Se usó la API de Cloud Translation para traducir esta página.

Crea gráficos de los resultados de las consultas con el Análisis de registros

En este documento, se describe cómo graficar los resultados de la consulta del Análisis de registros, que te permite identificar patrones y tendencias en tus datos de registro. El Análisis de registros te permite buscar y agregar registros para generar estadísticas útiles mediante consultas de SQL.

Después de ejecutar una consulta, sus resultados se pueden ver en una tabla o convertirse en un gráfico. Por ejemplo, para ver qué tipos de gravedad generan tus registros, crea un gráfico que muestre los recuentos de registros generados en las últimas 12 horas y desglosa los registros por severity. En la siguiente captura de pantalla, se ilustran los datos desglosados en diferentes tipos de gravedad:

Gráfico de ejemplo en el que se ilustra un desglose por gravedad.

Antes de comenzar

Asegúrate de tener un bucket de registros que se haya actualizado para usar el Análisis de registros. En la página Almacenamiento de registros, se muestran tus buckets de registros y la información de configuración.

En la consola de Google Cloud, ve a la página Explorador de registros:
Ir al Almacenamiento de registros

Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.

A fin de obtener los permisos que necesitas para cargar la página Análisis de registros y ejecutar consultas, pídele a tu administrador que te otorgue el rol de IAM de Visor de registros (roles/logging.viewer) en Cloud Logging. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso.

Es posible que también puedas obtener los permisos necesarios a través de funciones personalizadas o, también, otras funciones predefinidas.

Los permisos que necesitas para ver entradas de registro y ejecutar consultas en la página Análisis de registros son los mismos que necesitas para ver registros en la página Explorador de registros. Si quieres obtener información sobre las funciones adicionales que necesitas para consultar vistas en buckets definidos por el usuario o consultar la vista _AllLogs del bucket de registros _Default, consulta Funciones de Cloud Logging.

Si quieres obtener los permisos que necesitas para crear y administrar paneles con la consola de Google Cloud, pídele a tu administrador que te otorgue el rol de IAM de Editor de Monitoring (roles/monitoring.editor) en tu proyecto. Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso.

Es posible que también puedas obtener los permisos necesarios a través de funciones personalizadas o, también, otras funciones predefinidas.

Selecciona los datos que quieres graficar

Para configurar qué datos se mostrarán en un gráfico, crea una consulta con SQL. Cuando seleccionas la pestaña Chart, Logging genera automáticamente un gráfico basado en los resultados de tu consulta. Después de ejecutar la consulta y generar un gráfico, puedes personalizar la configuración del gráfico si cambias el tipo de gráfico y seleccionas las columnas para ver los diferentes datos.

Para ver los resultados de tu consulta como un gráfico, ejecuta una consulta de la siguiente manera:

En la consola de Google Cloud, ve a la página Análisis de registros:
Ir a Análisis de registros

Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.
En el panel Consulta, ingresa una consulta y, luego, haz clic en Ejecutar.
Una vez que se complete la consulta, en la pestaña Resultados, selecciona cómo deseas ver los resultados:
- Tabla: Visualiza solo una tabla de los resultados de la consulta.
- Gráfico: Visualiza solo un gráfico de los resultados de la consulta.
- Ambos: Observan una tabla y un gráfico en paralelo.
Si seleccionaste las pestañas Gráfico o Ambos, puedes personalizar la configuración del gráfico si cambias el tipo y personalizas las filas y columnas que se incluyen en el gráfico. Para obtener más información sobre la configuración de los gráficos, consulta Personaliza la configuración de los gráficos.

Personaliza la configuración del gráfico

Para personalizar la configuración del gráfico, puedes cambiar el tipo, seleccionar la dimensión y la medida del gráfico y aplicar un desglose. La Dimensión se usa para agrupar o categorizar las filas y es el valor del eje X. La Medición, o el valor del eje Y, es una serie de datos que se traza con respecto al eje Y.

Cambiar tipo de gráfico

Puedes elegir entre los siguientes tipos de gráficos, según el tipo de filas y columnas que seleccionaste como dimensión y medida, y cómo deseas que se visualicen esos datos.

Gráfico de barras (predeterminado)

Los gráficos de barras representan datos en dos ejes. Si tu gráfico usa una categoría o una cadena como dimensión, puedes establecer la configuración de gráfico de un gráfico de barras en horizontal o vertical, donde se intercambian los ejes de dimensión y medición.
Gráfico de líneas

Los gráficos de líneas se pueden usar para mostrar los cambios en los datos a lo largo del tiempo. Cuando usas un gráfico de líneas, cada serie temporal se muestra con una línea diferente que corresponde a las mediciones que seleccionaste.

Si el eje X se basa en el tiempo, cada dato se coloca al comienzo de un intervalo de tiempo. Cada dato está conectado por interpolación lineal.
Gráfico de áreas Los gráficos de áreas se basan en un gráfico de líneas, y el área debajo de cada línea aparece sombreada. En los gráficos de áreas, las series de datos se apilan. Por ejemplo, si tienes dos series idénticas, la serie se superpone en un gráfico de líneas, pero el área sombreada se apila en un gráfico de áreas.
Gráfico circular

Un gráfico circular muestra cómo las categorías en un conjunto de datos se relacionan con todo el conjunto de datos, a través de un círculo para representar todo el conjunto de datos y secciones en el círculo para representar las categorías en el conjunto de datos. El tamaño de una cuña indica cuánto, a menudo como un porcentaje, la categoría contribuye al conjunto.

Cambie la dimensión y la medición

Para elegir qué filas y columnas se representan en el gráfico, selecciona los campos de dimensión y medición.

Dimensión

La dimensión debe ser una columna de marca de tiempo, numérica o de cadena. De forma predeterminada, la dimensión se establece en la primera columna basada en marca de tiempo del esquema. Si no hay una marca de tiempo presente en la consulta, entonces, la primera columna de cadena se selecciona como la dimensión. También puedes personalizar cuál es la dimensión en el panel Visualización del gráfico. Cuando se selecciona una columna de marca de tiempo como la dimensión, el gráfico muestra cómo cambian los datos con el tiempo.

De forma predeterminada, el intervalo para las marcas de tiempo se establece automáticamente, pero también puedes seleccionar un intervalo personalizado. Los intervalos automáticos cambian los valores según el selector de rango de tiempo para mantener grupos de tamaño similar.

También puedes inhabilitar el intervalo, lo que te permite especificar tus propias agregaciones y rangos de tiempo dentro de la consulta para un análisis más complejo. Cuando se inhabilita el intervalo, se establece la función de agregación de las mediciones en none. Solo se permiten mediciones numéricas cuando el intervalo de dimensiones está inhabilitado.

Nota: Solo se puede usar la columna TIMESTAMP como dimensión de marca de tiempo. Para usar DATE y DATETIME, debes usar la función CAST() para convertir los tipos de datos en TIMESTAMP.
Medir

Puedes seleccionar varias mediciones en el panel Chart display. Cuando seleccionas una medición, también debes seleccionar la función de agregación para realizar en sus valores agrupados, como count, sum, average y percentile-99. Por ejemplo, count-distinct muestra la cantidad de valores únicos en una columna determinada.

Si seleccionas la casilla de verificación Inhabilitar intervalo para la dimensión, la opción de función de agregación none estará disponible. Si la dimensión es un valor de cadena, no se mostrará la casilla de verificación Inhabilitar intervalo. Sin embargo, configurar las funciones de agregación de una medición en none también inhabilita el intervalo.

Agregar un desglose

Para dividir una sola serie de datos en varias series de datos basadas en otra columna, agrega un desglose.

Cuando selecciones un desglose, elige columnas que contengan una pequeña cantidad de etiquetas cortas y significativas, como region_name, en lugar de campos que puedan contener una gran cantidad de strings o strings largas, como textPayload.

Por ejemplo, consulta la siguiente configuración de gráfico, en la que el campo Dimensión se establece en tipo, el campo Medida se establece en Recuento de filas y el campo Desglose se establece en gravedad:

Ejemplo de configuración del gráfico que agrega un desglose.

El siguiente es un ejemplo de un gráfico con un desglose adicional:

Gráfico de ejemplo que contiene un desglose por gravedad.

En la captura de pantalla anterior, puedes ver una serie de datos apilados, en la que el tipo de recurso k8s_container se divide en diferentes tipos de severity. Esto te permite identificar cuántos registros de cada tipo de gravedad generó un recurso determinado.

Guarda un gráfico en un panel personalizado

Después de que se genera un gráfico a partir de tu consulta, puedes guardarlo en un panel personalizado. Los paneles personalizados te permiten mostrar y organizar información que te resulta útil mediante una variedad de tipos de widgets. Por ejemplo, puedes crear un panel que proporcione detalles sobre el uso de tus buckets de Cloud Storage:

Panel de ejemplo que muestra el uso de tus buckets de Cloud Storage.

Para guardar tu gráfico en un panel, haz lo siguiente:

En la consola de Google Cloud, ve a la página Análisis de registros:
Ir a Análisis de registros

Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.
Ejecuta una consulta para generar un gráfico y, luego, haz clic en Guardar gráfico en la pestaña Gráfico.
En el cuadro de diálogo Guardar en panel, ingresa un título para tu gráfico y selecciona el panel en el que deseas guardarlo.
Opcional: Para ver el panel personalizado, haz clic en Ver panel en el aviso.

Para ver una lista de paneles personalizados que contienen gráficos generados por las consultas de SQL de Análisis de registros, ve al botón Guardar gráfico y haz clic en Menú.

Cómo editar un gráfico guardado en un panel personalizado

Para editar los gráficos generados por consultas de SQL del Análisis de registros que se guardan en un panel, consulta Modifica la configuración de un widget. En el cuadro de diálogo Configurar widget, puedes editar la consulta que se usa para generar un gráfico o puedes personalizar su configuración a fin de visualizar diferentes datos.

Limitaciones

Si tu proyecto de Google Cloud está en una carpeta que usa Assured Workloads, los gráficos que generes no se podrán mostrar en un panel personalizado.
Los filtros a nivel del panel no se aplican a los gráficos generados a partir de una consulta en SQL del análisis de registros.

Consultas de muestra

En esta sección, se proporcionan consultas en SQL de muestra para graficar los resultados de tu consulta. Para obtener estadísticas más útiles de tus registros, personaliza la configuración del gráfico. Para usar las consultas de muestra, haz lo siguiente:

En la consola de Google Cloud, ve a la página Análisis de registros:
Ir a Análisis de registros

Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.
Identifica el nombre de la tabla de una vista de registro ejecutando la consulta predeterminada:

En la lista Vistas de registro, ubica la vista de registro y, luego, selecciona Consultar. El panel Consulta se propaga con una consulta predeterminada, que incluye el nombre de la tabla que se consulta. El nombre de la tabla tiene el formato project_ID.region.bucket_ID.view_ID.

Para obtener más información sobre cómo acceder a la consulta predeterminada, lee Consulta una vista de registro.
Reemplaza TABLE por el nombre de la tabla que corresponde a la vista que deseas consultar y, luego, copia la consulta.
Pega la consulta en el panel Consulta y, luego, haz clic en Ejecutar consulta.

Muestra un gráfico de las entradas de registro por ubicación y gravedad

La siguiente consulta selecciona location y severity, con la ubicación convertida como una cadena:

SELECT
  CAST(JSON_VALUE(resource.labels.location) AS STRING) AS location,
  severity,
FROM
  `TABLE`

A continuación, se muestra un ejemplo de un gráfico con su configuración:

Gráfico de ejemplo en el que se grafican las entradas de registro para la ubicación y la gravedad.

En la captura de pantalla anterior, la configuración del gráfico tiene la siguiente configuración:

Tipo de gráfico: Gráfico de barras, horizontal
Dimensión: location, con un límite de 10.
Medir: Calcula filas
Desglose: severity, con un límite de cinco

Crea un gráfico de los registros de auditoría de acceso a los datos de BigQuery

La siguiente consulta filtra los registros de auditoría data_access de BigQuery y selecciona ciertos campos, como user_email, ip, auth_permission y job_execution_project. Por ejemplo, puedes crear un gráfico en el que se visualice la frecuencia del uso de la API de BigQuery de cada principal a lo largo del tiempo.

SELECT 
  timestamp,
  proto_payload.audit_log.authentication_info.principal_email as user_email,
  proto_payload.audit_log.request_metadata.caller_ip as ip,
  auth.permission as auth_permission,
  auth.granted as auth_granted,
  JSON_VALUE(data_access.resource.labels.project_id) AS job_execution_project,
  SPLIT(proto_payload.audit_log.resource_name, '/')[SAFE_OFFSET(1)] AS referenced_project,
  SPLIT(proto_payload.audit_log.resource_name, '/')[SAFE_OFFSET(3)] AS referenced_dataset,
  SPLIT(proto_payload.audit_log.resource_name, '/')[SAFE_OFFSET(5)] AS referenced_table
FROM `TABLE` as data_access,
  UNNEST(proto_payload.audit_log.authorization_info) AS auth
WHERE
  log_id="cloudaudit.googleapis.com/data_access"
  AND data_access.resource.type = 'bigquery_dataset'

A continuación, se muestra un ejemplo de un gráfico con su configuración:

Gráfico de ejemplo de registros de auditoría de acceso a los datos de BigQuery

En la captura de pantalla anterior, la configuración del gráfico tiene la siguiente configuración:

Tipo de gráfico: Gráfico de barras, vertical
Dimensión: user_email, con un límite de cinco
Medir: Calcula filas
Desglose: auth_permission, con un límite de cinco

Limitaciones

Las columnas seleccionadas deben tener al menos una fila con un valor no nulo.
Si guardas una consulta y personalizas la configuración del gráfico, esta no se guarda.
Si tu consulta ya contiene agregaciones, el gráfico generado podría ser diferente debido a la agregación adicional que el Análisis de registros aplica automáticamente.
Las rutas de acceso JSON se deben convertir en cadenas y números para que se puedan graficar.

¿Qué sigue?

Para obtener una descripción general del Análisis de registros, consulta Análisis de registros.
Para ver consultas de muestra, ve a Consultas de SQL de muestra.
Para obtener información sobre cómo realizar análisis con registros de auditoría mediante el Análisis de registros, consulta Consultas de SQL para estadísticas de seguridad.