuario, seleccionas la ubicación. Tienes la opción de proporcionar una clave de encriptación administrada por el cliente.

Puedes modificar y borrar los buckets de registros definidos por el usuario. Para evitar que se borre un bucket de registros que almacena entradas de registro dentro de su período de retención, puedes bloquear el bucket de registros para evitar actualizaciones.

Controla el acceso a un bucket de registros

Los permisos y roles de IAM controlan el acceso a los datos de registro. Por ejemplo, puedes hacer lo siguiente:

Otorga acceso de lectura y edición a un bucket de registros.
Otorga acceso de edición a un bucket de registros según la membresía del grupo con etiquetas.
Controla el acceso a campos específicos en una entrada de registro configurando el acceso a nivel de campo en un bucket de registros.
Crea una vista de registros en ese bucket de registros para otorgar acceso a un subconjunto de entradas de registro en un bucket de registros.

Cada bucket de registros tiene una vista de registros predeterminada, que suele incluir todas las entrada de registro del bucket. En el bucket de registros _Default, la vista de registros predeterminada excluye las entradas de registro de acceso a los datos.

Para otorgar a un usuario los permisos que necesita para ver y analizar entradas de registro, por lo general, se le otorga uno de los siguientes roles de IAM:

Rol de Visualizador de registros (roles/logging.viewer): Otorga acceso a todas las entradas de registro en el bucket _Required y acceso a la vista de registros predeterminada en el bucket _Default.
Rol de Private Logs Viewer (roles/logging.privateLogViewer): Otorga acceso a todos los registros de los buckets _Required y _Default, incluidos los registros de acceso a datos.

Si creas buckets de registros o vistas de registros definidos por el usuario en buckets de registros, se requieren permisos adicionales. Para obtener más información sobre los roles, consulta Control de acceso con IAM.

Lista de regiones admitidas

Los buckets de registros son recursos regionales. La infraestructura que almacena, indexa y busca tus entradas de registro se encuentra en una ubicación geográfica específica. Con la excepción de los buckets de registros en las regiones global, eu o us, Cloud de Confiance by S3NS administra la infraestructura para que tus aplicaciones estén disponibles de forma redundante en todas las zonas dentro de la región del bucket de registros.

Cloud Logging admite las siguientes regiones:

Nombre de la región Descripción de la región

u-france-east1 Francia

Nombre de la región	Descripción de la región
`u-france-east1`	Francia
`global`	Registros almacenados en cualquier centro de datos que se encuentre en cualquier región admitida Es posible que los registros se muevan a diferentes centros de datos. No hay garantías de redundancia adicionales. Si deseas elegir la ubicación de almacenamiento de tus datos de registros, usa un bucket de registros regional.

global

Registros almacenados en cualquier centro de datos que se encuentre en cualquier región admitida Es posible que los registros se muevan a diferentes centros de datos. No hay garantías de redundancia adicionales.

Si deseas elegir la ubicación de almacenamiento de tus datos de registros, usa un bucket de registros regional.