En este documento, se describe cómo graficar los resultados de consultas del Análisis de registros, que te permite identificar patrones y tendencias en tus datos de registro. El Análisis de registros te permite buscar y agregar registros para generar estadísticas útiles mediante consultas de SQL.
Después de ejecutar una consulta, los resultados se pueden ver en una tabla o convertir en un gráfico, y la consulta y su visualización se pueden guardar en un panel.
Por ejemplo, para ver qué tipos de gravedad generan tus registros, crea un gráfico que muestre los recuentos de registros generados en las últimas 12 horas y desglosa los registros por severity. En la siguiente captura de pantalla, se ilustran los datos desglosados en diferentes tipos de gravedad:
Antes de comenzar
-
Para obtener los permisos que necesitas para usar el Análisis de registros, solicita a tu administrador que te otorgue el los siguientes roles de IAM en tus buckets o vistas de registros:
-
Consulta los buckets de registros
_Requiredy_Default: Visualizador de registros (roles/logging.viewer). -
Para consultar todas las vistas de registro de un proyecto, usa el Descriptor de acceso de vista de registros (
roles/logging.viewAccessor). -
Para consultar registros en una vista de registros específica, haz lo siguiente:
Crea una política de IAM para la vista de registros o restringe el rol de Acceso a la vista de registros (
roles/logging.viewAccessor) a una vista de registros determinada. Para obtener más información, consulta Controla el acceso a una vista de registro.
-
Consulta los buckets de registros
-
Para obtener los permisos que necesitas para crear gráficos, pídele a tu administrador que te otorgue el rol de IAM de editor de Monitoring (
roles/monitoring.editor) en tu proyecto. Para las vistas de registro que deseas consultar, ve a la página Almacenamiento de registros y verifica que los buckets de registros que almacenan esas vistas de registro se hayan actualizado para usar Log Analytics. Si es necesario, actualiza el bucket de registros.
- Opcional: Si deseas consultar tus datos de registro con un conjunto de datos de BigQuery, por ejemplo, si planeas usar la página BigQuery Studio, crea un conjunto de datos de BigQuery vinculado.
Selecciona los datos que quieres graficar
Para configurar qué datos se mostrarán en un gráfico, crea una consulta con SQL. Cuando seleccionas la pestaña Gráfico, Logging genera automáticamente un gráfico basado en tu consulta resultados. Después de ejecutar la consulta y generar un gráfico, puedes cambiar el tipo de gráfico y seleccionar columnas para ver datos diferentes.
Para ver los resultados de tu consulta como un gráfico, ejecuta una consulta de la siguiente manera:
-
En la consola de Google Cloud, ve a la página Análisis de registros:
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.
En el panel Consulta, ingresa una consulta y, luego, haz clic en Ejecutar.
Cuando se complete la consulta, en la pestaña Resultados, selecciona cómo deseas para ver los resultados de la consulta:
Tabla: Solo formato tabular.
Gráfico: Solo formato de gráfico
Ambos: Formato de gráfico y tabular.
Después de seleccionar cómo ver los resultados de tu consulta, puedes configurar cualquier campo para la visualización seleccionada y, luego, guardar la consulta y los resultados en un panel personalizado. El formato guardado es tabular cuando seleccionas la opción Tabla. De lo contrario, el formato es un gráfico.
En el caso de los gráficos, las opciones de visualización te permiten seleccionar el tipo de gráfico, y seleccionar qué filas y columnas se representarán en el gráfico. Para obtener más información sobre la configuración de los gráficos, consulta Cómo personalizar la configuración de los gráficos.
Cómo personalizar la configuración del gráfico
Para personalizar la configuración del gráfico, cambia el tipo, selecciona la dimensión y la medida para crear un gráfico y aplicar un desglose. El Dimensión se usa para agrupar o categorizar filas y es el valor del eje X. La medida, o el valor del eje Y, es una serie de datos que se grafica en el eje Y.
Cambiar tipo de gráfico
Puedes seleccionar uno de los siguientes tipos de gráficos, según el tipo de fila y las columnas que seleccionaste como la dimensión y la medición, y cómo quieres que visualizar los datos.
Gráfico de barras (predeterminado): Los gráficos de barras trazan datos en dos ejes. Si tu gráfico usa una categoría o una cadena como la dimensión, puedes establecer la configuración de un gráfico de barras en horizontal o vertical, donde se intercambian los ejes de dimensión y medición.
Gráfico de líneas: Los gráficos de líneas se pueden usar para mostrar los cambios de los datos a lo largo del tiempo. Cuando usas una línea gráfico, cada serie temporal se muestra con una línea diferente que corresponde las mediciones que seleccionaste.
Si el eje X se basa en el tiempo, cada dato se coloca al comienzo de un intervalo de tiempo. Cada punto de datos está conectado por interpolación lineal.
Gráfico de áreas apiladas: Un gráfico de áreas se basa en un gráfico de líneas, y el área debajo de cada línea es sombreada. En los gráficos de áreas, las series de datos se apilan. Por ejemplo, si tienes dos series idénticas, la serie se superpone en un gráfico de líneas, pero El área sombreada se apila en un gráfico de áreas.
Gráfico circular: Un gráfico circular muestra cómo las categorías de un conjunto de datos se relacionan con el conjunto completo. Para ello, usa un círculo para representar el conjunto completo y cuñas en el círculo para representar las categorías del conjunto de datos. El tamaño de una cuña indica en qué medida, a menudo como porcentaje, contribuye la categoría el conjunto.
Tabla: Una tabla muestra una fila para cada fila del resultado de la consulta. Las columnas de la tabla se definen con la cláusula
SELECT. Si planeas mostrar datos en forma tabular en un panel, usa una cláusulaLIMITpara restringir la cantidad de filas en el resultado a menos de unas pocas centenas.Indicador o cuadro de evaluación: Los indicadores y los cuadros de evaluación te proporcionan el valor más reciente junto con una indicación verde, ámbar o roja según cómo se compare ese valor con un conjunto de umbrales. A diferencia de los medidores, que solo muestran información sobre los valor, los cuadros de evaluación también pueden incluir información sobre valores anteriores.
Los indicadores y cuadros de evaluación solo pueden mostrar el resultado de la consulta resultado contiene al menos una fila, y esa fila contiene una columna con una y una columna con datos numéricos. El resultado de la consulta puede contener varias filas y más de dos columnas.
Si deseas realizar la agregación basada en el tiempo como parte de tu consulta, luego, haz lo siguiente:
Configura tu consulta para agregar datos en un intervalo de tiempo y ordenarlos los resultados por marcas de tiempo descendentes y para limitar el número filas en los resultados. Puedes usar la cláusula
LIMITo la selector de intervalo de tiempo para limitar el número de filas en el resultado de la consulta.Por ejemplo, la siguiente consulta agrega datos por hora, aplica un límite y ordena los resultados:
SELECT TIMESTAMP_TRUNC(timestamp, HOUR) AS hour, severity, COUNT(*) AS count FROM `TABLE_NAME_OF_LOG_VIEW` WHERE severity IS NOT NULL AND severity = "DEFAULT" GROUP BY hour,severity ORDER BY hour DESC LIMIT 10Establece Dimensión para que coincida con la columna que informa la unidad de tiempo. Por ejemplo, si tu consulta agrega datos por una hora y crea un denominada
houry, luego, establece el menú Dimensión enhour.Selecciona Inhabilitar intervalo porque tu consulta ya especifica la como el intervalo de agregación. En el ejemplo, este intervalo es de una hora.
Establece Medición en la columna numérica y establece la función en ninguna.
Si deseas usar Log Analytics para que realice la agregación basada en el tiempo por ti, haz lo siguiente:
- Configura el selector de intervalo de tiempo, que afecta la cantidad de filas en el resultado de la consulta.
- Establece la dimensión para que coincida con la columna que informa la unidad de tiempo.
Por ejemplo, puedes establecer este menú en
timestamp. - En el menú Intervalo, establece el intervalo de agregación en un determinado
durante un intervalo de tiempo determinado. Por ejemplo, establece el valor de este campo en
1 hour. No selecciones Intervalo automático. - Establece la medida en la columna numérica y selecciona una función, como sum.
Cambie la dimensión y la medición
Puedes elegir qué filas y columnas se incluyen en el gráfico seleccionando la dimensión y los campos de medición y medición.
Dimensión
La dimensión debe ser una columna de marca de tiempo, numérica o de cadena. De forma predeterminada, la dimensión se establece en la primera columna basada en marca de tiempo en el esquema. Si no hay ninguna marca de tiempo en la consulta, se selecciona la primera columna de cadena como la dimensión. También puedes personalizar la dimensión el panel Visualización del gráfico. Cuando se selecciona una columna de marca de tiempo como dimensión, el gráfico muestra cómo cambian los datos con el tiempo.
Por defecto, el intervalo para las marcas de tiempo pero también puedes seleccionar un intervalo personalizado. Cambio de intervalos automáticos valores basados en el selector de intervalo de tiempo para mantener grupos de tamaño similar.
También puedes inhabilitar el intervalo, lo que te permite especificar tus propias agregaciones y períodos dentro de la consulta para realizar un análisis más complejo. Cuando se inhabilita el intervalo, se establece la función de agregación de las mediciones. a
none. Solo se permiten mediciones numéricas cuando el intervalo de dimensiones está inhabilitada.Medir
Puedes seleccionar varias mediciones en el panel Chart display. Cuando seleccionas una medida, también debes seleccionar la función de agregación que se realizará en sus valores agrupados, como
count,sum,averageypercentile-99. Por ejemplo,count-distinctmuestra la cantidad de valores únicos en una columna determinada.Si seleccionas la casilla de verificación Inhabilitar intervalo para la dimensión, la opción de la función de agregación
noneestará disponible. Si la dimensión es un valor de cadena, no se muestra la casilla de verificación Inhabilitar intervalo. Sin embargo, establecer las funciones de agregación de una medición ennonetambién inhabilita la durante un intervalo de tiempo determinado.
Agrega un desglose
Para dividir una sola serie de datos en varias series de datos basadas en otra columna, agrega un desglose.
Cuando selecciones un desglose, elige columnas que contengan una pequeña cantidad de etiquetas breves y significativas, como region_name, en lugar de campos que puedan contener una gran cantidad de cadenas o cadenas largas, como textPayload.
Por ejemplo, observa la siguiente configuración del gráfico, en la que el campo Dimension está configurado como type, el campo Measure está configurado como Count rows y el campo Breakdown está configurado como severity:
El siguiente es un ejemplo de un gráfico con un desglose adicional:
En la captura de pantalla anterior, se muestra una serie de datos apilados, en la que el tipo de recurso k8s_container se divide en diferentes tipos de severity. Esto te permite
identificar cuántos registros de cada tipo de gravedad generó un determinado
recurso.
Guarda un gráfico en un panel personalizado
Después de que se genera un gráfico a partir de tu consulta, puedes guardarlo en un panel personalizado. Los paneles personalizados te permiten mostrar y organizar la información que te resulta útil mediante una variedad de tipos de widgets. Por ejemplo, puedes crear un panel que proporcione detalles sobre el uso de tus buckets de Cloud Storage:
Para guardar el gráfico en un panel, haz lo siguiente:
-
En la consola de Google Cloud, ve a la página Análisis de registros:
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.
Ejecuta una consulta para generar un gráfico y, luego, haz clic en
Guarda el gráfico en la pestaña Gráfico.En el cuadro de diálogo Guardar en el panel, ingresa un título para el gráfico y selecciona el panel en el que deseas guardarlo.
Opcional: Para ver el panel personalizado, en la notificación, haz clic en Ver panel.
Para ver una lista de paneles personalizados que contienen gráficos generados por las consultas de SQL de Log Analytics, ve al botón Guardar gráfico y haz clic en arrow_drop_down Menú.
Cómo editar un gráfico guardado en un panel personalizado
Para editar los gráficos generados por consultas en SQL de Análisis de registros que se guardan en un consulta Modifica la configuración de un widget. En el cuadro de diálogo Configurar widget, puedes editar la consulta que se usa para generar un gráfico o personalizar la configuración del gráfico para visualizar datos diferentes.
Limitaciones
Si tu proyecto de Google Cloud se encuentra en una carpeta que usa Assured Workloads, los gráficos que generas no se pueden mostrar en un panel personalizado.
Los filtros a nivel del panel no se aplican a los gráficos generados a partir de un Consulta en SQL del Análisis de registros.
Consultas de muestra
En esta sección, se proporcionan consultas de SQL de ejemplo para graficar los resultados de tus consultas. Para obtener estadísticas más útiles de tus registros, personaliza la configuración del gráfico. Para usar las consultas de muestra, haz lo siguiente:
-
En la consola de Google Cloud, ve a la página Análisis de registros:
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.
Identifica el nombre de la tabla de la vista de registro que deseas consultar.
Para identificar este nombre, ve a la lista Vistas de registro. ubica la vista de registro y, luego, selecciona Consulta. El panel Consulta se propaga con una consulta predeterminada, que Incluye el nombre de la tabla de la vista del registro que se consulta. El nombre de la tabla tiene el formato
project_ID.region.bucket_ID.view_ID.Para obtener más información sobre cómo acceder a la consulta predeterminada, visita Consulta una vista de registro.
Reemplaza TABLE_NAME_OF_LOG_VIEW por el nombre de la tabla de la vista de registro que deseas consultar y, luego, copia la consulta.
Pega la consulta en el panel Consulta y, luego, haz clic en Ejecutar consulta.
Muestra un gráfico de las entradas de registro por ubicación y gravedad
En la siguiente consulta, se seleccionan location y severity, con la ubicación convertida en una cadena:
SELECT
CAST(JSON_VALUE(resource.labels.location) AS STRING) AS location,
severity,
FROM
`TABLE_NAME_OF_LOG_VIEW`
A continuación, se muestra un ejemplo de un gráfico con su configuración:
En la captura de pantalla anterior, la configuración del gráfico tiene la siguiente configuración:
- Tipo de gráfico: Gráfico de barras, horizontal
- Dimensión:
location, con un límite de 10. - Medir: Calcula filas
- Desglose:
severity, con un límite de cinco
Gráfico de registros de auditoría de acceso a los datos de BigQuery
Los siguientes filtros de consulta para la auditoría data_access de BigQuery
registros y selecciona ciertos campos, como user_email, ip, auth_permission,
y job_execution_project. Por ejemplo, puedes crear un gráfico que visualice la frecuencia del uso de la API de BigQuery de cada principal a lo largo del tiempo.
SELECT
timestamp,
proto_payload.audit_log.authentication_info.principal_email as user_email,
proto_payload.audit_log.request_metadata.caller_ip as ip,
auth.permission as auth_permission,
auth.granted as auth_granted,
JSON_VALUE(data_access.resource.labels.project_id) AS job_execution_project,
SPLIT(proto_payload.audit_log.resource_name, '/')[SAFE_OFFSET(1)] AS referenced_project,
SPLIT(proto_payload.audit_log.resource_name, '/')[SAFE_OFFSET(3)] AS referenced_dataset,
SPLIT(proto_payload.audit_log.resource_name, '/')[SAFE_OFFSET(5)] AS referenced_table
FROM `TABLE_NAME_OF_LOG_VIEW` as data_access,
UNNEST(proto_payload.audit_log.authorization_info) AS auth
WHERE
log_id="cloudaudit.googleapis.com/data_access"
AND data_access.resource.type = 'bigquery_dataset'
A continuación, se muestra un ejemplo de un gráfico con su configuración:
En la captura de pantalla anterior, la configuración del gráfico tiene el siguiente gráfico: actual:
- Tipo de gráfico: Gráfico de barras, vertical
- Dimensión:
user_email, con un límite de cinco - Métrica: Cuenta filas
- Desglose:
auth_permission, con un límite de cinco
Limitaciones
Las columnas seleccionadas deben tener al menos una fila con un valor no nulo.
Si guardas una consulta y personalizas la configuración del gráfico, no se guardará la configuración del gráfico personalizado.
Si tu consulta ya contiene agregaciones, el gráfico generado podría ser diferente debido a la agregación adicional que aplica automáticamente Log Analytics.
Las rutas de acceso JSON se deben convertir en cadenas y números para que se puedan graficar.
¿Qué sigue?
Para obtener una descripción general del Análisis de registros, consulta Análisis de registros.
Para ver consultas de muestra, ve a Consultas de SQL de muestra.
Para obtener información sobre cómo analizar con registros de auditoría mediante el Análisis de registros, consulta Consultas de SQL para estadísticas de seguridad.