En esta página, se proporcionan consultas sugeridas para facilitar la búsqueda de registros importantes mediante el Explorador de registros de Google Cloud Console.
Todas las consultas enumeradas se pueden aplicar en el Explorador de registros , la API de Logging o la interfaz de línea de comandos , pero esta página se centra en el uso de consultas en el Explorador de registros.
El visor de registros heredado usa expresiones booleanas para especificar un subconjunto de todas las entradas de registro en tu proyecto. Puedes utilizar estas consultas para elegir entradas de registro de servicios o registros específicos, o que satisfagan condiciones de metadatos o campos definidos por el usuario. Para obtener más información sobre las consultas, ve a Compila consultas en el Explorador de registros .
Comienza ahora
Para navegar al Explorador de registros , haz lo siguiente:
Ve al menú de navegación de Google Cloud menu y selecciona Logging > Explorador de registros :
Ir al Explorador de registros
Selecciona un proyecto de Cloud.
En el menú Actualizar , cambia del Visor de registros heredado a Explorador de registros .
Ahora se encuentra en el Explorador de registros.
Use las consultas de muestra
Para aplicar una consulta de las siguientes tablas, haz clic en el ícono del portapapeles file_copy al final de cualquier fila de cualquier expresión para copiar una expresión y, luego, pégala en el editor de consultas:
Después de ingresar tu expresión, haz clic en Run query (Ejecutar consulta). Los registros que coincidan con la consulta se enumerarán en Resultados de la consulta .
En algunas de las consultas enumeradas más adelante en esta página, se incluyen variables (indicadas mediante corchetes []
) que debes reemplazar por valores válidos. Por ejemplo, cuando una consulta incluye logName
, el [PROJECT_ID]
que proporcionas debe hacer referencia al proyecto de Google Cloud seleccionado en el momento; de lo contrario, la consulta no funcionará. Para obtener más información, consulta Solución de problemas .
Si tienes una consulta con una marca de tiempo, el selector de rango de tiempo está inhabilitado y la consulta usa la expresión de marca de tiempo como su restricción de rango de tiempo. Si una consulta no usa una expresión de marca de tiempo, la consulta usa el selector de rango de tiempo como su restricción de intervalo de tiempo.
Nota: La longitud de una consulta no puede superar los 20,000 caracteres.
Sugerencia : Puedes usar la función log_id para consultas con una expresión log_name
. Por ejemplo, la expresión log_name="projects/[PROJECT_ID] /logs/cloudaudit.googleapis.com%2Fdata_access
es la misma que log_id("cloudaudit.googleapis.com/data_access").
. Para obtener más información sobre la función log_id
, ve a la sección Funciones en la página Lenguaje de consulta de Logging .
En las siguientes secciones, se agrupan las consultas de los servicios de Google Cloud.
Consultas de App Engine
Nombre de la consulta o del filtro
Expresión
Registros de App Engine de la víspera de Año Nuevo (en horario UTC)
resource . type = "gae_app" AND
severity >= ERROR AND
timestamp >= "2018-12-31T00:00:00Z" AND timestamp <= "2019-01-01T00:00:00Z"
Registros de solicitudes de App Engine con errores de servidor
resource . type = "gae_app" AND
log_id ( "appengine.googleapis.com/request_log" ) AND
httpRequest . status >= 500
Registros de errores HTTP de muestra
resource . type = "gae_app" AND
protoPayload . status >= 400 AND
sample ( insertId , 0 . 1 )
Buscar ID de seguimiento de App Engine
resource . type = "gae_app" AND
trace = "projects/[PROJECT_ID] /traces/[TRACE_ID] "
Consultas de BigQuery
Nombre de la consulta o del filtro
Expresión
Registros de auditoría de BigQuery
resource . type = ( "bigquery_dataset" OR "bigquery_project" ) AND
logName : "cloudaudit.googleapis.com"
Registros de auditoría de BigQuery de un proyecto
resource . type = "bigquery_project" AND
logName : "cloudaudit.googleapis.com"
Registros de auditoría de BigQuery para un conjunto de datos
resource . type = "bigquery_dataset" AND
logName : "cloudaudit.googleapis.com"
Registros de auditoría de BigQuery para el modelo de BI Engine
resource . type = "bigquery_biengine_model" AND
logName : "cloudaudit.googleapis.com"
Registros de auditoría de BigQuery para la ejecución de un servicio de transferencia de datos.
resource . type = "bigquery_dts_run" AND
logName : "cloudaudit.googleapis.com"
Registros de auditoría de BigQuery para una configuración del Servicio de transferencia de datos.
resource . type = "bigquery_dts_config" AND
logName : "cloudaudit.googleapis.com"
Trabajos del Servicio de transferencia de datos de BigQuery
resource . type = ( "bigquery_project" ) AND
protoPayload . requestMetadata . callerSuppliedUserAgent = "BigQuery Data Transfer Service" AND
protoPayload . methodName = ( "google.cloud.bigquery.v2.JobService.InsertJob" OR "google.cloud.bigquery.v2.JobService.Query" )
Actualizaciones de conjuntos de datos de BigQuery
resource . type = "bigquery_dataset" AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . methodName = "google.cloud.bigquery.v2.DatasetService.UpdateDataset"
Trabajos de BigQuery completados
resource . type = "bigquery_project" AND
log_id ( "cloudaudit.googleapis.com/data_access" ) AND
protoPayload . methodName = ( "google.cloud.bigquery.v2.JobService.InsertJob" OR "google.cloud.bigquery.v2.JobService.Query" )
Consultas grandes de BigQuery
resource . type = "bigquery_project" AND
protoPayload . metadata . jobChange . job . jobStats . queryStats . totalBilledBytes > 1073741824
Se superó la cuota de BigQuery
resource . type = ( "bigquery_dataset" OR "bigquery_project" ) AND
protoPayload . status . code = 8 AND
severity >= WARNING
Se inició la consulta en BigQuery
resource . type = "bigquery_project" AND
protoPayload . metadata . jobInsertion . reason : *
Consultas de Dataflow
Nombre de la consulta o del filtro
Expresión
Errores y advertencias en trabajadores de Dataflow
resource . type = "dataflow_step" AND
log_id ( "dataflow.googleapis.com/worker" ) AND
severity >= WARNING
Consultas de Dataproc
Nombre de la consulta o del filtro
Expresión
Registros de Apache Hadoop de Dataproc
resource . type = "cloud_dataproc_cluster" AND
jsonPayload . class : "org.apache.hadoop.mapreduce"
Cloud Deployment Manager
Nombre de la consulta o del filtro
Expresión
Errores de Deployment Manager
resource . type = "deployment" AND
severity >= ERROR
Consultas de Cloud Functions
Nombre de la consulta o del filtro
Expresión
Errores de Cloud Function
resource . type = "cloud_function" AND
log_id ( "cloudfunctions.googleapis.com/cloud-functions" ) AND
severity >= ERROR
Consultas de la administración de identidades y accesos
Nombre de la consulta o del filtro
Expresión
Registros de creación de cuentas de servicio
resource . type = "service_account" AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . methodName = "google.iam.admin.v1.CreateServiceAccount"
Registros de claves de creación de cuentas de servicio
resource . type = "service_account" AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . methodName = "google.iam.admin.v1.CreateServiceAccountKey"
Configurar registros de la política de control de acceso
resource . type = "project" AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . methodName = "SetIamPolicy"
Principal externo con acceso a la organización
resource . type = "project" AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . @ type = "type.googleapis.com/google.cloud.audit.AuditLog" AND
protoPayload . request . @ type : "IamPolicy" AND
protoPayload . serviceData . policyDelta . bindingDeltas . member : * AND
NOT protoPayload . serviceData . policyDelta . bindingDeltas . member : "@[DOMAIN_NAME] .com"
Creación, modificación o eliminación de recursos
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . methodName :( "create" OR "delete" OR "update" )
Consultas de Cloud Source Repositories
Nombre de la consulta o del filtro
Expresión
Registros de Cloud Source Repository
resource . type = "csr_repository" AND
resource . labels . name = "[REPOSITORY_NAME] "
Consultas de Cloud Spanner
Nombre de la consulta o del filtro
Expresión
Registros de Cloud Spanner para una instancia de llave específica
resource . type = "spanner_instance" AND
resource . labels . instance_id = "[SPANNER_INSTANCE] "
Consultas de Cloud SQL
Nombre de la consulta o del filtro
Expresión
Registros de auditoría de Cloud SQL
resource . type = "cloudsql_database" AND
resource . labels . database_id = "[DATABASE_ID] " AND
log_id ( "cloudaudit.googleapis.com/activity" )
Registros de errores de MySQL de Cloud SQL
resource . type = "cloudsql_database" AND
log_id ( "cloudsql.googleapis.com/mysql.err" )
Bases de datos basadas en MySQL de Cloud SQL
resource . type = "cloudsql_database" AND
resource . labels . database_id = "[DATABASE_ID] " AND
log_id ( "cloudsql.googleapis.com/mysql" )
Bases de datos basadas en Postgres de Cloud SQL
resource . type = "cloudsql_database" AND
resource . labels . database_id = "[DATABASE_ID] " AND
log_id ( "cloudsql.googleapis.com/postgres.log" )
Registros de error de SQL Server de Cloud SQL
resource . type = "cloudsql_database" AND
log_id ( "cloudsql.googleapis.com/sqlserver.err" )
Bases de datos basadas en SQL Server de Cloud SQL
resource . type = "cloudsql_database" AND
resource . labels . database_id = "[DATABASE_ID] " AND
log_id ( "cloudsql.googleapis.com/sqlagent.out" )
Consultas de Compute Engine
Nombre de la consulta o del filtro
Expresión
Registros de actividad del administrador de Google Compute Engine
resource . type = "gce_instance" AND
log_id ( "cloudaudit.googleapis.com/activity" )
Eliminación de reglas de firewall de Google Compute Engine
resource . type = "gce_firewall_rule" AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . methodName : "firewalls.delete"
syslogs de VM de Google Compute Engine
resource . type = "gce_instance" AND
log_id ( "syslog" )
Consultas de Cloud Storage
Nombre de la consulta o del filtro
Expresión
Registros de depósitos de GCS
resource . type = "gcs_bucket" AND
resource . labels . bucket_name = "[BUCKET_NAME] "
Registros de auditoría del bucket de GCS
resource . type = "gcs_bucket" AND
logName : "cloudaudit.googleapis.com"
Registros de creación de buckets de GCS
resource . type = "gcs_bucket" AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . method_name = "storage.buckets.create"
Registros de eliminación de depósitos de GCS
resource . type = "gcs_bucket" AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . method_name = "storage.buckets.delete"
Consultas de Cloud Tasks
Nombre de la consulta o del filtro
Expresión
Registros de la cola de Cloud Tasks
resource . type = "cloud_tasks_queue" AND
resource . labels . queue_id = "[QUEUE_ID] "
Consultas relacionadas con Kubernetes
Para obtener una descripción general y ejemplos de consultas de registro de auditoría de la actividad del administrador, consulta los que se proporcionan en la
página de registro de auditoría de GKE .
Consultas a nivel de clúster
Nombre de la consulta o del filtro
Expresión
Operaciones del clúster de Google Kubernetes Engine
resource . type = "gke_cluster" AND
log_id ( "cloudaudit.googleapis.com/activity" )
Creacióndel clúster de Google Kubernetes Engine
resource . type = "gke_cluster" AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . methodName = "google.container.v1.ClusterManager.CreateCluster"
Implementación del clúster de Kubernetes
resource . type = "k8s_cluster" AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . methodName :"deployments"
Error de autenticación del clúster de Kubernetes
resource . type = "k8s_cluster" AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . authenticationInfo . principalEmail = "system:anonymous"
Operaciones y eventos de clúster de Kubernetes en us-central1-b
resource . type = "k8s_cluster" AND
resource . labels . location = "us-central1-b"
Solicitudes del pod de Kubernetes de parte de los usuarios
resource . type = "k8s_cluster" AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . methodName :"io.k8s.core.v1.pods" AND
protoPayload . authenticationInfo . principalEmail = "[USER_EMAIL] "
Eventos de Kubernetes
resource . type = "k8s_cluster" AND
log_id ( "events" )
Actualización de los extremos de Kubernetes
resource . type = "k8s_cluster" AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . request . kind = "Endpoints"
Registros del plano de control de Kubernetes
resource . type = "k8s_cluster" AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . serviceName = "k8s.io"
Registros del plano de control de Kubernetes Engine
resource . type = "k8s_cluster" AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . serviceName = "container.googleapis.com"
Eliminación de pods
resource . type = "k8s_cluster" AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . methodName =~ "io\.k8s\.core\.v1\.pods\.(create|delete)"
Registros de auditoría de Pods de Kubernetes desde el plano de control
resource . type = "k8s_cluster" AND
resource . labels . location = "CLUSTER_LOCATION " AND
resource . labels . cluster_name = "CLUSTER_NAME " AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . resourceName = " core / v1 / namespaces / POD_NAMESPACE / pods / POD_NAME
Expulsiones de Pods de Kubernetes
resource . type = "k8s_cluster" AND
resource . labels . location = "CLUSTER_LOCATION " AND
resource . labels . cluster_name = "CLUSTER_NAME " AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . methodName = "io.k8s.core.v1.pods.eviction.create"
Registros de auditoría de nodos de Kubernetes del plano de control
resource . type = "k8s_cluster" AND
resource . labels . location = "CLUSTER_LOCATION " AND
resource . labels . cluster_name = "CLUSTER_NAME " AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . methodName :"io.k8s.core.v1.nodes"
Plano de control del clúster de Kubernetes para la actividad del administrador de complementos
resource . type = "k8s_cluster" AND
resource . labels . location = "CLUSTER_LOCATION " AND
resource . labels . cluster_name = "CLUSTER_NAME " AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . authenticationInfo . principalEmail = "system:addon-manager"
Errores del plano de control de Kubernetes (sin incluir Conflict
, que es normal)
resource . type = "k8s_cluster" AND
resource . labels . location = "CLUSTER_LOCATION " AND
resource . labels . cluster_name = "CLUSTER_NAME " AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . status . message != "Conflict" AND
protoPayload . status . code != 0
Eventos del controlador de Ingress
resource . type = "k8s_cluster" AND
resource . labels . location = "CLUSTER_LOCATION " AND
resource . labels . cluster_name = "CLUSTER_NAME " AND
log_id ( "events" ) AND
jsonPayload . source . component = "loadbalancer-controller"
Eventos del controlador de servicio (kube-controller-manager)
resource . type = "k8s_cluster" AND
resource . labels . location = "CLUSTER_LOCATION " AND
resource . labels . cluster_name = "CLUSTER_NAME " AND
log_id ( "events" ) AND
jsonPayload . source . component = "service-controller"
Eventos del escalador automático de clúster
resource . type = "k8s_cluster" AND
resource . labels . location = "CLUSTER_LOCATION " AND
resource . labels . cluster_name = "CLUSTER_NAME " AND
log_id ( "events" ) AND
jsonPayload . source . component = "cluster-autoscaler"
Consultas a nivel del pod
Nombre del filtro
Expresión
Pod de consulta durante la creación
resource . type = "k8s_pod" AND
resource . labels . pod_name = "POD_NAME " AND
log_id ( "events" )
Eventos de programador
resource . type = "k8s_pod" AND
resource . labels . location = "CLUSTER_LOCATION " AND
resource . labels . cluster_name = "CLUSTER_NAME " AND
log_id ( "events" ) AND
jsonPayload . source . component = "default-scheduler"
Eventos de programador (interrupciones)
resource . type = "k8s_pod" AND
resource . labels . location = "CLUSTER_LOCATION " AND
resource . labels . cluster_name = "CLUSTER_NAME " AND
log_id ( "events" ) AND
jsonPayload . source . component = "default-scheduler" AND
jsonPayload . reason = "Preempted"
Consultas a nivel de nodo
Nombre del filtro
Expresión
Eventos de nodos
resource . type = "k8s_node" AND
log_id ( "events" )
Observa registros del proxy de Kubernetes
resource . type = "k8s_node" AND
log_id ( "kube-proxy" )
Observa registros de Docker
resource . type = "k8s_node" AND
log_id ( "container-runtime" )
Observa errores o fallas de kubelet
resource . type = "k8s_node" AND
log_id ( "kubelet" ) AND
jsonPayload . MESSAGE :( "error" OR "fail" )
Observa registros de nodos para los registros del sistema de GKE
resource . type = "k8s_node"
logName :( "logs/container-runtime" OR
"logs/docker" OR
"logs/kube-container-runtime-monitor" OR
"logs/kube-logrotate" OR
"logs/kube-node-configuration" OR
"logs/kube-node-installation" OR
"logs/kubelet" OR
"logs/kubelet-monitor" OR
"logs/node-journal" OR
"logs/node-problem-detector" )
Consultas de espacio de nombres
Nombre del filtro
Expresión
Registros de contenedores y Pods para los registros del sistema de GKE
resource . type = ( "k8s_container" OR "k8s_pod" )
resource . labels . namespace_name = (
"cnrm-system" OR
"config-management-system" OR
"gatekeeper-system" OR
"gke-connect" OR
"gke-system" OR
"istio-system" OR
"knative-serving" OR
"monitoring-system" OR
"kube-system" )
Consultas de contenedores
Nombre del filtro
Expresión
Registros del contenedor de stdout en todos los pods y los contenedores de un clúster
resource . type = "k8s_container" AND
log_id ( "stdout" )
Registros de errores del contenedor en todos los pods y los contenedores de un clúster
resource . type = "k8s_container" AND
log_id ( "stderr" ) AND
severity = ERROR
Registros de errores del contenedor de un pod con un nombre específico
resource . type = "k8s_container" AND
resource . labels . pod_name = "POD_NAME " AND
severity = ERROR
Registros de errores de un contenedor específico en un pod específico
resource . type = "k8s_container" AND
resource . labels . pod_name = "POD_NAME " AND
resource . labels . container_name = "server" AND
severity = ERROR
Registros de errores del contenedor de un espacio de nombres y un contenedor específicos
resource . type = "k8s_container" AND
resource . labels . namespace_name = "istio-system" AND
resource . labels . container_name = "egressgateway" AND
severity = ERROR
Registros del contenedor de un pod con una etiqueta específica
resource . type = "k8s_container" AND
labels . "k8s-pod/app" = "loadgenerator" AND
severity = ERROR
Registros de errores del contenedor para los Pods que se ejecutan en un nodo específico
resource . type = "k8s_container" AND
labels . "compute.googleapis.com/resource_name" = [ NODE_NAME ] AND
severity = ERROR
Registros del contenedor de un pod con una etiqueta generada mediante Skaffold
resource . type = "k8s_container" AND
labels . "k8s-pod/app" = "loadgenerator" AND
labels . "k8s-pod/skaffold_dev/run-id" = [ SKAFFOLD_RUN_ID ]
severity = ERROR
Registros de errores del contenedor de un pod específico que contiene un POST
en el textPayload
resource . type = "k8s_container" AND
resource . labels . pod_name = "POD_NAME " AND
textPayload :"POST" AND
severity = ERROR
Registros de errores del contenedor de un pod específico que contiene un GET
en el JSON estructurado
resource . type = "k8s_container" AND
resource . labels . pod_name = "POD_NAME " AND
jsonPayload . "http.req.method" = "GET" AND
severity = ERROR
Registros de errores del contenedor en el espacio de nombres del sistema de Kubernetes
resource . type = "k8s_container" AND
resource . labels . namespace_name = "kube-system" AND
severity = ERROR
Error del contenedor en el registro de estadísticas del contenedor
resource . type = "k8s_container" AND
log_id ( "clouderrorreporting.googleapis.com/insights" )
Registros de contenedores de Kubernetes
resource . type = "k8s_container" AND
resource . labels . cluster_name = "CONTAINER_NAME "
Consultas de aplicaciones del agente de Logging
Nombre de la consulta o del filtro
Expresión
Registros de Apache
resource . type = "gce_instance" AND
( logName : "/apache-access" OR logName : "/apache-error" )
Registros de Cassandra
resource . type = "gce_instance" AND
log_id ( "cassandra" )
Registros de Chef
resource . type = "gce_instance" AND
logName : "projects/[PROJECT_ID] /logs/chef-"
Registros de Gitlab
resource . type = "gce_instance"
logName : "projects/[PROJECT_ID] /logs/gitlab-"
Registros de Jenkins
resource . type = "gce_instance" AND
log_id ( "jenkins" )
Registros de Jetty
resource . type = "gce_instance" AND
logName : "projects/[PROJECT_ID] /logs/jetty-"
Registros de Joomla
resource . type = "gce_instance" AND
log_id ( "joomla" )
syslog de Linux
resource . type = "gce_instance" AND
log_id ( "syslog" )
Registros de Magneto
resource . type = "gce_instance" AND
logName : "projects/[PROJECT_ID] /logs/magneto-"
Registros de Mediawiki
resource . type = "gce_instance" AND
log_id ( "mediawiki" )
Registros de Memcached
resource . type = "gce_instance" AND
log_id ( "memcached" )
Registros de MongoDB
resource . type = "gce_instance" AND
log_id ( "mongodb" )
Registros de MySQL
resource . type = "gce_instance" AND
log_id ( "mysql" )
Registros Nginx
resource . type = "gce_instance" AND
logName : "projects/[PROJECT_ID] /logs/nginx-"
Registros de PostgreSQL
resource . type = "gce_instance" AND
log_id ( "postgresql" )
Registros de Puppet
resource . type = "gce_instance" AND
logName : "projects/[PROJECT_ID] /logs/puppet-"
Registros de RabbitMQ
resource . type = "gce_instance" AND
logName : "projects/[PROJECT_ID] /logs/rabbitmq-"
Registros de Redmine
resource . type = "gce_instance" AND
log_id ( "redmine" )
Registros de sal
resource . type = "gce_instance" AND
logName : "projects/[PROJECT_ID] /logs/salt-"
Consultas lentas de MySQL
resource . type = "gce_instance" AND
log_id ( "mysql-slow" )
Registros de Solr
resource . type = "gce_instance" AND
log_id ( "solr" )
Registros de SugarCRM
resource . type = "gce_instance" AND
log_id ( "sugarcrm" )
Registros de Tomcat
resource . type = "gce_instance" AND
log_id ( "tomcat" )
Registros de Zookeeper
resource . type = "gce_instance" AND
log_id ( "zookeeper" )
Consultas de Herramientas de redes
Nombre de la consulta o del filtro
Expresión
Firewall: todos los registros
resource . type = "gce_subnetwork" AND
log_id ( "compute.googleapis.com/firewall" )
Registros de firewall para un país determinado
resource . type = "gce_subnetwork" AND
log_id ( "compute.googleapis.com/firewall" ) AND
jsonPayload . remote_location . country = [ COUNTRY_ISO_ALPHA_3 ]
Registros de firewall de una VM
resource . type = "gce_subnetwork" AND
log_id ( "compute.googleapis.com/firewall" ) AND
jsonPayload . instance . vm_name = "[INSTANCE_NAME] "
Registros de subredes de firewall
resource . type = "gce_subnetwork" AND
log_id ( "compute.googleapis.com/firewall" ) AND
resource . labels . subnetwork_name = "[SUBNET_NAME] "
Registros de tráfico de subred de Compute Engine a una subred
resource . type = "gce_subnetwork" AND
ip_in_net ( jsonPayload . connection . dest_ip , "[SUBNET_IP] " )
Registros de flujo de VPC
resource . type = "gce_subnetwork" AND
log_id ( "compute.googleapis.com/vpc_flows" )
Registros de flujo de VPC para puertos y protocolos específicos
resource . type = "gce_subnetwork" AND
log_id ( "compute.googleapis.com/vpc_flows" ) AND
jsonPayload . connection . src_port = "[PORT_ID] " AND
jsonPayload . connection . protocol = "[PROTOCOL] "
Registros de flujo de VPC para una subred específica
resource . type = "gce_subnetwork" AND
log_id ( "compute.googleapis.com/vpc_flows" ) AND
resource . labels . subnetwork_name "=[SUBNET_NAME] "
Registros de flujo de VPC para un prefijo de subred específico
resource . type = "gce_subnetwork" AND
log_id ( "compute.googleapis.com/vpc_flows" ) AND
ip_in_net ( jsonPayload . connection . dest_ip ,[ SUBNET_IP ])
Registros de flujo de VPC para una VM específica
resource . type = "gce_subnetwork" AND
log_id ( "compute.googleapis.com/vpc_flows" ) AND
jsonPayload . src_instance . vm_name = "[VM_NAME] "
Registros de puerta de enlace de VPN
resource . type = "vpn_gateway" AND
resource . labels . gateway_id = "[GATEWAY_ID] "
Errores 5xx del balanceador de cargas HTTP
resource . type = "http_load_balancer" AND
httpRequest . status >= 500
Solicitudes del balanceador de cargas HTTP a PHPMyAdmin
resource . type = "http_load_balancer" AND
httpRequest . request_url : "phpmyadmin"
Consultas de registro de seguridad
Nombre de la consulta o del filtro
Expresión
Registros de auditoría: todos
logName : "cloudaudit.googleapis.com"
Registros de auditoría: Transparencia de acceso (AXT)
log_id ( "cloudaudit.googleapis.com/access_transparency" )
Registros de auditoría: Actividad del administrador
log_id ( "cloudaudit.googleapis.com/activity" )
Registros de auditoría: Acceso a los datos
log_id ( "cloudaudit.googleapis.com/data_access" )
Registros de auditoría: evento del sistema
log_id ( "cloudaudit.googleapis.com/system_event" )
Consultas de Google Cloud's operations suite
Nombre de la consulta o del filtro
Expresión
Actividades del receptor de registros
resource . type = "logging_sink" AND
log_id ( "cloudaudit.googleapis.com/activity" )
Actividades de creación o actualización de métricas basadas en registros
resource . type = "metric" AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . methodName :( UpdateLogMetric OR CreateLogMetric )
Verificación de URL de tiempo de actividad para un host
resource . type = "uptime_url" AND
resource . labels . host = "[URL] "
Solución de problemas
Si quieres obtener más información sobre la sintaxis de la consulta y las instrucciones para la solución de problemas, ve a
Compila consultas: Solución de problemas .
¿Qué sigue?
Si deseas obtener más información sobre la sintaxis de consulta, que puedes usar para personalizar estas consultas, ve a
Compila consultas .