Neste documento, apresentamos consultas sugeridas para facilitar a localização
de registros importantes usando a Análise de registros no console do Google Cloud.
As consultas listadas são escritas na linguagem de consulta do Logging e podem ser usadas na Análise de registros, na API Logging ou na interface de linha de comando.
O Explorador de registros usa expressões booleanas para especificar um
subconjunto de todas as entradas de registro no projeto. É possível usar essas consultas para escolher entradas de registros específicos ou de serviços ou que satisfaçam condições em metadados ou campos definidos pelo usuário.
Antes de começar
Para visualizar os registros que você está enviando de uma conta da Amazon Web Services (AWS)
para o Logging, selecione o
projeto de conector da AWS
no seletor de recursos do console do Google Cloud e use a
Análise de registros.
O projeto de conector da AWS armazena o Amazon Resource Name (ARN) da sua conta da AWS e
vincula sua conta da AWS aos serviços do Google Cloud. Para mais informações, consulte
Coletar métricas de contas da AWS.
Verifique se você tem as permissões ou os papéis corretos do Identity and Access Management para
criar consultas usando a Análise de registros. Para detalhes sobre as
permissões do IAM necessárias, consulte
Permissões para o console do Google Cloud.
Começar
-
No painel de navegação do console do Google Cloud,
selecione Logging e clique em Análise de registros:
Acessar a Análise de registros
Selecione o projeto apropriado do Google Cloud ou outro recurso do Google Cloud de que você quer visualizar os registros.
Usar os exemplos de consultas
Para aplicar uma consulta nas tabelas a seguir, clique no
ícone content_copy Cópia de conteúdo para a expressão
e cole a expressão copiada no campo
Editor de consultas da Análise de registros:
Se o campo "Editor de consultas" não aparecer, ative Mostrar consulta.
Depois de revisar a expressão de consulta, clique em Executar consulta. Os registros que correspondem à consulta estão listados em Resultados da consulta.
Algumas das consultas listadas mais adiante nesta página incluem variáveis que você precisa
substituir por valores válidos. Por exemplo, quando uma consulta incluir logName, a PROJECT_ID fornecida precisará se referir ao projeto do Google Cloud selecionado no momento. Caso contrário, a consulta não funcionará.
Observações:
Se você tiver uma consulta com carimbo de data/hora, o seletor de intervalo de tempo será desativado, e a consulta usará a expressão de carimbo de data/hora como restrição de intervalo de tempo. Se uma consulta não usar uma expressão de carimbo de data/hora, a consulta usará o seletor de intervalo de tempo como a restrição de intervalo de tempo.
O tamanho de uma consulta não pode exceder 20.000 caracteres.
A linguagem de consulta do Logging
não diferencia maiúsculas de minúsculas, com exceção das expressões regulares.
É possível usar a função log_id para consultas com uma expressão log_name. Por exemplo, a expressão
log_name="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access"
é igual a log_id("cloudaudit.googleapis.com/data_access").
Para mais informações sobre a função log_id, consulte
Linguagem de consulta do Logging: funções.
Para instruções sobre como fazer consultas no console do Google Cloud, acesse
Criar consultas na Análise de registros.
Nas seções a seguir, você verá o agrupamento de consultas por serviços do Google Cloud.
Consultas do App Engine
| Nome da consulta/filtro |
Expressão |
| Registros do App Engine na véspera de Ano Novo (no horário UTC) |
resource.type="gae_app" AND
severity>=ERROR AND
timestamp>="2018-12-31T00:00:00Z" AND timestamp<="2019-01-01T00:00:00Z" |
| Registros de solicitação do App Engine com erros do servidor |
resource.type="gae_app" AND
log_id("appengine.googleapis.com/request_log") AND
httpRequest.status>=500 |
| Registros de erro HTTP amostrados |
resource.type="gae_app" AND
protoPayload.status >= 400 AND
sample(insertId, 0.1)
|
| Pesquisar o código de rastreamento do App Engine |
resource.type="gae_app" AND
trace="projects/PROJECT_ID/traces/TRACE_ID" |
| Registros do App Engine |
resource.type="gae_app" AND
resource.labels.module_id="MODULE_ID" AND
resource.labels.version_id="VERSION_ID" |
| Implantações recentes do App Engine |
resource.type="gae_app" AND
protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog" AND
protoPayload.serviceName="appengine.googleapis.com" |
Ativar e desativar consultas da API
| Nome da consulta/filtro |
Expressão |
| Registros de ativação da API Audit |
protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.EnableService" |
| Registros de desativação da API Audit |
protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.DisableService" |
Consultas do BigQuery
| Nome da consulta/filtro |
Expressão |
| Registros de auditoria do BigQuery |
resource.type=("bigquery_dataset" OR "bigquery_project") AND
logName:"cloudaudit.googleapis.com" |
| Registros de auditoria do BigQuery para um projeto |
resource.type="bigquery_project" AND
logName:"cloudaudit.googleapis.com" |
| Registros de auditoria do BigQuery para um conjunto de dados |
resource.type="bigquery_dataset" AND
logName:"cloudaudit.googleapis.com" |
| Registros de auditoria do BigQuery para o modelo do BI Engine |
resource.type="bigquery_biengine_model" AND
logName:"cloudaudit.googleapis.com" |
| Registros de auditoria do BigQuery para uma execução do serviço de transferência de dados. |
resource.type="bigquery_dts_run" AND
logName:"cloudaudit.googleapis.com" |
| Registros de auditoria do BigQuery para uma configuração do serviço de transferência de dados. |
resource.type="bigquery_dts_config" AND
logName:"cloudaudit.googleapis.com" |
| Jobs do serviço de transferência de dados do BigQuery |
resource.type=("bigquery_project") AND
protoPayload.requestMetadata.callerSuppliedUserAgent=
"BigQuery Data Transfer Service" AND
protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR
"google.cloud.bigquery.v2.JobService.Query") |
| Registros de execução de transferência do BigQuery |
resource.type="bigquery_dts_config" AND
labels.run_id="RUN_ID" AND
resource.labels.config_id="CONFIG_ID" |
| Atualizações do conjunto de dados do BigQuery |
resource.type="bigquery_dataset" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName=
"google.cloud.bigquery.v2.DatasetService.UpdateDataset" |
| Jobs do BigQuery concluídos |
resource.type="bigquery_project" AND
log_id("cloudaudit.googleapis.com/data_access") AND
protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob"
OR "google.cloud.bigquery.v2.JobService.Query") |
| Consultas grandes do BigQuery |
resource.type="bigquery_project" AND
protoPayload.metadata.jobChange.job.jobStats.queryStats.totalBilledBytes
> 1073741824 |
| Cota do BigQuery excedida |
resource.type=("bigquery_dataset" OR "bigquery_project")
AND
protoPayload.status.code=8 AND
severity>=WARNING |
| Consulta do BigQuery iniciada |
resource.type="bigquery_project" AND
protoPayload.metadata.jobInsertion.reason:* |
| Jobs de carregamento/extração simultâneos do BigQuery |
resource.type="bigquery_resource" AND
protoPayload.methodName="jobservice.insert" AND
protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query:
"extract" |
Consultas do Dataflow
| Nome da consulta/filtro |
Expressão |
| Erros e avisos nos workers do Dataflow |
resource.type="dataflow_step" AND
log_id("dataflow.googleapis.com/worker") AND
severity>=WARNING |
Consultas do Dataproc
| Nome da consulta/filtro |
Expressão |
| Registros do Dataproc Apache Hadoop |
resource.type="cloud_dataproc_cluster" AND
jsonPayload.class:"org.apache.hadoop.mapreduce" |
Cloud Deployment Manager
| Nome da consulta/filtro |
Expressão |
| Erros do Deployment Manager |
resource.type="deployment" AND
severity>=ERROR |
Consultas do Cloud Functions
| Nome da consulta/filtro |
Expressão |
| Erros do Função do Cloud |
resource.type="cloud_function" AND
log_id("cloudfunctions.googleapis.com/cloud-functions") AND
severity>=ERROR |
Consultas do Cloud Monitoring
| Nome da consulta/filtro |
Expressão |
|---|
Mostrar todos os erros
de canal de notificação |
resource.type="stackdriver_notification_channel" AND
severity>=ERROR |
Mostrar erros
de canal de notificação devido à limitação |
resource.type="stackdriver_notification_channel" AND
severity>=ERROR AND
jsonPayload.summary="Notification delivery throttled." |
Mostrar registros gravados
pelo recurso de tempo de atividade |
resource.type="uptime_url" |
Mostrar solicitações recebidas do
serviço de verificação de tempo de atividade |
"GoogleStackdriverMonitoring-UptimeChecks" |
Consultas do Cloud Run
| Nome da consulta/filtro |
Expressão |
| Registros do Cloud Run para um job específico |
resource.type="cloud_run_job" AND
resource.labels.service_name="JOB_NAME"
|
| Registros do Cloud Run para uma revisão e serviço específicos |
resource.type="cloud_run_revision" AND
resource.labels.service_name="SERVICE_NAME" |
Consultas do Cloud Source Repositories
| Nome da consulta/filtro |
Expressão |
| Registros do Cloud Source Repositories |
resource.type="csr_repository" AND
resource.labels.name="REPOSITORY_NAME" |
Consultas do Spanner
| Nome da consulta/filtro |
Expressão |
| Registros do Cloud Spanner para uma instância de chave específica |
resource.type="spanner_instance" AND
resource.labels.instance_id="SPANNER_INSTANCE" |
Consultas do Cloud SQL
| Nome da consulta/filtro |
Expressão |
| Registros de auditoria do Cloud SQL |
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudaudit.googleapis.com/activity") |
| Registros de erro do Cloud SQL MySQL |
resource.type="cloudsql_database" AND
log_id("cloudsql.googleapis.com/mysql.err") |
| Bancos de dados baseados em Cloud SQL MySQL |
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/mysql") |
| Bancos de dados baseados em Postgres do Cloud SQL |
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/postgres.log") |
| Registros de erro do Cloud SQL SQL Server |
resource.type="cloudsql_database" AND
log_id("cloudsql.googleapis.com/sqlserver.err") |
| Bancos de dados baseados no Cloud SQL SQL Server |
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/sqlagent.out") |
Consultas do Cloud Storage
| Nome da consulta/filtro |
Expressão |
| Registros de intervalos do GCS |
resource.type="gcs_bucket" AND
resource.labels.bucket_name="BUCKET_NAME" |
| Registros de auditoria de intervalos do GCS |
resource.type="gcs_bucket" AND
logName:"cloudaudit.googleapis.com" |
| Registros de criação de intervalos do GCS |
resource.type="gcs_bucket" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.method_name="storage.buckets.create" |
| Registros de exclusão de bucket do GCS |
resource.type="gcs_bucket" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.method_name="storage.buckets.delete" |
Consultas do Cloud Tasks
| Nome da consulta/filtro |
Expressão |
| Registros de fila do Cloud Tasks |
resource.type="cloud_tasks_queue" AND
resource.labels.queue_id="QUEUE_ID" |
Consultas do Compute Engine
| Nome da consulta/filtro |
Expressão |
| Registros de atividade do administrador do Compute Engine |
resource.type="gce_instance" AND
log_id("cloudaudit.googleapis.com/activity") |
| Exclusão da regra de firewall do Compute Engine |
resource.type="gce_firewall_rule" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"firewalls.delete" |
| Syslogs da VM do Compute Engine |
resource.type="gce_instance" AND
log_id("syslog") |
| Registros de autenticação de VM do Compute Engine |
resource.type="gce_instance" AND
log_id("authlog") |
| Erro de host do Compute Engine |
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:"OnHostMaintenance"
OR
operation.producer:"OnHostMaintenance")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO |
| Host do Compute Engine migrado |
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:
"compute.instances.migrateOnHostMaintenance" OR
operation.producer:
"compute.instances.migrateOnHostMaintenance")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO |
| VM do Compute Engine encerrada/interrompida |
resource.type="gce_instance"
protoPayload.methodName=
~"compute\.instances\.(guestTerminate|preempted)"
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID" |
| Instância de VM do Compute Engine criada |
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.insert"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.request.name="INSTANCE_NAME" |
| Instância de VM do Compute Engine excluída com o nome |
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.delete"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.resourceName:"INSTANCE_NAME" |
| Instância de VM do Compute Engine excluída com o ID |
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.delete"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.instance_id="INSTANCE_ID" |
| Instância de VM do Compute Engine reiniciada |
resource.type="gce_instance"
protoPayload.methodName=~"compute\.instances\.(
stop|reset|automaticRestart|guestTerminate|
instanceManagerHaltForRestart)"
(log_id("cloudaudit.googleapis.com/activity")
OR log_id("cloudaudit.googleapis.com/system_event"))
resource.labels.instance_id="INSTANCE_ID" |
| Falha na integridade da inicialização da VM protegida do Compute Engine |
resource.type="gce_instance"
log_id("compute.googleapis.com/shielded_vm_integrity")
jsonPayload.earlyBootReportEvent.policyEvaluationPassed="false"
resource.labels.instance_id="INSTANCE_ID" |
| Instância de VM do Compute Engine interrompida pelo SO convidado |
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:"compute.instances.guestTerminate" OR
operation.producer:"compute.instances.guestTerminate")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO |
| O arquivo de inicialização de VM protegida do Compute Engine foi bloqueado |
resource.type="gce_instance"
log_id("serialconsole.googleapis.com/serial_port_1_output")
textPayload:("Security Violation")
resource.labels.instance_id="INSTANCE_ID" |
| Disco permanente criado |
resource.type="gce_disk" AND
protoPayload.methodName:"compute.disks.insert" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.resourceName: "PERSISTENT_DISK_NAME" |
| Nós adicionados ao nó de locatário individual |
resource.type="gce_node_group"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName=~("compute.nodeGroups.addNodes"
OR "compute.nodeGroups.insert")
resource.labels.node_group_id="NODE_GROUP_ID"
severity="INFO" |
| Eventos de escalonamento automático no nó de locatário individual |
resource.type="gce_node_group"
log_id("cloudaudit.googleapis.com/system_event")
protoPayload.methodName=~("compute.nodeGroups.deleteNodes"
OR "compute.nodeGroups.addNodes")
resource.labels.node_group_id="NODE_GROUP_ID" |
| Captura de tela manual |
resource.type="gce_snapshot"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.snapshots.insert"
protoPayload.resourceName:"SNAPSHOT_NAME" |
| Snapshot programado capturado |
resource.type="gce_disk"
log_id("cloudaudit.googleapis.com/system_event")
protoPayload.methodName="ScheduledSnapshots"
protoPayload.response.operationType="createSnapshot"
protoPayload.response.targetLink="PERSISTENT_DISK_NAME" |
| Programação de snapshot criada |
resource.type="gce_resource_policy"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.resourcePolicies.insert"
protoPayload.request.name="SCHEDULE_NAME" |
| Programação de snapshots anexada |
resource.type="gce_disk"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.disks.addResourcePolicies"
protoPayload.request.resourcePolicys:"SCHEDULE_NAME"
protoPayload.resourceName:"PERSISTENT_DISK_NAME" |
| Cota excedida |
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.insert"
protoPayload.status.message:"QUOTA_EXCEEDED"
severity=ERROR |
| Consultar instâncias não íntegras no grupo de instâncias |
resource.type="gce_instance_group"
resource.labels.instance_group_name="INSTANCE_GROUP_NAME"
jsonPayload.healthCheckProbeResult.healthState="UNHEALTHY" |
| Consulte os membros do grupo de instâncias em um período no formato UTC |
resource.type="gce_instance_group_manager"
resource.labels.instance_group_manager_name="INSTANCE_GROUP_NAME"
jsonPayload.@type=
"type.googleapis.com/compute.InstanceGroupManagerEvent"
jsonPayload.instanceHealthStateChange.detailedHealthState="HEALTHY"
timestamp >= START_TIME timestamp <= END_TIME |
| Instâncias removidas do grupo de instâncias |
resource.type="gce_instance_group"
protoPayload.methodName:"compute.instanceGroups.removeInstances"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.instance_group_name="INSTANCE_GROUP_NAME" |
| Modelo de instância definido ou atualizado |
resource.type="gce_instance_group_manager"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName=
"v1.compute.instanceGroupManagers.setInstanceTemplate"
resource.labels.instance_group_manager_name="INSTANCE_GROUP_MANAGER" |
| Regra de firewall excluída |
resource.type="gce_firewall_rule"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"firewalls.delete" |
| Registros do firewall |
resource.type="gce_subnetwork"
log_id("compute.googleapis.com/firewall")
jsonPayload.instance.vm_name="INSTANCE_NAME" |
Consultas de observabilidade do Google Cloud
| Nome da consulta/filtro |
Expressão |
| Atividades de afundamento de registro |
resource.type="logging_sink" AND
log_id("cloudaudit.googleapis.com/activity") |
| Atividades de criação ou atualização de métricas baseadas em registros |
resource.type="metric" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:(UpdateLogMetric OR CreateLogMetric) |
| Verificações de URL de disponibilidade para um host |
resource.type="uptime_url" AND
resource.labels.host="URL" |
Consultas de gerenciamento de identidade e acesso
| Nome da consulta/filtro |
Expressão |
| Registros de criação de conta de serviço |
resource.type="service_account" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.iam.admin.v1.CreateServiceAccount" |
| Registros de chave de criação de conta de serviço |
resource.type="service_account" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.iam.admin.v1.CreateServiceAccountKey" |
| Definir registros de política de controle de acesso |
resource.type="project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="SetIamPolicy" |
| O diretor externo concedeu acesso à organização |
resource.type="project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog" AND
protoPayload.request.@type:"IamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:* AND
NOT protoPayload.serviceData.policyDelta.bindingDeltas.member:"@DOMAIN_NAME.com" |
| Criação, modificação ou exclusão de recursos |
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:("create" OR "delete" OR "update") |
| Papel concedido ao principal |
log_id("cloudaudit.googleapis.com/activity") AND
resource.type="project" AND
protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND
protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.action="Add" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID" |
| Papel removido da conta principal |
log_id("cloudaudit.googleapis.com/activity") AND
resource.type="project" AND
protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND
protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.action="Remove" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID" |
| Permissão atualizada em um papel personalizado |
log_id("cloudaudit.googleapis.com/activity") AND
resource.type="iam_role" AND
protoPayload.serviceName="iam.googleapis.com" AND
protoPayload.methodName:"UpdateRole" AND
resource.labels.role_name:"ROLE_ID" |
Consultas relacionadas ao Kubernetes
Para uma visão geral e exemplos de consultas registro de auditoria de atividades do administrador, confira os fornecidos na
página de geração de registros de auditoria do GKE.
Consultas no nível do cluster
| Nome da consulta/filtro |
Expressão |
| Operações de cluster do Google Kubernetes Engine |
resource.type="gke_cluster" AND
log_id("cloudaudit.googleapis.com/activity") |
| Criação do cluster do Google Kubernetes Engine |
resource.type="gke_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.container.v1.ClusterManager.CreateCluster"
|
| Implantação do cluster do Kubernetes |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"deployments"
|
| Falha de autenticação do cluster do Kubernetes |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.authenticationInfo.principalEmail="system:anonymous"
|
Operações e eventos do cluster do Kubernetes em us-central1-b |
resource.type="k8s_cluster" AND
resource.labels.location="us-central1-b"
|
| Solicitações de pod do Kubernetes dos usuários |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"io.k8s.core.v1.pods" AND
protoPayload.authenticationInfo.principalEmail="USER_EMAIL"
|
| Eventos do Kubernetes |
resource.type="k8s_cluster" AND
log_id("events")
|
| Atualização dos endpoints do Kubernetes |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.request.kind="Endpoints"
|
| Registros do plano de controle do Kubernetes |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.serviceName="k8s.io"
|
| Registros do plano de controle do Kubernetes Engine |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.serviceName="container.googleapis.com"
|
| Exclusão de pods |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName=~"io\.k8s\.core\.v1\.pods\.(create|delete)"
|
| Registros de auditoria de pod do Kubernetes do plano de controle |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.resourceName="core/v1/namespaces/POD_NAMESPACE/pods/POD_NAME
|
| Remoção de pods do Kubernetes |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="io.k8s.core.v1.pods.eviction.create"
|
| Registros de auditoria do nó do Kubernetes no plano de controle |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"io.k8s.core.v1.nodes"
|
| Plano de controle de cluster do Kubernetes para a atividade do gerenciador de complementos |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.authenticationInfo.principalEmail="system:addon-manager"
|
Erros do plano de controle do Kubernetes (excluindo Conflict, que é normal) |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.status.message!="Conflict" AND
protoPayload.status.code!=0
|
| Eventos do controlador de entrada |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="loadbalancer-controller"
|
| Eventos do controlador de serviços (kube-controller-manager) |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="service-controller"
|
| Eventos de escalonamento automático de cluster |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="cluster-autoscaler"
|
Consultas no nível do pod
| Nome do filtro |
Expressão |
| Consulta em pods durante a criação |
resource.type="k8s_pod" AND
resource.labels.pod_name="POD_NAME" AND
log_id("events")
|
| Pod de consulta encerrado devido à pressão de recursos |
resource.type="k8s_pod" AND
log_id("events") AND
jsonPayload.reason="Evicted"
|
| Eventos do programador |
resource.type="k8s_pod" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="default-scheduler"
|
| Eventos do programador (preempções) |
resource.type="k8s_pod" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="default-scheduler" AND
jsonPayload.reason="Preempted"
|
Consultas no nível do nó
| Nome do filtro |
Expressão |
| Eventos de nó |
resource.type="k8s_node" AND
log_id("events")
|
| Visualizar os registros do Kube-proxy |
resource.type="k8s_node" AND
log_id("kube-proxy")
|
| Visualizar os registros do dockerd |
resource.type="k8s_node" AND
log_id("container-runtime")
|
| Visualizar os erros ou falhas do kubelet |
resource.type="k8s_node" AND
log_id("kubelet") AND
jsonPayload.MESSAGE:("error" OR "fail")
|
| Como analisar registros de nós para registros do sistema do GKE |
resource.type = "k8s_node"
logName:( "logs/container-runtime" OR
"logs/docker" OR
"logs/kube-container-runtime-monitor" OR
"logs/kube-logrotate" OR
"logs/kube-node-configuration" OR
"logs/kube-node-installation" OR
"logs/kubelet" OR
"logs/kubelet-monitor" OR
"logs/node-journal" OR
"logs/node-problem-detector")
|
Consultas de namespace
| Nome do filtro |
Expressão |
| Registros de contêiner e pod para registros do sistema do GKE |
resource.type = ("k8s_container" OR "k8s_pod")
resource.labels.namespace_name = (
"cnrm-system" OR
"config-management-system" OR
"gatekeeper-system" OR
"gke-connect" OR
"gke-system" OR
"istio-system" OR
"knative-serving" OR
"monitoring-system" OR
"kube-system")
|
Consultas em contêiner
| Nome do filtro |
Expressão |
| Registros de contêiner stdout de todos os pods e contêineres em um cluster |
resource.type="k8s_container" AND
log_id("stdout")
|
| Registros de erros de contêiner de todos os pods e contêineres em um cluster |
resource.type="k8s_container" AND
log_id("stderr") AND
severity=ERROR
|
| Registros de erros de contêiner de um pod com nome específico |
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
severity=ERROR
|
| Registros de erros de contêiner de um container e um pod específico |
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
resource.labels.container_name="server" AND
severity=ERROR
|
| Registros de erros de contêiner de um container e um namespace específico |
resource.type="k8s_container" AND
resource.labels.namespace_name="istio-system" AND
resource.labels.container_name="egressgateway" AND
severity=ERROR
|
| Registros de contêiner de um pod com um rótulo específico |
resource.type="k8s_container" AND
labels."k8s-pod/app"="loadgenerator" AND
severity=ERROR
|
| Registros de erro de contêiner para pods em execução em um nó específico |
resource.type="k8s_container" AND
labels."compute.googleapis.com/resource_name"=NODE_NAME AND
severity=ERROR
|
| Registros de contêiner de um pod com um rótulo gerado usando skaffold |
resource.type="k8s_container" AND
labels."k8s-pod/app"="loadgenerator" AND
labels."k8s-pod/skaffold_dev/run-id"=SKAFFOLD_RUN_ID
severity=ERROR
|
Registros de erro de contêiner para um pod específico que contém um POST no textPayload |
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
textPayload:"POST" AND
severity=ERROR
|
Registros de erro de contêiner para um pod específico que contém um GET no JSON estruturado |
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
jsonPayload."http.req.method"="GET" AND
severity=ERROR
|
| Registros de erros de contêiner no namespace kube-system |
resource.type="k8s_container" AND
resource.labels.namespace_name="kube-system" AND
severity=ERROR
|
| Erros de contêiner no registro de insightsdo contêiner |
resource.type="k8s_container" AND
log_id("clouderrorreporting.googleapis.com/insights")
|
| Registros de contêiner do Kubernetes |
resource.type="k8s_container" AND
resource.labels.container_name="CONTAINER_NAME"
|
Consultas do plano de controle
Observação: os registros do plano de controle do GKE precisam estar ativados.
| Nome do filtro |
Expressão |
| Registros do servidor da API Kubernetes |
resource.type="k8s_control_plane_component"
resource.labels.component_name="apiserver"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
|
| Registros do programador do Kubernetes |
resource.type="k8s_control_plane_component"
resource.labels.component_name="scheduler"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
|
| Registros do Kubernetes Controller Manager |
resource.type="k8s_control_plane_component"
resource.labels.component_name="controller-manager"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
|
Consultas do aplicativo do agente do Logging
| Nome da consulta/filtro |
Expressão |
| Registros do Apache |
resource.type="gce_instance" AND
(logName:"/apache-access" OR logName:"/apache-error") |
| Registros do Cassandra |
resource.type="gce_instance" AND
log_id("cassandra") |
| Registros do Chef |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/chef-" |
| Registros do gitlab |
resource.type="gce_instance"
logName:"projects/PROJECT_ID/logs/gitlab-" |
| Registros do Jenkins |
resource.type="gce_instance" AND
log_id("jenkins") |
| Registros do Jetty |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/jetty-" |
| Registros do Joomla |
resource.type="gce_instance" AND
log_id("joomla") |
| Syslogs do Linux |
resource.type="gce_instance" AND
log_id("syslog") |
| Registros do Magneto |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/magneto-" |
| Registros do Mediawiki |
resource.type="gce_instance" AND
log_id("mediawiki") |
| Registros do memcached |
resource.type="gce_instance" AND
log_id("memcached") |
| Registros do MongoDB |
resource.type="gce_instance" AND
log_id("mongodb") |
| Registros do MySQL |
resource.type="gce_instance" AND
log_id("mysql") |
| Registros do Nginx |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/nginx-" |
| Registros do PostgreSQL |
resource.type="gce_instance" AND
log_id("postgresql") |
| Registros do Puppet |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/puppet-" |
| Registros do RabbitMQ |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/rabbitmq-" |
| Registros do Redmine |
resource.type="gce_instance" AND
log_id("redmine") |
| Registros do Salt |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/salt-" |
| Consultas lentas do MySQL |
resource.type="gce_instance" AND
log_id("mysql-slow") |
| Registros do Solr |
resource.type="gce_instance" AND
log_id("solr") |
| Registros do SugarCRM |
resource.type="gce_instance" AND
log_id("sugarcrm") |
| Registros do Tomcat |
resource.type="gce_instance" AND
log_id("tomcat") |
| Registros do Zookeeper |
resource.type="gce_instance" AND
log_id("zookeeper") |
Consultas de rede
| Nome da consulta/filtro |
Expressão |
| Firewall: todos os registros |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") |
| Registros de firewall de um determinado país |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
jsonPayload.remote_location.country=COUNTRY_ISO_ALPHA_3 |
| Registros do firewall de uma VM |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
jsonPayload.instance.vm_name="INSTANCE_NAME" |
| Registros de sub-rede de firewall |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
resource.labels.subnetwork_name="SUBNET_NAME" |
| Registros de tráfego de sub-rede do Compute Engine para uma sub-rede |
resource.type="gce_subnetwork" AND
ip_in_net(jsonPayload.connection.dest_ip, "SUBNET_IP") |
| Registros de fluxo de VPC |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") |
| Registros de fluxo VPC para porta e protocolo específicos |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
jsonPayload.connection.src_port="PORT_ID" AND
jsonPayload.connection.protocol="PROTOCOL" |
| Registros de fluxo de VPC para sub-rede específica |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
resource.labels.subnetwork_name"=SUBNET_NAME" |
| Registros de fluxo de VPC para prefixo de sub-rede específico |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
ip_in_net(jsonPayload.connection.dest_ip,SUBNET_IP) |
| Registros de fluxo da VPC de uma VM específica |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
jsonPayload.src_instance.vm_name="VM_NAME" |
| Registros de gateway de VPN |
resource.type="vpn_gateway" AND
resource.labels.gateway_id="GATEWAY_ID" |
| Erros do Balanceador de carga HTTP 5xx |
resource.type="http_load_balancer" AND
httpRequest.status>=500 |
| Solicitações do balanceador de carga HTTP para o PHPMyAdmin |
resource.type="http_load_balancer" AND
httpRequest.request_url:"phpmyadmin" |
Consultas de geração de registro de segurança
| Nome da consulta/filtro |
Expressão |
| Registros de auditoria: todos |
logName:"cloudaudit.googleapis.com" |
| Registros de auditoria: transparência de acesso (AXT) |
log_id("cloudaudit.googleapis.com/access_transparency") |
| Registros de auditoria: atividade do administrador |
log_id("cloudaudit.googleapis.com/activity") |
| Registros de auditoria: acesso a dados |
log_id("cloudaudit.googleapis.com/data_access") |
| Registros de auditoria: evento do sistema |
log_id("cloudaudit.googleapis.com/system_event") |
Solução de problemas
Para instruções sobre como solucionar problemas comuns ao usar a Análise de registros, consulte Como usar a Análise de registros: solução de problemas.
A seguir
Para mais informações sobre a sintaxe da consulta, que pode ser usada para personalizar essas consultas, consulte Linguagem de consulta do Logging.
Para mais informações sobre consultas no console do Google Cloud, consulte
Criar consultas usando a linguagem de consulta do Logging.
