Configure contentores de registos

Este documento descreve como criar e gerir contentores do Cloud Logging através da Google Cloud consola, da CLI Google Cloud e da API Logging. Também fornece instruções para criar e gerir contentores de registos ao Google Cloud nível do projeto. Não pode criar contentores de registos ao nível da pasta nem da organização. No entanto, o Cloud Logging cria automaticamente contentores de registos _Default e _Required ao nível da pasta e da organização para si.

Para uma vista geral conceptual dos contentores, consulte o artigo Vista geral do encaminhamento e do armazenamento: contentores de registos.

Este documento não descreve como criar um contentor de registos que use uma chave de encriptação gerida pelo cliente (CMEK). Se tiver interesse nesse tópico, consulte Configure a CMEK para o armazenamento de registos.

Antes de começar

Para começar a usar contentores, faça o seguinte:

Crie um contentor

Pode criar um máximo de 100 contentores por Google Cloud projeto.

Para criar um contentor de registos definido pelo utilizador para o seu Google Cloud projeto, faça o seguinte:

Google Cloud consola

Para criar um contentor de registos no seu Google Cloud projeto, faça o seguinte:

  1. Na Google Cloud consola, aceda à página Armazenamento de registos:

    Aceda a Armazenamento de registos

    Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cuja legenda é Registo.

  2. Clique em Criar contentor de registos.

  3. Introduza um Nome e uma Descrição para o seu contentor.

  4. Opcional: para selecionar a região de armazenamento dos seus registos, clique no menu Selecionar região do contentor de registos e selecione uma região. Se não selecionar uma região, é usada a região global, o que significa que os registos podem estar fisicamente localizados em qualquer região suportada.

  5. Opcional: para definir um período de retenção personalizado para os registos no contentor, clique em Seguinte.

    No campo Período de retenção, introduza o número de dias, entre 1 dia e 3650 dias, durante os quais quer que o Cloud Logging retenha os seus registos. Se não personalizar o período de retenção, a predefinição é 30 days.

    Também pode atualizar o seu contentor para aplicar a retenção personalizada depois de o criar.

  6. Clique em Criar contentor.

    Estes passos podem demorar alguns instantes a serem concluídos.

gcloud

Para criar um contentor de registos, execute o comando gcloud logging buckets create:

gcloud logging buckets create BUCKET_ID --location=LOCATION

Por exemplo, se quiser criar um contentor com o BUCKET_ID my-bucket na região global, o comando teria o seguinte aspeto:

gcloud logging buckets create my-bucket --location global --description "My first bucket"

REST

Para criar um contentor, use o método projects.locations.buckets.create. Prepare os argumentos para o método da seguinte forma:

  1. Defina o parâmetro parent para que seja o recurso no qual criar o contentor: projects/PROJECT_ID/locations/LOCATION

    A variável LOCATION refere-se à região na qual quer que os seus registos sejam armazenados.

    Por exemplo, se quiser criar um contentor para o projeto my-project na região global, o parâmetro parent teria o seguinte aspeto: projects/my-project/locations/global

  2. Defina o parâmetro bucketId; por exemplo, my-bucket.

  3. Chame o método síncrono projects.locations.buckets.create para criar o contentor.

Depois de criar um contentor, crie um destino para encaminhar as entradas de registo para o seu contentor e configure as visualizações de registos para controlar quem pode aceder aos registos no seu novo contentor e a que registos têm acesso. Também pode atualizar o contentor para configurar a retenção personalizada e os campos restritos.

Faça a gestão dos contentores

Esta secção descreve como gerir os contentores de registos através da CLI Google Cloud ou da Google Cloud consola.

Atualize um contentor

Para atualizar as propriedades do seu contentor, como a descrição ou o período de retenção, faça o seguinte:

Google Cloud consola

Para atualizar as propriedades do contentor, faça o seguinte:

  1. Na Google Cloud consola, aceda à página Armazenamento de registos:

    Aceda a Armazenamento de registos

    Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cuja legenda é Registo.

  2. No contentor que quer atualizar, clique em Mais.

  3. Selecione Editar limite.

  4. Edite o seu conjunto conforme necessário.

  5. Clique em Atualizar contentor.

gcloud

Para atualizar as propriedades do seu contentor, execute o comando gcloud logging buckets update:

gcloud logging buckets update BUCKET_ID --location=LOCATION UPDATED_ATTRIBUTES

Por exemplo:

gcloud logging buckets update my-bucket --location=global --description "Updated description"

REST

Para atualizar as propriedades do seu contentor, use projects.locations.buckets.patch na API Logging.

Bloqueie um contentor

Quando bloqueia um contentor contra atualizações, também bloqueia a política de retenção do contentor. Depois de uma política de retenção ser bloqueada, não pode eliminar o contentor até que todas as entradas de registo no contentor tenham cumprido o período de retenção do contentor. Se quiser evitar a eliminação acidental de um projeto que contenha um contentor de registos bloqueado, adicione uma restrição ao projeto. Para saber mais, consulte o artigo Proteger projetos com hipotecas.

Para impedir que alguém atualize ou elimine um contentor de registos, bloqueie o contentor. Para bloquear o contentor, faça o seguinte:

Google Cloud consola

A consola Google Cloud não suporta o bloqueio de um contentor de registos.

gcloud

Para bloquear o seu contentor, execute o comando gcloud logging buckets update com a flag --locked:

gcloud logging buckets update BUCKET_ID --location=LOCATION --locked

Por exemplo:

gcloud logging buckets update my-bucket --location=global --locked

REST

Para bloquear os atributos do seu contentor, use projects.locations.buckets.patch na API Logging. Defina o parâmetro locked como true.

Listar contentores

Para listar os contentores de registos associados a um Google Cloud projeto e ver detalhes como as definições de retenção, faça o seguinte:

Google Cloud consola

Na Google Cloud consola, aceda à página Armazenamento de registos:

Aceda a Armazenamento de registos

Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cuja legenda é Registo.

Uma tabela denominada Recipientes de registos apresenta os recipientes associados ao projeto Google Cloud atual.

A tabela apresenta os seguintes atributos para cada contentor de registos:

  • Nome: o nome do contentor de registos.
  • Descrição: a descrição do contentor.
  • Período de retenção: o número de dias durante os quais os dados do contentor vão ser armazenados pelo Cloud Logging.
  • Região: a localização geográfica na qual os dados do contentor são armazenados.
  • Estado: se o contentor está bloqueado ou desbloqueado.

Se um contentor estiver com eliminação pendente pelo Cloud Logging, a respetiva entrada na tabela é anotada com um símbolo de aviso.

gcloud

Execute o comando gcloud logging buckets list:

gcloud logging buckets list

Vê os seguintes atributos para os contentores de registos:

  • LOCATION: A região na qual os dados do contentor são armazenados.
  • BUCKET_ID: o nome do segmento de registo.
  • RETENTION_DAYS: o número de dias durante os quais os dados do contentor vão ser armazenados pelo Cloud Logging.
  • LIFECYCLE_STATE: Indica se o contentor está pendente de eliminação pelo Cloud Logging.
  • LOCKED: se o contentor está bloqueado ou desbloqueado.
  • CREATE_TIME: uma data/hora que indica quando o contentor foi criado.
  • UPDATE_TIME: uma data/hora que indica quando o contentor foi modificado pela última vez.

Também pode ver os atributos de apenas um grupo. Por exemplo, para ver os detalhes do contentor de registos _Default na região global, execute o comando gcloud logging buckets describe:

gcloud logging buckets describe _Default --location=global

REST

Para listar os contentores de registos associados a um Google Cloud projeto, use projects.locations.buckets.list na API Logging.

Veja os detalhes de um depósito

Para ver os detalhes de um único contentor de registos, faça o seguinte:

Google Cloud consola

Na Google Cloud consola, aceda à página Armazenamento de registos:

Aceda a Armazenamento de registos

Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cuja legenda é Registo.

No contentor de registos, clique em Mais e, de seguida, selecione Ver detalhes do contentor.

A caixa de diálogo apresenta os seguintes atributos para o contentor de registos:

  • Nome: o nome do contentor de registos.
  • Descrição: a descrição do contentor de registos.
  • Período de retenção: o número de dias durante os quais os dados do contentor vão ser armazenados pelo Cloud Logging.
  • Região: a localização geográfica na qual os dados do contentor são armazenados.

gcloud

Execute o comando gcloud logging buckets describe.

Por exemplo, o seguinte comando comunica os detalhes do _Default recipiente:

gcloud logging buckets describe _Default --location=global

São apresentados os seguintes atributos para o contentor de registos:

  • createTime: uma data/hora que indica quando o contentor foi criado.
  • description: a descrição do contentor de registos.
  • lifecycleState: Indica se o contentor está pendente de eliminação pelo Cloud Logging.
  • name: o nome do segmento de registo.
  • retentionDays: o número de dias durante os quais os dados do contentor vão ser armazenados pelo Cloud Logging.
  • updateTime: uma data/hora que indica quando o contentor foi modificado pela última vez.

REST

Para ver os detalhes de um único contentor de registos, use projects.locations.buckets.get na API Logging.

Elimine um contentor

Pode eliminar contentores de registos que satisfaçam uma das seguintes condições:

  • O contentor de registos está desbloqueado.
  • O contentor de registos está bloqueado e todas as entradas de registo no contentor de registos cumpriram o período de retenção do contentor.

Não pode eliminar um contentor de registos bloqueado contra atualizações quando esse contentor de registos armazena entradas de registo que não cumpriram o período de retenção do contentor.

Depois de emitir o comando de eliminação, o contentor de registos passa para o estado DELETE_REQUESTED e permanece nesse estado durante 7 dias. Durante este período, o Logging continua a encaminhar os registos para o contentor de registos. Pode parar o encaminhamento de registos para o contentor de registos eliminando ou modificando os destinos de registos que encaminham entradas de registos para o contentor.

Não pode criar um novo contentor de registos que use o mesmo nome de um contentor de registos que esteja no estado DELETE_REQUESTED.

Para eliminar um contentor de registos, faça o seguinte:

Google Cloud consola

Para eliminar um contentor de registos, faça o seguinte:

  1. Na Google Cloud consola, aceda à página Armazenamento de registos:

    Aceda a Armazenamento de registos

    Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cuja legenda é Registo.

  2. Localize o contentor que quer eliminar e clique em Mais.

  3. Selecione Eliminar contentor.

  4. No painel de confirmação, clique em Eliminar.

  5. Na página Armazenamento de registos, o seu contentor tem um indicador de que a eliminação está pendente. O contentor, incluindo todos os registos no mesmo, é eliminado após 7 dias.

gcloud

Para eliminar um contentor de registos, execute o comando gcloud logging buckets delete:

gcloud logging buckets delete BUCKET_ID --location=LOCATION

Não pode eliminar um contentor de registos quando este tem um conjunto de dados do BigQuery associado:

REST

Para eliminar um contentor, use projects.locations.buckets.delete na API Logging.

Restaure um contentor eliminado

Pode restaurar ou anular a eliminação de um contentor de registos que esteja no estado de eliminação pendente. Para restaurar um contentor de registos, faça o seguinte:

Google Cloud consola

Para restaurar um contentor de registos com eliminação pendente, faça o seguinte:

  1. Na Google Cloud consola, aceda à página Armazenamento de registos:

    Aceda a Armazenamento de registos

    Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cuja legenda é Registo.

  2. Para o contentor que quer restaurar, clique em Mais e, de seguida, selecione Restaurar contentor eliminado.

  3. No painel de confirmação, clique em Restaurar.

  4. Na página Armazenamento de registos, o indicador de eliminação pendente é removido do contentor de registos.

gcloud

Para restaurar um contentor de registos com eliminação pendente, execute o comando gcloud logging buckets undelete:

gcloud logging buckets undelete BUCKET_ID --location=LOCATION

REST

Para restaurar um contentor com eliminação pendente, use projects.locations.buckets.undelete na API Logging.

Escreva num contentor

Não escreve diretamente registos num contentor de registo. Em vez disso, escreve registos num Google Cloud recurso: um Google Cloud projeto, uma pasta ou uma organização. Em seguida, os destinos no recurso principal encaminham os registos para destinos, incluindo contentores de registos. Um destino encaminha os registos para um contentor de registos quando os registos correspondem ao filtro do destino e o destino tem autorização para encaminhar os registos para o contentor de registos.

Leia a partir de um contentor

Cada contentor de registos tem um conjunto de vistas de registos. Para ler registos de um contentor de registo, precisa de acesso a uma visualização de registos no contentor de registo. As visualizações de registos permitem-lhe conceder a um utilizador acesso apenas a um subconjunto dos registos armazenados num contentor de registos. Para obter informações sobre como configurar visualizações de registos e como conceder acesso a visualizações de registos específicas, consulte o artigo Configure visualizações de registos num contentor de registos.

Para ler registos de um contentor de registos, faça o seguinte:

Google Cloud consola

  1. Na Google Cloud consola, aceda à página Explorador de registos:

    Aceda ao Explorador de registos

    Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cuja legenda é Registo.

  2. Para personalizar os registos apresentados no Explorador de registos, clique em Refinar âmbito e, de seguida, selecione uma opção. Por exemplo, pode ver registos armazenados num projeto ou por visualização de registos.

  3. Clique em Aplicar. O painel Resultados da consulta é recarregado com registos que correspondem à opção selecionada.

Para mais informações, consulte o artigo Vista geral do Explorador de registos: restringir âmbito.

gcloud

Para ler registos de um contentor de registos, use o comando gcloud logging read e adicione um LOG_FILTER para selecionar dados:

gcloud logging read LOG_FILTER --bucket=BUCKET_ID --location=LOCATION --view=LOG_VIEW_ID

REST

Para ler registos de um contentor de registos, use o método entries.list. Defina resourceNames para especificar o contentor e a vista de registo adequados e defina filter para selecionar dados.

Para obter informações detalhadas sobre a sintaxe de filtragem, consulte o artigo Linguagem de consulta de registo.

Configure a retenção personalizada

Quando cria um contentor de registos, tem a opção de personalizar o período durante o qual o Cloud Logging armazena os registos do contentor. Pode configurar o período de retenção para qualquer contentor de registos definido pelo utilizador e também para o contentor de registos _Default. Não pode alterar o período de retenção do contentor de registos _Required.

Se reduzir a retenção de um contentor, existe um período de tolerância de 7 dias durante o qual os registos expirados não são eliminados. Não pode consultar nem ver esses registos expirados, mas, nesses 7 dias, pode restaurar o acesso total prolongando a retenção do contentor. Os registos armazenados durante o período de tolerância contam para os seus custos de retenção.

Para atualizar o período de retenção de um contentor de registos personalizado ou do contentor de registos _Default, faça o seguinte:

Google Cloud consola

Para atualizar o período de retenção de um contentor de registos, faça o seguinte:

  1. Na Google Cloud consola, aceda à página Armazenamento de registos:

    Aceda a Armazenamento de registos

    Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cuja legenda é Registo.

  2. Para o grupo que quer atualizar, clique em Mais e, de seguida, selecione Editar grupo.

  3. No campo Retenção, introduza o número de dias, entre 1 dia e 3650 dias, durante os quais quer que o Cloud Logging retenha os seus registos.

  4. Clique em Atualizar contentor. A nova duração da retenção aparece na lista do contentor de registos.

gcloud

Para atualizar o período de retenção de um contentor de registos, execute o comando gcloud logging buckets update depois de definir um valor para RETENTION_DAYS:

gcloud logging buckets update BUCKET_ID  --location=LOCATION --retention-days=RETENTION_DAYS

Por exemplo, para reter os registos no contentor _Default na localização global durante um ano, o comando seria semelhante ao seguinte:

gcloud logging buckets update _Default --location=global --retention-days=365

Se prolongar o período de retenção de um contentor, as regras de retenção aplicam-se a partir desse momento e não retroativamente. Não é possível recuperar os registos após o período de retenção aplicável terminar.

Resolva problemas comuns

Se tiver problemas ao usar contentores de registos, consulte os seguintes passos de resolução de problemas e respostas a perguntas comuns.

Por que motivo não consigo eliminar este contentor?

Se estiver a tentar eliminar um contentor, faça o seguinte:

  • Verifique se tem as autorizações corretas para eliminar o contentor. Para ver a lista das autorizações de que precisa, consulte o artigo Controlo de acesso com a IAM.

  • Determine se o contentor está bloqueado listando os atributos do contentor. Se o contentor estiver bloqueado, verifique o período de retenção do contentor. Não é possível eliminar um contentor bloqueado até que todos os registos no contentor tenham cumprido o período de retenção do contentor.

Que contas de serviço estão a encaminhar registos para o meu contentor?

Para determinar se alguma conta de serviço tem autorizações da IAM para encaminhar registos para o seu contentor, faça o seguinte:

  1. Na Google Cloud consola, aceda à página IAM:

    Aceda ao IAM

    Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cujo subtítulo é IAM e administração.

  2. No separador Autorizações, veja por Funções. É apresentada uma tabela com todas as funções e os principais da IAM associados ao seuGoogle Cloud projeto.

  3. Na caixa de texto Filtro da tabela, introduza Logs Bucket Writer.

    Verá todos os principais com a função Logs Bucket Writer. Se um principal for uma conta de serviço, o respetivo ID contém a string .

  4. Opcional: se quiser impedir que uma conta de serviço encaminhe registos para o seu projeto Google Cloud , selecione a caixa de verificação da conta de serviço e clique em Remover.

Por que motivo vejo registos de um Google Cloud projeto, mesmo que os tenha excluído do meu destino _Default?

Pode estar a ver registos num contentor de registos num projeto centralizado Google Cloud , que agrega registos de toda a sua organização.

Se estiver a usar o Explorador de registos para aceder a estes registos e vir registos que excluiu do destino _Default, a sua vista pode estar definida ao Google Cloud nível do projeto.

Para corrigir este problema, selecione Vista de registo no menu Refinar âmbito e, em seguida, selecione a vista de registo associada ao contentor _Default no seu Google Cloud projeto. Já não deve ver os registos excluídos.

O que se segue?

Para informações sobre os métodos da API de contentores de registos, consulte a documentação de referência LogBucket.

Se gerir uma organização ou uma pasta, pode especificar a localização dos contentores de registos _Default e _Required de recursos subordinados. Também pode configurar se os contentores de registos usam a CMEK e o comportamento do _Default coletor de registos. Para mais informações, consulte o artigo Configure as predefinições para organizações e pastas.

Para informações sobre como abordar exemplos de utilização comuns com contentores de registos, consulte os seguintes tópicos: