Introducción a los logs de Public Cloud

Objetivo

Esta guía le ayuda a comprender los conceptos y el uso de los logs en OVHcloud Public Cloud. Explica cómo se generan, recopilan y consumen los logs, y proporciona enlaces a guías detalladas para suscribirse a los logs de cada servicio Public Cloud (Compute, Block Storage, Load Balancer, etc.).

¿Qué son los logs de Public Cloud?

Los servicios Public Cloud generan logs que le ayudan a supervisar, diagnosticar y analizar su infraestructura cloud.

Cada servicio puede ofrecer distintos tipos de logs, denominados kinds (por ejemplo: access, audit, error), que puede consumir y almacenar según sus necesidades.

Requisitos

Un proyecto Public Cloud en su cuenta de OVHcloud.
Una cuenta de Logs Data Platform.
Al menos un Stream creado en esa cuenta.
Al menos una instancia de un producto compatible con los logs de Public Cloud (consulte la lista que aparece a continuación).

Acceso a través del área de cliente de OVHcloud

Enlace directo:
Ruta de navegación: Public Cloud > Seleccione su proyecto > Seleccione un servicio > Logs

Casos de uso

Diagnóstico de aplicaciones

Los logs de Public Cloud le ayudan a diagnosticar problemas de aplicaciones y de infraestructura proporcionándole acceso a los logs generados por sus servicios. Puede filtrar y buscar en esos logs para identificar anomalías y errores, lo que hace que el diagnóstico y la resolución de problemas sean más eficaces. En las arquitecturas cloud distribuidas, los logs de distintos servicios pueden correlacionarse para obtener una vista completa de su entorno.

Seguridad y conformidad de los datos

Los logs de Public Cloud le ayudan a detectar incidentes de seguridad, a realizar el seguimiento de las acciones administrativas y a cumplir con los requisitos de las certificaciones y las normativas. Al conservar un historial de las operaciones y de los eventos de acceso, los logs aportan pruebas esenciales para las auditorías y las investigaciones de seguridad.

Según el servicio y el destino de logs que elija, el acceso a los logs puede restringirse mediante permisos detallados. De este modo, puede controlar quién puede consultar o gestionar determinados logs, reforzar su postura de seguridad y mejorar la gobernanza global de los datos.

Supervisión de la infraestructura

Los logs de Public Cloud aportan información valiosa sobre el estado y el comportamiento de su infraestructura. Al analizar los logs del servicio y del sistema, puede detectar patrones anómalos, errores o problemas de rendimiento y reaccionar antes de que afecten a sus workloads o a sus usuarios.

Según las herramientas y los destinos que utilice para consumir sus logs, puede crear workflows de supervisión, como alertas o visualizaciones, para comprender mejor la actividad de sus servicios Public Cloud y compartir esta información entre sus equipos.

Servicios Public Cloud compatibles

La siguiente tabla recoge los servicios Public Cloud que actualmente proporcionan logs e indica dónde encontrar las guías correspondientes para activarlos o recuperarlos. La disponibilidad y las funcionalidades pueden variar según el servicio. Esta lista se irá actualizando a medida que nuevos servicios pasen a ser compatibles.

Nombre del producto	Disponibilidad	Enlace a la guía
Public Cloud - Compute	Área de cliente de OVHcloud y API	Próximamente
Public Cloud - Block Storage	Área de cliente de OVHcloud y API	Próximamente
Public Cloud - Network	Área de cliente de OVHcloud y API	Próximamente
Public Cloud - Managed Kubernetes Service	Área de cliente de OVHcloud y API	Transferencia de los audit logs de Managed Kubernetes Service
Public Cloud - Load Balancer	Área de cliente de OVHcloud y API	Transferencia de los logs TCP / HTTP / HTTPS del Load Balancer Public Cloud
Public Cloud - Managed Databases	Área de cliente de OVHcloud y API	Public Cloud Databases - Cómo configurar la transferencia de los logs
Public Cloud - Analytics	Área de cliente de OVHcloud y API	Analytics - Cómo configurar la transferencia de los logs

Procedimiento

Desde el producto

En los servicios Public Cloud que ofrecen funcionalidades de logging, puede acceder a los logs desde el área de cliente de OVHcloud a través de una pestaña Logs dedicada. Esta sección le permite consultar los logs disponibles y configurar su recopilación o su transferencia. Haga clic en esta pestaña para mostrar los dos componentes principales: un panel de live-tail y un panel de suscripción.

Panel live-tail

A la izquierda, el panel live-tail le permite ver los logs de este servicio en tiempo real. Resulta útil para tener una vista rápida de la actividad en curso en este servicio.

Le permite pausar/reanudar el live-tail, vaciar la sesión en curso, desplazarse y buscar:

Panel de suscripción

A la derecha, el panel de suscripción le permite suscribirse a los logs de este servicio para tenerlos disponibles en su cuenta de Logs Data Platform, en el flujo o flujos de datos que elija. Este panel muestra todas sus suscripciones activas a los logs de este servicio y le permite crear nuevas.

Haga clic en Suscribirse (o en Suscribirse a otro flujo de datos si ya tiene suscripciones). Accederá a esta página:

Aquí es donde debe seleccionar el flujo de Logs Data Platform en el que desea que estén disponibles los logs de este servicio. Mediante la lista desplegable situada arriba a la izquierda, seleccione su cuenta de Logs Data Platform. La tabla central muestra todos los flujos de datos de la cuenta de Logs Data Platform seleccionada y le ofrece información sobre cada uno: su nombre/descripción, su retención y si la indexación está activada. También le indica si ese flujo de datos ya tiene otras suscripciones activas a logs.

La última columna contiene los botones Suscribirse y Anular suscripción. Haga clic en Suscribirse para empezar a enviar los logs al flujo de datos seleccionado, o en Anular suscripción para detenerlo.

Puede optar por crear varias suscripciones para un mismo servicio, de modo que sus logs estén disponibles en varios flujos de datos. Esto resulta útil para los casos de uso que se detallan más adelante en esta guía.

Info

Solo los logs de servicio generados después de la creación de la suscripción estarán disponibles en su flujo de datos.
Si decide anular la suscripción, los logs que ya se hayan enviado a su flujo de datos permanecerán en él; solo se eliminarán cuando alcancen la retención configurada para su flujo. Simplemente dejará de ver los logs recién generados.
Logs Data Platform funciona con un modelo de pago por uso: paga en función del volumen de logs enviados a su flujo de datos. Si se suscribe a un producto que no genera ningún log (porque no tiene actividad), no pagará nada.

Tipos de logs (`kinds`)

Un servicio Public Cloud puede ofrecer varios tipos de logs, denominados kinds. Cuando un producto dispone de varios kinds de logs, los paneles live-tail y de suscripciones se contextualizan según el kind seleccionado:

En este ejemplo, tanto la visualización del live-tail como las suscripciones que aparecen en el panel de la derecha hacen referencia al kind REST API audit logs. Si selecciona otro kind en la lista desplegable superior, se mostrará otro contenido de live-tail y otras suscripciones.

Esta división de los logs de un producto en varios kinds le ofrece más flexibilidad. Por ejemplo, si un producto dispone de varios kinds (por ejemplo access, audit, error y ssh) y solo le interesan los logs audit, puede suscribirse únicamente al kind audit e ignorar los demás. Otro ejemplo: le interesan los logs audit y los logs error, pero desea enviarlos a dos flujos de datos distintos: esto es posible creando dos suscripciones basadas en dos kinds diferentes que apunten a dos flujos de datos distintos.

Trataremos este caso de uso más adelante en esta guía.

Desde Logs Data Platform

Ahora que ha creado suscripciones a los logs, puede consumirlos como desee en su flujo de datos de Logs Data Platform. Según sus necesidades, puede configurar su flujo de datos de distintas formas (no excluyentes). Por ejemplo:

Activar la indexación para aprovechar las funcionalidades de OpenSearch/Graylog.
Activar el almacenamiento a largo plazo para conservar sus logs de forma segura durante años.
Activar el web-socket para consumir sus logs desde un software de terceros, como ldp-tail.

Todas las formas posibles de consumir sus logs se resumen en la guía Introducción a Logs Data Platform.

Info

En el caso de los logs de Public Cloud, toda la "generación de logs" y la "ingesta de logs" están gestionadas por OVHcloud. Solo tiene que ocuparse de las partes de "almacenamiento" y "consulta y visualización".

También puede gestionar sus suscripciones a los logs desde el punto de vista de un flujo de datos. Para ello, acceda a la sección Logs Data Platform del , seleccione un servicio y haga clic en la pestaña Flujo de datos. En la tabla que lista sus flujos, podrá ver una columna Suscripciones que indica cuántas suscripciones a los logs apuntan a un flujo determinado.

En esta tabla, haga clic en el botón ... y, a continuación, haga clic en Gestionar las suscripciones. La página siguiente muestra todas las suscripciones a los logs que apuntan a ese flujo de datos:

Para cada suscripción, puede ver el tipo de servicio del que procede, el nombre del servicio y el kind de logs al que está suscrita.

También puede eliminar una suscripción a los logs desde esta vista haciendo clic en el icono de papelera correspondiente.

Uso de la API

Para facilitar sus integraciones con los logs de Public Cloud, hemos hecho que los endpoints de la API sean coherentes entre todos los servicios Public Cloud. Esto significa que todos los productos compatibles exponen el mismo conjunto de endpoints de la API, con los mismos sufijos, los mismos payloads y las mismas respuestas. Los endpoints disponibles son los siguientes:

Método	Ruta	Descripción
`GET`	`/xxx/{serviceName}/log/kind`	Lista los `kinds` de logs del producto
`GET`	`/xxx/{serviceName}/log/kind/{name}`	Obtiene el detalle de un `kind` de logs
`GET`	`/xxx/{serviceName}/log/subscription`	Lista las suscripciones a los logs existentes para esta instancia del producto
`POST`	`/xxx/{serviceName}/log/subscription`	Crea una nueva suscripción a los logs para esta instancia del producto
`GET`	`/xxx/{serviceName}/log/subscription/{subscriptionId}`	Obtiene el detalle de una suscripción a los logs
`DELETE`	`/xxx/{serviceName}/log/subscription/{subscriptionId}`	Elimina una suscripción a los logs
`POST`	`/xxx/{serviceName}/log/url`	Genera una URL temporal para recuperar los logs (utilizada por el live-tail)

Logs de Public Cloud y delegación de servicios entre identidades IAM

Puede encontrarse con casos de uso en los que el producto del que desea recuperar los logs y el servicio Logs Data Platform no pertenezcan a la misma cuenta de OVHcloud. Ejemplo:

Alice es propietaria de una instancia de Managed Kubernetes Service.
Bob es propietario de una instancia de Logs Data Platform.
Alice desea que los logs de sus Managed Kubernetes Services estén disponibles en el flujo de datos de Logs Data Platform de Bob.

Esto es posible gracias a OVHcloud IAM:

Bob debe crear una política IAM para autorizar a la identidad de Alice a utilizar la acción IAM ldp:apiovh:output/graylog/stream/forwardTo sobre su flujo de datos de Logs Data Platform.
Entonces Alice podrá utilizar el endpoint de API POST /cloud/project/{serviceName}/kube/{kubeId}/log/subscription y proporcionar el streamId de Bob en el payload de ese endpoint.

Encontrará más información sobre las políticas IAM en la guía Cómo utilizar las políticas IAM desde el área de cliente de OVHcloud.

Estrategias interesantes

El modelo de logs de Public Cloud le ofrece flexibilidad a la hora de recopilar, aislar y consumir sus logs. En esta sección presentamos algunos patrones habituales. Son solo ejemplos, no constituyen una lista exhaustiva de todas las posibilidades de configuración de los logs de Public Cloud.

Varios productos hacia un único flujo de datos, por entorno

En este ejemplo, supongamos que dispone de una stack técnica compuesta por varios servicios Public Cloud. Esta stack está desplegada en varios entornos (desarrollo, producción). Una estrategia interesante puede consistir en enviar los logs de cada entorno a un flujo de datos distinto y configurar esos dos flujos de datos de forma diferente:

En la configuración anterior:

Todos los logs de su entorno de desarrollo están disponibles en un flujo de datos. Solo la funcionalidad de indexación está activada en ese flujo.
Todos los logs de su entorno de producción están disponibles en otro flujo de datos. La indexación y el almacenamiento a largo plazo están activados en este caso.

Esto significa que:

Los logs de su entorno de desarrollo no se almacenan a largo plazo, ya que probablemente no lo necesita y no desea pagar por ello.
Los logs de su entorno de producción se almacenan en un flujo de datos dedicado, lo que le facilita la configuración de alertas o de paneles basados en ese flujo.

Varios productos hacia varios flujos de datos

Retomemos el mismo ejemplo, en el que dispone de una stack técnica compuesta por varios servicios Public Cloud. Pero en este caso tiene varios equipos, cada uno de los cuales trabaja en un componente diferente. Por motivos de seguridad, desea que el equipo A acceda a los logs del Load Balancer pero no a los de las Managed Databases. Además, tiene un equipo de Seguridad que debe acceder a todos los logs de auditoría de cada componente. Podemos imaginar una configuración como la siguiente: