Este documento fornece consultas sugeridas para facilitar a localização de registros importantes usando o Buscador de registros no console do Google Cloud. As consultas listadas são escritas na linguagem de consulta do Logging e podem ser usadas no Explorador de registros, na API Logging ou na interface de linha de comando.
O Explorador de registros usa expressões booleanas para especificar um subconjunto de todas as entradas de registro no projeto. É possível usar essas consultas para escolher entradas de registros específicos ou de serviços ou que satisfaçam condições em metadados ou campos definidos pelo usuário.
Antes de começar
Verifique se você tem as permissões ou o papel corretos do Identity and Access Management para criar consultas usando o Explorador de registros. Para detalhes sobre as permissões de IAM necessárias, consulte Permissões para o console do Google Cloud.
Primeiros passos
-
No console do Google Cloud, acesse a página Análise de registros:
Acessar a Análise de registros
Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo Logging.
Selecione o projeto do Google Cloud ou outro recurso do Google Cloud em que você quer conferir os registros.
Usar os exemplos de consultas
Para aplicar uma consulta das tabelas a seguir, clique no ícone content_copy Cópia de conteúdo da expressão e cole a expressão copiada no campo do editor de consultas do Logs Explorer.
A captura de tela a seguir ilustra o painel de consulta:
Se você não encontrar o campo do editor de consultas, ative a opção Mostrar consulta.
Depois de analisar a expressão da consulta, clique em Executar consulta. Os registros que correspondem à consulta estão listados em Resultados da consulta.
Algumas das consultas listadas mais adiante nesta página incluem variáveis que precisam ser substituídas por valores válidos. Por exemplo, quando uma consulta inclui logName
, o PROJECT_ID fornecido precisa se referir ao projeto do Google Cloud selecionado. Caso contrário, a consulta não vai funcionar.
Observe o seguinte:
Se você tiver uma consulta com carimbo de data/hora, o seletor de intervalo de tempo será desativado e a consulta usará a expressão de carimbo de data/hora como a restrição de intervalo de tempo. Se uma consulta não usar uma expressão de carimbo de data/hora, ela usará o seletor de intervalo de tempo como a restrição de intervalo de tempo.
O tamanho de uma consulta não pode exceder 20.000 caracteres.
A linguagem de consulta de geração de registros não diferencia maiúsculas de minúsculas, exceto para expressões regulares.
É possível usar a função
log_id
para consultas com uma expressãolog_name
. Por exemplo, a expressãolog_name="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access"
é igual alog_id("cloudaudit.googleapis.com/data_access")
. Para mais informações sobre a funçãolog_id
, consulte Linguagem de consulta do Logging: funções.
Para instruções sobre como fazer consultas no console do Google Cloud, consulte Criar consultas no Explorador de registros.
Nas seções a seguir, você verá o agrupamento de consultas por serviços do Google Cloud.
Consultas do App Engine
Nome da consulta/filtro | Expressão |
---|---|
Registros do App Engine na véspera de Ano Novo (no horário UTC) | resource.type="gae_app" AND severity>=ERROR AND timestamp>="2018-12-31T00:00:00Z" AND timestamp<="2019-01-01T00:00:00Z" |
Registros de solicitação do App Engine com erros do servidor | resource.type="gae_app" AND log_id("appengine.googleapis.com/request_log") AND httpRequest.status>=500 |
Registros de erro HTTP amostrados | resource.type="gae_app" AND protoPayload.status >= 400 AND sample(insertId, 0.1) |
Pesquisar o ID de rastreamento do App Engine | resource.type="gae_app" AND trace="projects/PROJECT_ID/traces/TRACE_ID" |
Registros do App Engine | resource.type="gae_app" AND resource.labels.module_id="MODULE_ID" AND resource.labels.version_id="VERSION_ID" |
Implantações recentes do App Engine | resource.type="gae_app" AND protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog" AND protoPayload.serviceName="appengine.googleapis.com" |
Ativar e desativar consultas de API
Nome da consulta/filtro | Expressão |
---|---|
Registros de ativação da API de auditoria | protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.EnableService" |
Registros de desativação da API de auditoria | protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.DisableService" |
Consultas do BigQuery
Nome da consulta/filtro | Expressão |
---|---|
Registros de auditoria do BigQuery | resource.type=("bigquery_dataset" OR "bigquery_project") AND logName:"cloudaudit.googleapis.com" |
Registros de auditoria do BigQuery para um projeto | resource.type="bigquery_project" AND logName:"cloudaudit.googleapis.com" |
Registros de auditoria do BigQuery para um conjunto de dados | resource.type="bigquery_dataset" AND logName:"cloudaudit.googleapis.com" |
Registros de auditoria do BigQuery para o modelo do BI Engine | resource.type="bigquery_biengine_model" AND logName:"cloudaudit.googleapis.com" |
Registros de auditoria do BigQuery para uma execução do serviço de transferência de dados. | resource.type="bigquery_dts_run" AND logName:"cloudaudit.googleapis.com" |
Registros de auditoria do BigQuery para uma configuração do serviço de transferência de dados. | resource.type="bigquery_dts_config" AND logName:"cloudaudit.googleapis.com" |
Jobs do serviço de transferência de dados do BigQuery | resource.type=("bigquery_project") AND protoPayload.requestMetadata.callerSuppliedUserAgent= "BigQuery Data Transfer Service" AND protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR "google.cloud.bigquery.v2.JobService.Query") |
Registros de execução de transferência do BigQuery | resource.type="bigquery_dts_config" AND labels.run_id="RUN_ID" AND resource.labels.config_id="CONFIG_ID" |
Atualizações do conjunto de dados do BigQuery | resource.type="bigquery_dataset" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName= "google.cloud.bigquery.v2.DatasetService.UpdateDataset" |
Jobs do BigQuery concluídos | resource.type="bigquery_project" AND log_id("cloudaudit.googleapis.com/data_access") AND protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR "google.cloud.bigquery.v2.JobService.Query") |
Consultas grandes do BigQuery | resource.type="bigquery_project" AND protoPayload.metadata.jobChange.job.jobStats.queryStats.totalBilledBytes > 1073741824 |
Cota do BigQuery excedida | resource.type=("bigquery_dataset" OR "bigquery_project") AND protoPayload.status.code=8 AND severity>=WARNING |
Consulta do BigQuery iniciada | resource.type="bigquery_project" AND protoPayload.metadata.jobInsertion.reason:* |
Jobs de carregamento/extração simultâneos do BigQuery | resource.type="bigquery_resource" AND protoPayload.methodName="jobservice.insert" AND protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query: "extract" |
Consultas do Dataflow
Nome da consulta/filtro | Expressão |
---|---|
Erros e avisos nos workers do Dataflow | resource.type="dataflow_step" AND log_id("dataflow.googleapis.com/worker") AND severity>=WARNING |
Consultas do Dataproc
Nome da consulta/filtro | Expressão |
---|---|
Registros do Dataproc Apache Hadoop | resource.type="cloud_dataproc_cluster" AND jsonPayload.class:"org.apache.hadoop.mapreduce" |
Cloud Deployment Manager
Nome da consulta/filtro | Expressão |
---|---|
Erros do Deployment Manager | resource.type="deployment" AND severity>=ERROR |
Consultas de funções do Cloud Run
Nome da consulta/filtro | Expressão |
---|---|
Erros do Cloud Functions | resource.type="cloud_function" AND log_id("cloudfunctions.googleapis.com/cloud-functions") AND severity>=ERROR |
Consultas do Cloud Monitoring
Nome da consulta/filtro | Expressão |
---|---|
Mostrar todos os erros do canal de notificações |
resource.type="stackdriver_notification_channel" AND severity>=ERROR |
Mostrar erros do canal de notificação devido a limitação |
resource.type="stackdriver_notification_channel" AND severity>=ERROR AND jsonPayload.summary="Notification delivery throttled." |
Mostrar registros gravados pelo recurso de tempo de atividade |
resource.type="uptime_url" |
Mostrar solicitações recebidas do serviço de verificação de tempo de atividade |
"GoogleStackdriverMonitoring-UptimeChecks" |
Consultas do Cloud Run
Nome da consulta/filtro | Expressão |
---|---|
Registros do Cloud Run para um job específico | resource.type="cloud_run_job" AND resource.labels.service_name="JOB_NAME" |
Registros do Cloud Run para uma revisão e um serviço específicos | resource.type="cloud_run_revision" AND resource.labels.service_name="SERVICE_NAME" |
Consultas do Cloud Source Repositories
Nome da consulta/filtro | Expressão |
---|---|
Registros do Cloud Source Repositories | resource.type="csr_repository" AND resource.labels.name="REPOSITORY_NAME" |
Consultas do Spanner
Nome da consulta/filtro | Expressão |
---|---|
Registros do Cloud Spanner para uma instância de spanner específica | resource.type="spanner_instance" AND resource.labels.instance_id="SPANNER_INSTANCE" |
Consultas do Cloud SQL
Nome da consulta/filtro | Expressão |
---|---|
Registros de auditoria do Cloud SQL | resource.type="cloudsql_database" AND resource.labels.database_id="DATABASE_ID" AND log_id("cloudaudit.googleapis.com/activity") |
Registros de erro do Cloud SQL MySQL | resource.type="cloudsql_database" AND log_id("cloudsql.googleapis.com/mysql.err") |
Bancos de dados baseados em Cloud SQL MySQL | resource.type="cloudsql_database" AND resource.labels.database_id="DATABASE_ID" AND log_id("cloudsql.googleapis.com/mysql") |
Bancos de dados baseados em Postgres do Cloud SQL | resource.type="cloudsql_database" AND resource.labels.database_id="DATABASE_ID" AND log_id("cloudsql.googleapis.com/postgres.log") |
Registros de erro do Cloud SQL SQL Server | resource.type="cloudsql_database" AND log_id("cloudsql.googleapis.com/sqlserver.err") |
Bancos de dados baseados no Cloud SQL SQL Server | resource.type="cloudsql_database" AND resource.labels.database_id="DATABASE_ID" AND log_id("cloudsql.googleapis.com/sqlagent.out") |
Consultas do Cloud Storage
Nome da consulta/filtro | Expressão |
---|---|
Registros de intervalos do GCS | resource.type="gcs_bucket" AND resource.labels.bucket_name="BUCKET_NAME" |
Registros de auditoria de intervalos do GCS | resource.type="gcs_bucket" AND logName:"cloudaudit.googleapis.com" |
Registros de criação de intervalos do GCS | resource.type="gcs_bucket" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.method_name="storage.buckets.create" |
Registros de exclusão de intervalos do GCS | resource.type="gcs_bucket" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.method_name="storage.buckets.delete" |
Consultas do Cloud Tasks
Nome da consulta/filtro | Expressão |
---|---|
Registros de consulta do Cloud Tasks | resource.type="cloud_tasks_queue" AND resource.labels.queue_id="QUEUE_ID" |
Consultas do Compute Engine
Nome da consulta/filtro | Expressão |
---|---|
Registros de atividade de administrador do Compute Engine | resource.type="gce_instance" AND log_id("cloudaudit.googleapis.com/activity") |
Exclusão da regra de firewall do Compute Engine | resource.type="gce_firewall_rule" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"firewalls.delete" |
Syslogs da VM do Compute Engine | resource.type="gce_instance" AND log_id("syslog") |
Authlogs de VMs do Compute Engine | resource.type="gce_instance" AND log_id("authlog") |
Erro de host do Compute Engine | resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName:"compute.instances.hostError" OR operation.producer:"compute.instances.hostError") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="INSTANCE_ID" severity=INFO |
Alerta de memória do host do Compute Engine | resource.type="gce_instance" AND protoPayload.serviceName="compute.googleapis.com" AND (jsonPayload.methodName:"compute.instances.host_event_notify" OR operation.producer:"compute.instances.host_event_notify") AND log_id("cloudaudit.googleapis.com/host_event_notify") AND resource.labels.instance_id="INSTANCE_ID" AND severity=CRITICAL |
Host do Compute Engine migrado | resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName: "compute.instances.migrateOnHostMaintenance" OR operation.producer: "compute.instances.migrateOnHostMaintenance") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="INSTANCE_ID" severity=INFO |
VM do Compute Engine encerrada/forçada | resource.type="gce_instance" protoPayload.methodName=~"compute\.instances\.(guestTerminate|preempted)" log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="INSTANCE_ID" |
A VM do Compute Engine foi encerrada devido a uma falha na criação do disco temporário | resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName="compute.instances.scratchDiskCreationFailed" OR operation.producer: "compute.instances.scratchDiskCreationFailed) log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="INSTANCE_ID" severity=INFO |
Instância de VM do Compute Engine criada | resource.type="gce_instance" protoPayload.methodName:"compute.instances.insert" log_id("cloudaudit.googleapis.com/activity") protoPayload.request.name="INSTANCE_NAME" |
Instância de VM do Compute Engine excluída com nome | resource.type="gce_instance" protoPayload.methodName:"compute.instances.delete" log_id("cloudaudit.googleapis.com/activity") protoPayload.resourceName:"INSTANCE_NAME" |
Instância de VM do Compute Engine excluída com ID | resource.type="gce_instance" protoPayload.methodName:"compute.instances.delete" log_id("cloudaudit.googleapis.com/activity") resource.labels.instance_id="INSTANCE_ID" |
Instância de VM do Compute Engine reiniciada | resource.type="gce_instance" protoPayload.methodName=~"compute\.instances\.( stop|reset|automaticRestart|guestTerminate| instanceManagerHaltForRestart)" (log_id("cloudaudit.googleapis.com/activity") OR log_id("cloudaudit.googleapis.com/system_event")) resource.labels.instance_id="INSTANCE_ID" |
Falha na integridade da inicialização da VM protegida do Compute Engine | resource.type="gce_instance" log_id("compute.googleapis.com/shielded_vm_integrity") jsonPayload.earlyBootReportEvent.policyEvaluationPassed="false" resource.labels.instance_id="INSTANCE_ID" |
Instância de VM do Compute Engine interrompida pelo SO convidado | resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName:"compute.instances.guestTerminate" OR operation.producer:"compute.instances.guestTerminate") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="INSTANCE_ID" severity=INFO |
O arquivo de inicialização da VM protegida do Compute Engine foi bloqueado | resource.type="gce_instance" log_id("serialconsole.googleapis.com/serial_port_1_output") textPayload:("Security Violation") resource.labels.instance_id="INSTANCE_ID" |
Disco permanente criado | resource.type="gce_disk" AND protoPayload.methodName:"compute.disks.insert" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.resourceName: "PERSISTENT_DISK_NAME" |
Nós adicionados no nó de locatário individual | resource.type="gce_node_group" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName=~("compute.nodeGroups.addNodes" OR "compute.nodeGroups.insert") resource.labels.node_group_id="NODE_GROUP_ID" severity="INFO" |
Eventos de escalonamento automático em nó de locatário individual | resource.type="gce_node_group" log_id("cloudaudit.googleapis.com/system_event") protoPayload.methodName=~("compute.nodeGroups.deleteNodes" OR "compute.nodeGroups.addNodes") resource.labels.node_group_id="NODE_GROUP_ID" |
Snapshot manual criado | resource.type="gce_snapshot" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.snapshots.insert" protoPayload.resourceName:"SNAPSHOT_NAME" |
Snapshot programado tirado | resource.type="gce_disk" log_id("cloudaudit.googleapis.com/system_event") protoPayload.methodName="ScheduledSnapshots" protoPayload.response.operationType="createSnapshot" protoPayload.response.targetLink="PERSISTENT_DISK_NAME" |
Programação de snapshot criada | resource.type="gce_resource_policy" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.resourcePolicies.insert" protoPayload.request.name="SCHEDULE_NAME" |
Programação de snapshot anexada | resource.type="gce_disk" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.disks.addResourcePolicies" protoPayload.request.resourcePolicys:"SCHEDULE_NAME" protoPayload.resourceName:"PERSISTENT_DISK_NAME" |
Cota excedida | resource.type="gce_instance" protoPayload.methodName:"compute.instances.insert" protoPayload.status.message:"QUOTA_EXCEEDED" severity=ERROR |
Consultar instâncias não íntegras no grupo de instâncias | resource.type="gce_instance_group" resource.labels.instance_group_name="INSTANCE_GROUP_NAME" jsonPayload.healthCheckProbeResult.healthState="UNHEALTHY" |
Consultar membros do grupo de instâncias em um período no formato de horário UTC |
resource.type="gce_instance_group_manager" resource.labels.instance_group_manager_name="INSTANCE_GROUP_NAME" jsonPayload.@type= "type.googleapis.com/compute.InstanceGroupManagerEvent" jsonPayload.instanceHealthStateChange.detailedHealthState="HEALTHY" timestamp >= START_TIME timestamp <= END_TIME |
Instâncias removidas do grupo de instâncias | resource.type="gce_instance_group" protoPayload.methodName:"compute.instanceGroups.removeInstances" log_id("cloudaudit.googleapis.com/activity") resource.labels.instance_group_name="INSTANCE_GROUP_NAME" |
Modelo de instância definido ou atualizado | resource.type="gce_instance_group_manager" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName= "v1.compute.instanceGroupManagers.setInstanceTemplate" resource.labels.instance_group_manager_name="INSTANCE_GROUP_MANAGER" |
Regra de firewall excluída | resource.type="gce_firewall_rule" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"firewalls.delete" |
Registros do firewall | resource.type="gce_subnetwork" log_id("compute.googleapis.com/firewall") jsonPayload.instance.vm_name="INSTANCE_NAME" |
Consultas do Google Cloud Observability
Nome da consulta/filtro | Expressão |
---|---|
Atividades de afundamento de registro | resource.type="logging_sink" AND log_id("cloudaudit.googleapis.com/activity") |
Atividades de criação ou atualização de métricas baseadas em registros | resource.type="metric" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:(UpdateLogMetric OR CreateLogMetric) |
Verificações de URL de disponibilidade para um host | resource.type="uptime_url" AND resource.labels.host="URL" |
Consultas de gerenciamento de identidade e acesso
Nome da consulta/filtro | Expressão |
---|---|
Registros de criação de conta de serviço | resource.type="service_account" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.iam.admin.v1.CreateServiceAccount" |
Registros de chave de criação de conta de serviço | resource.type="service_account" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.iam.admin.v1.CreateServiceAccountKey" |
Configurar registros de política de controle de acesso | resource.type="project" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="SetIamPolicy" |
O diretor externo concedeu acesso à organização | resource.type="project" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog" AND protoPayload.request.@type:"IamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:* AND NOT protoPayload.serviceData.policyDelta.bindingDeltas.member:"@DOMAIN_NAME.com" |
Criação, modificação ou exclusão de recursos | log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:("create" OR "delete" OR "update") |
Papel concedido ao principal | log_id("cloudaudit.googleapis.com/activity") AND resource.type="project" AND protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.action="Add" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID" |
Função removida da conta principal | log_id("cloudaudit.googleapis.com/activity") AND resource.type="project" AND protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.action="Remove" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID" |
Permissão atualizada em uma função personalizada | log_id("cloudaudit.googleapis.com/activity") AND resource.type="iam_role" AND protoPayload.serviceName="iam.googleapis.com" AND protoPayload.methodName:"UpdateRole" AND resource.labels.role_name:"ROLE_ID" |
Consultas relacionadas ao Kubernetes
Para uma visão geral e exemplos de consultas de registro de auditoria de atividade do administrador, consulte as consultas fornecidas na página de geração de registros de auditoria do GKE.Consultas no nível do cluster
Nome da consulta/filtro | Expressão |
---|---|
Operações do cluster do Google Kubernetes Engine | resource.type="gke_cluster" AND log_id("cloudaudit.googleapis.com/activity") |
Criação do cluster do Google Kubernetes Engine |
resource.type="gke_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.container.v1.ClusterManager.CreateCluster" |
Implantação do cluster do Kubernetes |
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"deployments" |
Falha de autenticação do cluster do Kubernetes |
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.authenticationInfo.principalEmail="system:anonymous" |
Operações e eventos do cluster do Kubernetes em us-central1-b |
resource.type="k8s_cluster" AND resource.labels.location="us-central1-b" |
Solicitações de pod do Kubernetes dos usuários |
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"io.k8s.core.v1.pods" AND protoPayload.authenticationInfo.principalEmail="USER_EMAIL" |
Eventos do Kubernetes |
resource.type="k8s_cluster" AND log_id("events") |
Atualização dos endpoints do Kubernetes |
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.request.kind="Endpoints" |
Registros do plano de controle do Kubernetes |
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.serviceName="k8s.io" |
Registros do plano de controle do Kubernetes Engine |
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.serviceName="container.googleapis.com" |
Exclusão de pods |
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName=~"io\.k8s\.core\.v1\.pods\.(create|delete)" |
Registros de auditoria de pod do Kubernetes do plano de controle |
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.resourceName="core/v1/namespaces/POD_NAMESPACE/pods/POD_NAME |
Remoção de pods do Kubernetes |
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="io.k8s.core.v1.pods.eviction.create" |
Registros de auditoria do nó do Kubernetes no plano de controle |
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"io.k8s.core.v1.nodes" |
Plano de controle de cluster do Kubernetes para a atividade do gerenciador de complementos |
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.authenticationInfo.principalEmail="system:addon-manager" |
Erros do plano de controle do Kubernetes (excluindo Conflict , que é normal) |
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.status.message!="Conflict" AND protoPayload.status.code!=0 |
Eventos do controlador de entrada |
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("events") AND jsonPayload.source.component="loadbalancer-controller" |
Eventos do controlador de serviços (kube-controller-manager) |
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("events") AND jsonPayload.source.component="service-controller" |
Eventos de escalonamento automático de cluster |
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("events") AND jsonPayload.source.component="cluster-autoscaler" |
Consultas no nível do pod
Nome do filtro | Expressão |
---|---|
Consulta em pods durante a criação |
resource.type="k8s_pod" AND resource.labels.pod_name="POD_NAME" AND log_id("events") |
O pod de consulta foi encerrado devido à pressão de recursos |
resource.type="k8s_pod" AND log_id("events") AND jsonPayload.reason="Evicted" |
Eventos do programador |
resource.type="k8s_pod" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("events") AND jsonPayload.source.component="default-scheduler" |
Eventos do programador (preempções) |
resource.type="k8s_pod" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("events") AND jsonPayload.source.component="default-scheduler" AND jsonPayload.reason="Preempted" |
Consultas no nível do nó
Nome do filtro | Expressão |
---|---|
Eventos de nó |
resource.type="k8s_node" AND log_id("events") |
Visualizar os registros do Kube-proxy |
resource.type="k8s_node" AND log_id("kube-proxy") |
Visualizar os registros do dockerd |
resource.type="k8s_node" AND log_id("container-runtime") |
Visualizar os erros ou falhas do kubelet |
resource.type="k8s_node" AND log_id("kubelet") AND jsonPayload.MESSAGE:("error" OR "fail") |
Como analisar registros de nós para registros do sistema do GKE |
resource.type = "k8s_node" logName:( "logs/container-runtime" OR "logs/docker" OR "logs/kube-container-runtime-monitor" OR "logs/kube-logrotate" OR "logs/kube-node-configuration" OR "logs/kube-node-installation" OR "logs/kubelet" OR "logs/kubelet-monitor" OR "logs/node-journal" OR "logs/node-problem-detector") |
Consultas de namespace
Nome do filtro | Expressão |
---|---|
Registros de contêiner e pod para registros do sistema do GKE |
resource.type = ("k8s_container" OR "k8s_pod") resource.labels.namespace_name = ( "cnrm-system" OR "config-management-system" OR "gatekeeper-system" OR "gke-connect" OR "gke-system" OR "istio-system" OR "knative-serving" OR "monitoring-system" OR "kube-system") |
Consultas em contêiner
Nome do filtro | Expressão |
---|---|
Registros de contêiner stdout de todos os pods e contêineres em um cluster |
resource.type="k8s_container" AND log_id("stdout") |
Registros de erros de contêiner de todos os pods e contêineres em um cluster |
resource.type="k8s_container" AND log_id("stderr") AND severity=ERROR |
Registros de erros de contêiner de um pod com nome específico |
resource.type="k8s_container" AND resource.labels.pod_name="POD_NAME" AND severity=ERROR |
Registros de erros de contêiner de um container e um pod específico |
resource.type="k8s_container" AND resource.labels.pod_name="POD_NAME" AND resource.labels.container_name="server" AND severity=ERROR |
Registros de erros de contêiner de um container e um namespace específico |
resource.type="k8s_container" AND resource.labels.namespace_name="istio-system" AND resource.labels.container_name="egressgateway" AND severity=ERROR |
Registros de contêiner de um pod com um rótulo específico |
resource.type="k8s_container" AND labels."k8s-pod/app"="loadgenerator" AND severity=ERROR |
Registros de erro de contêiner para pods em execução em um nó específico |
resource.type="k8s_container" AND labels."compute.googleapis.com/resource_name"=NODE_NAME AND severity=ERROR |
Registros de contêiner de um pod com um rótulo gerado usando skaffold |
resource.type="k8s_container" AND labels."k8s-pod/app"="loadgenerator" AND labels."k8s-pod/skaffold_dev/run-id"=SKAFFOLD_RUN_ID severity=ERROR |
Registros de erro de contêiner para um pod específico que contém um POST no textPayload |
resource.type="k8s_container" AND resource.labels.pod_name="POD_NAME" AND textPayload:"POST" AND severity=ERROR |
Registros de erro de contêiner para um pod específico que contém um GET no JSON estruturado |
resource.type="k8s_container" AND resource.labels.pod_name="POD_NAME" AND jsonPayload."http.req.method"="GET" AND severity=ERROR |
Registros de erros de contêiner no namespace kube-system |
resource.type="k8s_container" AND resource.labels.namespace_name="kube-system" AND severity=ERROR |
Erros de contêiner no registro de insightsdo contêiner |
resource.type="k8s_container" AND log_id("clouderrorreporting.googleapis.com/insights") |
Registros de contêiner do Kubernetes |
resource.type="k8s_container" AND resource.labels.container_name="CONTAINER_NAME" |
Consultas do plano de controle
Observação: os registros do plano de controle do GKE precisam estar ativados.Nome do filtro | Expressão |
---|---|
Registros do servidor da API Kubernetes |
resource.type="k8s_control_plane_component" resource.labels.component_name="apiserver" resource.labels.location="CLUSTER_LOCATION" resource.labels.cluster_name="CLUSTER_NAME" |
Registros do programador do Kubernetes |
resource.type="k8s_control_plane_component" resource.labels.component_name="scheduler" resource.labels.location="CLUSTER_LOCATION" resource.labels.cluster_name="CLUSTER_NAME" |
Registros do Kubernetes Controller Manager |
resource.type="k8s_control_plane_component" resource.labels.component_name="controller-manager" resource.labels.location="CLUSTER_LOCATION" resource.labels.cluster_name="CLUSTER_NAME" |
Consultas de cargas de trabalho de TPU
Observação: a geração de registros do sistema e da carga de trabalho do GKE precisa estar ativada.Nome do filtro | Expressão |
---|---|
Registros de contêiner stdout de todos os nós da TPU com o mesmo prefixo |
resource.type="k8s_container" AND labels."compute.googleapis.com/resource_name"=~"TPU_NODE_PREFIX.*" AND log_id("stdout") |
Registros de erros de contêiner de todos os nós de TPU com o mesmo prefixo |
resource.type="k8s_container" AND labels."compute.googleapis.com/resource_name"=~"TPU_NODE_PREFIX.*" AND log_id("stderr") AND severity=ERROR |
Registros de contêiner de saída padrão do mesmo job do GKE |
resource.type="k8s_container" AND labels."k8s-pod/batch.kubernetes.io/job-name" = "JOB_NAME" AND log_id("stdout") |
Registros de erros de contêiner do mesmo job do GKE |
resource.type="k8s_container" AND labels."k8s-pod/batch.kubernetes.io/job-name"="JOB_NAME" AND log_id("stderr") AND severity=ERROR |
Registros de contêiner stdout do mesmo JobSet do GKE |
resource.type="k8s_container" AND labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="JOBSET_NAME" AND log_id("stdout") |
Registros de erros de contêiner do mesmo JobSet do GKE |
resource.type="k8s_container" AND labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="JOBSET_NAME" AND log_id("stderr") AND severity=ERROR |
Consultas de aplicativos de terceiros
As consultas a seguir usam os IDs de registro padrão para registros coletados pelo agente de geração de registros legados. Se você estiver coletando registros usando o Agente de operações, os nomes dos registros poderão ser configurados de maneira diferente. Para mais informações sobre o agente de operações e os registros de aplicativos, consulte Coletar registros de aplicativos de terceiros.
Nome da consulta/filtro | Expressão |
---|---|
Registros do Apache | resource.type="gce_instance" AND (logName:"/apache-access" OR logName:"/apache-error") |
Registros do Cassandra | resource.type="gce_instance" AND log_id("cassandra") |
Registros do Chef | resource.type="gce_instance" AND logName:"projects/PROJECT_ID/logs/chef-" |
Registros do gitlab | resource.type="gce_instance" logName:"projects/PROJECT_ID/logs/gitlab-" |
Registros do Jenkins | resource.type="gce_instance" AND log_id("jenkins") |
Registros do Jetty | resource.type="gce_instance" AND logName:"projects/PROJECT_ID/logs/jetty-" |
Registros do Joomla | resource.type="gce_instance" AND log_id("joomla") |
Syslogs do Linux | resource.type="gce_instance" AND log_id("syslog") |
Registros do Magneto | resource.type="gce_instance" AND logName:"projects/PROJECT_ID/logs/magneto-" |
Registros do Mediawiki | resource.type="gce_instance" AND log_id("mediawiki") |
Registros do memcached | resource.type="gce_instance" AND log_id("memcached") |
Registros do MongoDB | resource.type="gce_instance" AND log_id("mongodb") |
Registros do MySQL | resource.type="gce_instance" AND log_id("mysql") |
Registros do Nginx | resource.type="gce_instance" AND logName:"projects/PROJECT_ID/logs/nginx-" |
Registros do PostgreSQL | resource.type="gce_instance" AND log_id("postgresql") |
Registros do Puppet | resource.type="gce_instance" AND logName:"projects/PROJECT_ID/logs/puppet-" |
Registros do RabbitMQ | resource.type="gce_instance" AND logName:"projects/PROJECT_ID/logs/rabbitmq-" |
Registros do Redmine | resource.type="gce_instance" AND log_id("redmine") |
Registros do Salt | resource.type="gce_instance" AND logName:"projects/PROJECT_ID/logs/salt-" |
Consultas lentas do MySQL | resource.type="gce_instance" AND log_id("mysql-slow") |
Registros do Solr | resource.type="gce_instance" AND log_id("solr") |
Registros do SugarCRM | resource.type="gce_instance" AND log_id("sugarcrm") |
Registros do Tomcat | resource.type="gce_instance" AND log_id("tomcat") |
Registros do Zookeeper | resource.type="gce_instance" AND log_id("zookeeper") |
Consultas de rede
Nome da consulta/filtro | Expressão |
---|---|
Firewall: todos os registros | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") |
Registros de firewall para um determinado país | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND jsonPayload.remote_location.country=COUNTRY_ISO_ALPHA_3 |
Registros de firewall de uma VM | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND jsonPayload.instance.vm_name="INSTANCE_NAME" |
Registros de sub-rede de firewall | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND resource.labels.subnetwork_name="SUBNET_NAME" |
Registros de tráfego de sub-rede do Compute Engine para uma sub-rede | resource.type="gce_subnetwork" AND ip_in_net(jsonPayload.connection.dest_ip, "SUBNET_IP") |
Registros de fluxo de VPC | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") |
Registros de fluxo VPC para porta e protocolo específicos | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND jsonPayload.connection.src_port="PORT_ID" AND jsonPayload.connection.protocol="PROTOCOL" |
Registros de fluxo de VPC para sub-rede específica | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND resource.labels.subnetwork_name"=SUBNET_NAME" |
Registros de fluxo de VPC para prefixo de sub-rede específico | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND ip_in_net(jsonPayload.connection.dest_ip,SUBNET_IP) |
Registros de fluxo de VPC para uma VM específica | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND jsonPayload.src_instance.vm_name="VM_NAME" |
Registros de gateway de VPN | resource.type="vpn_gateway" AND resource.labels.gateway_id="GATEWAY_ID" |
Erros do Balanceador de carga HTTP 5xx | resource.type="http_load_balancer" AND httpRequest.status>=500 |
Solicitações do balanceador de carga HTTP para o PHPMyAdmin | resource.type="http_load_balancer" AND httpRequest.request_url:"phpmyadmin" |
Consultas de segurança
Nome da consulta/filtro | Expressão |
---|---|
Registros de auditoria: todos | logName:"cloudaudit.googleapis.com" |
Registros de auditoria: transparência de acesso (AXT) | log_id("cloudaudit.googleapis.com/access_transparency") |
Registros de auditoria: atividade do administrador | log_id("cloudaudit.googleapis.com/activity") |
Registros de auditoria: acesso a dados | log_id("cloudaudit.googleapis.com/data_access") |
Registros de auditoria: evento do sistema | log_id("cloudaudit.googleapis.com/system_event") |
Solução de problemas
Para instruções sobre como resolver problemas comuns ao usar o Explorador de registros, consulte Como usar o Explorador de registros: solução de problemas.
A seguir
Para mais informações sobre a sintaxe da consulta, que pode ser usada para personalizar essas consultas, consulte Linguagem de consulta do Logging.
Para mais informações sobre como consultar no console do Google Cloud, consulte Criar consultas usando a linguagem de consulta do Logging.