En este documento, se sugieren consultas para que sea más fácil encontrar
para acceder a registros importantes
con el Explorador de registros de la consola de Google Cloud.
Las consultas enumeradas se escriben
Lenguaje de consulta de Logging,
y se pueden usar en el
el Explorador de registros, el
API de Logging,
o el
interfaz de línea de comandos.
El visor de registros heredado usa expresiones booleanas para especificar un subconjunto de todas las entradas de registro en tu proyecto. Puedes usar estas consultas para elegir entradas de registro de servicios o registros específicos, o que satisfagan condiciones de metadatos o campos definidos por el usuario.
Antes de comenzar
Asegúrate de tener los permisos o roles de Identity and Access Management correctos para
crear consultas con el Explorador de registros. Para obtener más información
los permisos de IAM necesarios, consulta
Permisos para la consola de Google Cloud.
Comenzar
-
En la consola de Google Cloud, ve a la página Explorador de registros.
Ir al Explorador de registros
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.
Selecciona el proyecto de Google Cloud adecuado o cualquier otro proyecto de Google Cloud
recurso del que quieres ver los registros.
Usa las consultas de muestra
Para aplicar una consulta de las siguientes tablas, haz clic en el ícono Copiar contenido content_copy de la expresión y, luego, pégala en el campo del editor de consultas del Explorador de registros.
En la siguiente captura de pantalla, se ilustra el panel de consultas:
Si no ves el campo del editor de consultas, habilita Mostrar consulta.
Después de revisar la expresión de consulta, haz clic en Ejecutar consulta. Los registros que coincidan con la consulta se enumerarán en Resultados de la consulta.
Algunas de las consultas que se mencionan más adelante en esta página incluyen variables que debes
reemplazar por valores válidos. Por ejemplo, cuando una consulta incluye logName
, entonces
El valor de PROJECT_ID que proporciones debe hacer referencia al valor seleccionado actualmente
proyecto de Google Cloud; de lo contrario, la consulta no funcionará.
Ten en cuenta lo siguiente:
Si tienes una consulta con una marca de tiempo, el selector de intervalos de tiempo se inhabilita y la consulta usa la expresión de marca de tiempo como su restricción de intervalo de tiempo. Si una consulta no usa una expresión de marca de tiempo,
usa el selector de intervalo de tiempo como su restricción de intervalo de tiempo.
La longitud de una consulta no puede superar los 20,000 caracteres.
El lenguaje de consulta de Logging
no distingue mayúsculas de minúsculas, excepto en las expresiones regulares.
Puedes usar la función log_id
para consultas con una expresión log_name
. Por ejemplo, la expresión log_name="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access"
es igual a log_id("cloudaudit.googleapis.com/data_access")
.
Para obtener más información sobre la función log_id
, consulta Lenguaje de consulta de Logging: Funciones.
Si necesitas instrucciones para realizar consultas en la consola de Google Cloud, visita
Crea consultas en el Explorador de registros.
En las siguientes secciones, se agrupan las consultas de los servicios de Google Cloud.
Consultas de App Engine
Nombre de la consulta o del filtro |
Expresión |
Registros de App Engine de la víspera de Año Nuevo (en horario UTC) |
resource.type="gae_app" AND
severity>=ERROR AND
timestamp>="2018-12-31T00:00:00Z" AND timestamp<="2019-01-01T00:00:00Z" |
Registros de solicitudes de App Engine con errores de servidor |
resource.type="gae_app" AND
log_id("appengine.googleapis.com/request_log") AND
httpRequest.status>=500 |
Registros de errores de HTTP de la muestra |
resource.type="gae_app" AND
protoPayload.status >= 400 AND
sample(insertId, 0.1)
|
Buscar el ID de seguimiento de App Engine |
resource.type="gae_app" AND
trace="projects/PROJECT_ID/traces/TRACE_ID" |
Registros de App Engine |
resource.type="gae_app" AND
resource.labels.module_id="MODULE_ID" AND
resource.labels.version_id="VERSION_ID" |
Implementaciones recientes de App Engine |
resource.type="gae_app" AND
protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog" AND
protoPayload.serviceName="appengine.googleapis.com" |
Cómo habilitar o inhabilitar consultas en la API
Nombre de la consulta o del filtro |
Expresión |
Registros de habilitación de la API de auditoría |
protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.EnableService" |
Cómo auditar los registros de inhabilitación de la API |
protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.DisableService" |
Consultas de BigQuery
Nombre de la consulta o del filtro |
Expresión |
Registros de auditoría de BigQuery |
resource.type=("bigquery_dataset" OR "bigquery_project") AND
logName:"cloudaudit.googleapis.com" |
Registros de auditoría de BigQuery de un proyecto |
resource.type="bigquery_project" AND
logName:"cloudaudit.googleapis.com" |
Registros de auditoría de BigQuery para un conjunto de datos |
resource.type="bigquery_dataset" AND
logName:"cloudaudit.googleapis.com" |
Registros de auditoría de BigQuery para el modelo de BI Engine |
resource.type="bigquery_biengine_model" AND
logName:"cloudaudit.googleapis.com" |
Registros de auditoría de BigQuery para una ejecución del Servicio de transferencia de datos. |
resource.type="bigquery_dts_run" AND
logName:"cloudaudit.googleapis.com" |
Registros de auditoría de BigQuery para una configuración del Servicio de transferencia de datos. |
resource.type="bigquery_dts_config" AND
logName:"cloudaudit.googleapis.com" |
Trabajos del Servicio de transferencia de datos de BigQuery |
resource.type=("bigquery_project") AND
protoPayload.requestMetadata.callerSuppliedUserAgent=
"BigQuery Data Transfer Service" AND
protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR
"google.cloud.bigquery.v2.JobService.Query") |
Registros de ejecución de transferencia de BigQuery |
resource.type="bigquery_dts_config" AND
labels.run_id="RUN_ID" AND
resource.labels.config_id="CONFIG_ID" |
Actualizaciones de conjuntos de datos de BigQuery |
resource.type="bigquery_dataset" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName=
"google.cloud.bigquery.v2.DatasetService.UpdateDataset" |
Trabajos de BigQuery finalizados |
resource.type="bigquery_project" AND
log_id("cloudaudit.googleapis.com/data_access") AND
protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob"
OR "google.cloud.bigquery.v2.JobService.Query") |
Búsquedas grandes de BigQuery |
resource.type="bigquery_project" AND
protoPayload.metadata.jobChange.job.jobStats.queryStats.totalBilledBytes
> 1073741824 |
Se superó la cuota de BigQuery |
resource.type=("bigquery_dataset" OR "bigquery_project")
AND
protoPayload.status.code=8 AND
severity>=WARNING |
Se inició la búsqueda de BigQuery |
resource.type="bigquery_project" AND
protoPayload.metadata.jobInsertion.reason:* |
Trabajos de carga y extracción simultáneos de BigQuery |
resource.type="bigquery_resource" AND
protoPayload.methodName="jobservice.insert" AND
protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query:
"extract" |
Consultas de Dataflow
Nombre de la consulta o del filtro |
Expresión |
Errores y advertencias en trabajadores de Dataflow |
resource.type="dataflow_step" AND
log_id("dataflow.googleapis.com/worker") AND
severity>=WARNING |
Consultas de Dataproc
Nombre de la consulta o del filtro |
Expresión |
Registros de Apache Hadoop de Dataproc |
resource.type="cloud_dataproc_cluster" AND
jsonPayload.class:"org.apache.hadoop.mapreduce" |
Cloud Deployment Manager
Nombre de la consulta o del filtro |
Expresión |
Errores de Deployment Manager |
resource.type="deployment" AND
severity>=ERROR |
Consultas de funciones de Cloud Run
Nombre de la consulta o del filtro |
Expresión |
Errores de Cloud Function |
resource.type="cloud_function" AND
log_id("cloudfunctions.googleapis.com/cloud-functions") AND
severity>=ERROR |
Consultas de Cloud Monitoring
Nombre de la consulta o del filtro |
Expresión |
Mostrar todos los errores del canal de notificaciones |
resource.type="stackdriver_notification_channel" AND
severity>=ERROR |
Mostrar errores del canal de notificaciones debido a la regulación |
resource.type="stackdriver_notification_channel" AND
severity>=ERROR AND
jsonPayload.summary="Notification delivery throttled." |
Mostrar los registros que escribió el recurso de tiempo de actividad |
resource.type="uptime_url" |
Mostrar solicitudes recibidas del servicio de verificaciones de tiempo de actividad |
"GoogleStackdriverMonitoring-UptimeChecks" |
Consultas de Cloud Run
Nombre de la consulta o del filtro |
Expresión |
Registros de Cloud Run de un trabajo específico |
resource.type="cloud_run_job" AND
resource.labels.service_name="JOB_NAME"
|
Registros de Cloud Run para una revisión y un servicio específicos |
resource.type="cloud_run_revision" AND
resource.labels.service_name="SERVICE_NAME" |
Consultas de Cloud Source Repositories
Nombre de la consulta o del filtro |
Expresión |
Registros de Cloud Source Repository |
resource.type="csr_repository" AND
resource.labels.name="REPOSITORY_NAME" |
Consultas de Spanner
Nombre de la consulta o del filtro |
Expresión |
Registros de Cloud Spanner para una instancia de llave específica |
resource.type="spanner_instance" AND
resource.labels.instance_id="SPANNER_INSTANCE" |
Consultas de Cloud SQL
Nombre de la consulta o del filtro |
Expresión |
Registros de auditoría de Cloud SQL |
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudaudit.googleapis.com/activity") |
Registros de errores de MySQL de Cloud SQL |
resource.type="cloudsql_database" AND
log_id("cloudsql.googleapis.com/mysql.err") |
Bases de datos basadas en MySQL de Cloud SQL |
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/mysql") |
Bases de datos basadas en Postgre de Cloud SQL |
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/postgres.log") |
Registros de error de SQL Server de Cloud SQL |
resource.type="cloudsql_database" AND
log_id("cloudsql.googleapis.com/sqlserver.err") |
Bases de datos basadas en SQL Server de Cloud SQL |
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/sqlagent.out") |
Consultas de Cloud Storage
Nombre de la consulta o del filtro |
Expresión |
Registros de depósitos de GCS |
resource.type="gcs_bucket" AND
resource.labels.bucket_name="BUCKET_NAME" |
Registros de auditoría de depósitos de GCS |
resource.type="gcs_bucket" AND
logName:"cloudaudit.googleapis.com" |
Registros de creación de depósitos de GCS |
resource.type="gcs_bucket" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.method_name="storage.buckets.create" |
Registros de eliminación de depósitos de GCS |
resource.type="gcs_bucket" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.method_name="storage.buckets.delete" |
Consultas de Cloud Tasks
Nombre de la consulta o del filtro |
Expresión |
Registros de la lista de tareas en cola de Cloud |
resource.type="cloud_tasks_queue" AND
resource.labels.queue_id="QUEUE_ID" |
Consultas de Compute Engine
Nombre de la consulta o del filtro |
Expresión |
Registros de actividad de administrador de Compute Engine |
resource.type="gce_instance" AND
log_id("cloudaudit.googleapis.com/activity") |
Eliminación de reglas de firewall de Compute Engine |
resource.type="gce_firewall_rule" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"firewalls.delete" |
syslogs de VM de Compute Engine |
resource.type="gce_instance" AND
log_id("syslog") |
Authlogs de VM de Compute Engine |
resource.type="gce_instance" AND
log_id("authlog") |
Error de host de Compute Engine |
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:"OnHostMaintenance"
OR
operation.producer:"OnHostMaintenance")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO |
Migración de host de Compute Engine |
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:
"compute.instances.migrateOnHostMaintenance" OR
operation.producer:
"compute.instances.migrateOnHostMaintenance")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO |
VM de Compute Engine interrumpida o finalizada |
resource.type="gce_instance"
protoPayload.methodName=
~"compute\.instances\.(guestTerminate|preempted)"
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID" |
Se creó la instancia de VM de Compute Engine |
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.insert"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.request.name="INSTANCE_NAME" |
Instancia de VM de Compute Engine borrada con nombre |
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.delete"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.resourceName:"INSTANCE_NAME" |
Instancia de VM de Compute Engine borrada con ID |
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.delete"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.instance_id="INSTANCE_ID" |
Se reinició la instancia de VM de Compute Engine |
resource.type="gce_instance"
protoPayload.methodName=~"compute\.instances\.(
stop|reset|automaticRestart|guestTerminate|
instanceManagerHaltForRestart)"
(log_id("cloudaudit.googleapis.com/activity")
OR log_id("cloudaudit.googleapis.com/system_event"))
resource.labels.instance_id="INSTANCE_ID" |
Falla de integridad de inicio de VM protegida de Compute Engine |
resource.type="gce_instance"
log_id("compute.googleapis.com/shielded_vm_integrity")
jsonPayload.earlyBootReportEvent.policyEvaluationPassed="false"
resource.labels.instance_id="INSTANCE_ID" |
El SO invitado detuvo la instancia de VM de Compute Engine |
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:"compute.instances.guestTerminate" OR
operation.producer:"compute.instances.guestTerminate")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO |
Se bloqueó el archivo de inicio de la VM protegida de Compute Engine |
resource.type="gce_instance"
log_id("serialconsole.googleapis.com/serial_port_1_output")
textPayload:("Security Violation")
resource.labels.instance_id="INSTANCE_ID" |
Disco persistente creado |
resource.type="gce_disk" AND
protoPayload.methodName:"compute.disks.insert" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.resourceName: "PERSISTENT_DISK_NAME" |
Nodos agregados al nodo de usuario único |
resource.type="gce_node_group"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName=~("compute.nodeGroups.addNodes"
OR "compute.nodeGroups.insert")
resource.labels.node_group_id="NODE_GROUP_ID"
severity="INFO" |
Eventos de ajuste de escala automático en el nodo de usuario único |
resource.type="gce_node_group"
log_id("cloudaudit.googleapis.com/system_event")
protoPayload.methodName=~("compute.nodeGroups.deleteNodes"
OR "compute.nodeGroups.addNodes")
resource.labels.node_group_id="NODE_GROUP_ID" |
Instantánea tomada manual |
resource.type="gce_snapshot"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.snapshots.insert"
protoPayload.resourceName:"SNAPSHOT_NAME" |
Se tomó la instantánea programada |
resource.type="gce_disk"
log_id("cloudaudit.googleapis.com/system_event")
protoPayload.methodName="ScheduledSnapshots"
protoPayload.response.operationType="createSnapshot"
protoPayload.response.targetLink="PERSISTENT_DISK_NAME" |
Se creó la programación de instantáneas |
resource.type="gce_resource_policy"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.resourcePolicies.insert"
protoPayload.request.name="SCHEDULE_NAME" |
Se adjuntó la programación de instantáneas |
resource.type="gce_disk"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.disks.addResourcePolicies"
protoPayload.request.resourcePolicys:"SCHEDULE_NAME"
protoPayload.resourceName:"PERSISTENT_DISK_NAME" |
Se superó la cuota |
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.insert"
protoPayload.status.message:"QUOTA_EXCEEDED"
severity=ERROR |
Cómo consultar instancias en mal estado en un grupo de instancias |
resource.type="gce_instance_group"
resource.labels.instance_group_name="INSTANCE_GROUP_NAME"
jsonPayload.healthCheckProbeResult.healthState="UNHEALTHY" |
Consulta los miembros de un grupo de instancias dentro de un período en formato UTC |
resource.type="gce_instance_group_manager"
resource.labels.instance_group_manager_name="INSTANCE_GROUP_NAME"
jsonPayload.@type=
"type.googleapis.com/compute.InstanceGroupManagerEvent"
jsonPayload.instanceHealthStateChange.detailedHealthState="HEALTHY"
timestamp >= START_TIME timestamp <= END_TIME |
Se quitaron las instancias del grupo de instancias |
resource.type="gce_instance_group"
protoPayload.methodName:"compute.instanceGroups.removeInstances"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.instance_group_name="INSTANCE_GROUP_NAME" |
Se estableció o actualizó la plantilla de instancias |
resource.type="gce_instance_group_manager"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName=
"v1.compute.instanceGroupManagers.setInstanceTemplate"
resource.labels.instance_group_manager_name="INSTANCE_GROUP_MANAGER" |
Regla de firewall borrada |
resource.type="gce_firewall_rule"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"firewalls.delete" |
Registros de firewall |
resource.type="gce_subnetwork"
log_id("compute.googleapis.com/firewall")
jsonPayload.instance.vm_name="INSTANCE_NAME" |
Consultas de Google Cloud Observability
Nombre de la consulta o del filtro |
Expresión |
Actividades del receptor de registros |
resource.type="logging_sink" AND
log_id("cloudaudit.googleapis.com/activity") |
Creación o actualización de actividades basadas en registros |
resource.type="metric" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:(UpdateLogMetric OR CreateLogMetric) |
Verificaciones de la URL de tiempo de actividad para un host |
resource.type="uptime_url" AND
resource.labels.host="URL" |
Consultas de la administración de identidades y accesos
Nombre de la consulta o del filtro |
Expresión |
Registros de creación de cuentas de servicio |
resource.type="service_account" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.iam.admin.v1.CreateServiceAccount" |
Registros de claves de creación de cuentas de servicio |
resource.type="service_account" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.iam.admin.v1.CreateServiceAccountKey" |
Configurar registros de política de control de acceso |
resource.type="project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="SetIamPolicy" |
Principal externo con acceso a la organización |
resource.type="project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog" AND
protoPayload.request.@type:"IamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:* AND
NOT protoPayload.serviceData.policyDelta.bindingDeltas.member:"@DOMAIN_NAME.com" |
Creación, modificación o eliminación de recursos |
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:("create" OR "delete" OR "update") |
Rol otorgado a la principal |
log_id("cloudaudit.googleapis.com/activity") AND
resource.type="project" AND
protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND
protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.action="Add" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID" |
Se quitó el rol de la principal |
log_id("cloudaudit.googleapis.com/activity") AND
resource.type="project" AND
protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND
protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.action="Remove" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID" |
Se actualizó el permiso en un rol personalizado |
log_id("cloudaudit.googleapis.com/activity") AND
resource.type="iam_role" AND
protoPayload.serviceName="iam.googleapis.com" AND
protoPayload.methodName:"UpdateRole" AND
resource.labels.role_name:"ROLE_ID" |
Consultas relacionadas con Kubernetes
Para ver una descripción general y ejemplos de consultas de registros de auditoría de actividad del administrador, consulta los recursos que se proporcionan en la
Página de registro de auditoría de GKE.
Consultas a nivel de clúster
Nombre de la consulta o del filtro |
Expresión |
Operaciones del clúster de Google Kubernetes Engine |
resource.type="gke_cluster" AND
log_id("cloudaudit.googleapis.com/activity") |
Creacióndel clúster de Google Kubernetes Engine |
resource.type="gke_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.container.v1.ClusterManager.CreateCluster"
|
Implementación del clúster de Kubernetes |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"deployments"
|
Error de autenticación del clúster de Kubernetes |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.authenticationInfo.principalEmail="system:anonymous"
|
Operaciones y eventos de clúster de Kubernetes en us-central1-b |
resource.type="k8s_cluster" AND
resource.labels.location="us-central1-b"
|
Solicitudes del pod de Kubernetes de parte de los usuarios |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"io.k8s.core.v1.pods" AND
protoPayload.authenticationInfo.principalEmail="USER_EMAIL"
|
Eventos de Kubernetes |
resource.type="k8s_cluster" AND
log_id("events")
|
Actualización de los extremos de Kubernetes |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.request.kind="Endpoints"
|
Registros del plano de control de Kubernetes |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.serviceName="k8s.io"
|
Registros del plano de control de Kubernetes Engine |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.serviceName="container.googleapis.com"
|
Eliminación de pods |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName=~"io\.k8s\.core\.v1\.pods\.(create|delete)"
|
Registros de auditoría de Pods de Kubernetes desde el plano de control |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.resourceName="core/v1/namespaces/POD_NAMESPACE/pods/POD_NAME
|
Expulsiones de Pods de Kubernetes |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="io.k8s.core.v1.pods.eviction.create"
|
Registros de auditoría de nodos de Kubernetes del plano de control |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"io.k8s.core.v1.nodes"
|
Plano de control del clúster de Kubernetes para la actividad del administrador de complementos |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.authenticationInfo.principalEmail="system:addon-manager"
|
Errores del plano de control de Kubernetes (sin incluir Conflict , que es normal) |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.status.message!="Conflict" AND
protoPayload.status.code!=0
|
Eventos del controlador de Ingress |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="loadbalancer-controller"
|
Eventos del controlador de servicio (kube-controller-manager) |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="service-controller"
|
Eventos del escalador automático de clúster |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="cluster-autoscaler"
|
Consultas a nivel del pod
Nombre del filtro |
Expresión |
Pod de consulta durante la creación |
resource.type="k8s_pod" AND
resource.labels.pod_name="POD_NAME" AND
log_id("events")
|
El Pod de la consulta finalizó debido a la presión de los recursos |
resource.type="k8s_pod" AND
log_id("events") AND
jsonPayload.reason="Evicted"
|
Eventos de programador |
resource.type="k8s_pod" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="default-scheduler"
|
Eventos de programador (interrupciones) |
resource.type="k8s_pod" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="default-scheduler" AND
jsonPayload.reason="Preempted"
|
Consultas a nivel de nodo
Nombre del filtro |
Expresión |
Eventos de nodos |
resource.type="k8s_node" AND
log_id("events")
|
Observa registros del proxy de Kubernetes |
resource.type="k8s_node" AND
log_id("kube-proxy")
|
Observa registros de Docker |
resource.type="k8s_node" AND
log_id("container-runtime")
|
Observa errores o fallas de kubelet |
resource.type="k8s_node" AND
log_id("kubelet") AND
jsonPayload.MESSAGE:("error" OR "fail")
|
Observa registros de nodos para los registros del sistema de GKE |
resource.type = "k8s_node"
logName:( "logs/container-runtime" OR
"logs/docker" OR
"logs/kube-container-runtime-monitor" OR
"logs/kube-logrotate" OR
"logs/kube-node-configuration" OR
"logs/kube-node-installation" OR
"logs/kubelet" OR
"logs/kubelet-monitor" OR
"logs/node-journal" OR
"logs/node-problem-detector")
|
Consultas de espacio de nombres
Nombre del filtro |
Expresión |
Registros de contenedores y Pods para los registros del sistema de GKE |
resource.type = ("k8s_container" OR "k8s_pod")
resource.labels.namespace_name = (
"cnrm-system" OR
"config-management-system" OR
"gatekeeper-system" OR
"gke-connect" OR
"gke-system" OR
"istio-system" OR
"knative-serving" OR
"monitoring-system" OR
"kube-system")
|
Consultas de contenedores
Nombre del filtro |
Expresión |
Registros del contenedor de stdout en todos los pods y los contenedores de un clúster |
resource.type="k8s_container" AND
log_id("stdout")
|
Registros de errores del contenedor en todos los pods y los contenedores de un clúster |
resource.type="k8s_container" AND
log_id("stderr") AND
severity=ERROR
|
Registros de errores del contenedor de un pod con un nombre específico |
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
severity=ERROR
|
Registros de errores de un contenedor específico en un pod específico |
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
resource.labels.container_name="server" AND
severity=ERROR
|
Registros de errores del contenedor de un espacio de nombres y un contenedor específicos |
resource.type="k8s_container" AND
resource.labels.namespace_name="istio-system" AND
resource.labels.container_name="egressgateway" AND
severity=ERROR
|
Registros del contenedor de un pod con una etiqueta específica |
resource.type="k8s_container" AND
labels."k8s-pod/app"="loadgenerator" AND
severity=ERROR
|
Registros de errores del contenedor para los Pods que se ejecutan en un nodo específico |
resource.type="k8s_container" AND
labels."compute.googleapis.com/resource_name"=NODE_NAME AND
severity=ERROR
|
Registros del contenedor de un pod con una etiqueta generada mediante Skaffold |
resource.type="k8s_container" AND
labels."k8s-pod/app"="loadgenerator" AND
labels."k8s-pod/skaffold_dev/run-id"=SKAFFOLD_RUN_ID
severity=ERROR
|
Registros de errores del contenedor de un pod específico que contiene un POST en el textPayload |
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
textPayload:"POST" AND
severity=ERROR
|
Registros de errores del contenedor de un pod específico que contiene un GET en el JSON estructurado |
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
jsonPayload."http.req.method"="GET" AND
severity=ERROR
|
Registros de errores del contenedor en el espacio de nombres del sistema de Kubernetes |
resource.type="k8s_container" AND
resource.labels.namespace_name="kube-system" AND
severity=ERROR
|
Error del contenedor en el registro de estadísticas del contenedor |
resource.type="k8s_container" AND
log_id("clouderrorreporting.googleapis.com/insights")
|
Registros de contenedores de Kubernetes |
resource.type="k8s_container" AND
resource.labels.container_name="CONTAINER_NAME"
|
Consultas del plano de control
Nota: Se deben habilitar los registros del plano de control de GKE.
Nombre del filtro |
Expresión |
Registros del servidor de la API de Kubernetes |
resource.type="k8s_control_plane_component"
resource.labels.component_name="apiserver"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
|
Registros de Kubernetes Scheduler |
resource.type="k8s_control_plane_component"
resource.labels.component_name="scheduler"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
|
Registros del administrador del controlador de Kubernetes |
resource.type="k8s_control_plane_component"
resource.labels.component_name="controller-manager"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
|
Consultas de cargas de trabajo de TPU
Nota: Se deben habilitar el registro del sistema y de las cargas de trabajo de GKE.
Nombre del filtro |
Expresión |
Registros de contenedores estándar en todos los nodos TPU con el mismo prefijo
|
resource.type="k8s_container" AND
labels."compute.googleapis.com/resource_name"=~"TPU_NODE_PREFIX.*" AND
log_id("stdout")
|
Registros de errores del contenedor en todos los nodos TPU con el mismo prefijo
|
resource.type="k8s_container" AND
labels."compute.googleapis.com/resource_name"=~"TPU_NODE_PREFIX.*" AND
log_id("stderr") AND
severity=ERROR
|
Registros de contenedores estándar del mismo trabajo de GKE
|
resource.type="k8s_container" AND
labels."k8s-pod/batch.kubernetes.io/job-name" = "JOB_NAME" AND
log_id("stdout")
|
Registros de errores del contenedor del mismo trabajo de GKE
|
resource.type="k8s_container" AND
labels."k8s-pod/batch.kubernetes.io/job-name"="JOB_NAME" AND
log_id("stderr") AND
severity=ERROR
|
Registros del contenedor de stdout del mismo JobSet de GKE
|
resource.type="k8s_container" AND
labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="JOBSET_NAME" AND
log_id("stdout")
|
Registros de errores del contenedor del mismo conjunto de trabajos de GKE
|
resource.type="k8s_container" AND
labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="JOBSET_NAME" AND
log_id("stderr") AND
severity=ERROR
|
Consultas de aplicaciones del agente de Logging
Nombre de la consulta o del filtro |
Expresión |
Registros de Apache |
resource.type="gce_instance" AND
(logName:"/apache-access" OR logName:"/apache-error") |
Registros de Cassandra |
resource.type="gce_instance" AND
log_id("cassandra") |
Registros de Chef |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/chef-" |
Registros de Gitlab |
resource.type="gce_instance"
logName:"projects/PROJECT_ID/logs/gitlab-" |
Registros de Jenkins |
resource.type="gce_instance" AND
log_id("jenkins") |
Registros de Jetty |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/jetty-" |
Registros de Joomla |
resource.type="gce_instance" AND
log_id("joomla") |
Syslogs de Linux |
resource.type="gce_instance" AND
log_id("syslog") |
Registros de Magneto |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/magneto-" |
Registros de MediaWiki |
resource.type="gce_instance" AND
log_id("mediawiki") |
Registros de memcached |
resource.type="gce_instance" AND
log_id("memcached") |
Registros de MongoDB |
resource.type="gce_instance" AND
log_id("mongodb") |
Registros de MySQL |
resource.type="gce_instance" AND
log_id("mysql") |
Registros de Nginx |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/nginx-" |
Registros de PostgreSQL |
resource.type="gce_instance" AND
log_id("postgresql") |
Registros de marionetas |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/puppet-" |
Registros de RabbitMQ |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/rabbitmq-" |
Registros de Redmine |
resource.type="gce_instance" AND
log_id("redmine") |
Registros de sal |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/salt-" |
Consultas lentas de MySQL |
resource.type="gce_instance" AND
log_id("mysql-slow") |
Registros de Solr |
resource.type="gce_instance" AND
log_id("solr") |
Registros de SugarCRM |
resource.type="gce_instance" AND
log_id("sugarcrm") |
Registros de Tomcat |
resource.type="gce_instance" AND
log_id("tomcat") |
Registros de Zookeeper |
resource.type="gce_instance" AND
log_id("zookeeper") |
Consultas de Herramientas de redes
Nombre de la consulta o del filtro |
Expresión |
Firewall: todos los registros |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") |
Registros de firewall para un país determinado |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
jsonPayload.remote_location.country=COUNTRY_ISO_ALPHA_3 |
Registros de firewall de una VM |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
jsonPayload.instance.vm_name="INSTANCE_NAME" |
Registros de subred de firewall |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
resource.labels.subnetwork_name="SUBNET_NAME" |
Registros de tráfico de subred de Compute Engine a una subred |
resource.type="gce_subnetwork" AND
ip_in_net(jsonPayload.connection.dest_ip, "SUBNET_IP") |
Registros de flujo de VPC |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") |
Registros de flujo de VPC para un puerto y protocolo específicos |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
jsonPayload.connection.src_port="PORT_ID" AND
jsonPayload.connection.protocol="PROTOCOL" |
Registros de flujo de VPC para una subred específica |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
resource.labels.subnetwork_name"=SUBNET_NAME" |
Registros de flujo de VPC para el prefijo de subred específico |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
ip_in_net(jsonPayload.connection.dest_ip,SUBNET_IP) |
Registros de flujo de VPC para una VM específica |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
jsonPayload.src_instance.vm_name="VM_NAME" |
Registros de puerta de enlace de VPN |
resource.type="vpn_gateway" AND
resource.labels.gateway_id="GATEWAY_ID" |
Errores 5xx del balanceador de cargas HTTP |
resource.type="http_load_balancer" AND
httpRequest.status>=500 |
Solicitudes del balanceador de cargas HTTP a PHPMyAdmin |
resource.type="http_load_balancer" AND
httpRequest.request_url:"phpmyadmin" |
Consultas de seguridad
Nombre de la consulta o del filtro |
Expresión |
Registros de auditoría: todo |
logName:"cloudaudit.googleapis.com" |
Registros de auditoría: Transparencia de acceso (AXT) |
log_id("cloudaudit.googleapis.com/access_transparency") |
Registros de auditoría: Actividad del administrador |
log_id("cloudaudit.googleapis.com/activity") |
Registros de auditoría: Acceso a los datos |
log_id("cloudaudit.googleapis.com/data_access") |
Registros de auditoría: Evento del sistema |
log_id("cloudaudit.googleapis.com/system_event") |
Soluciona problemas
Si necesitas instrucciones para solucionar problemas habituales,
Explorador de registros, consulta
Usa el Explorador de registros: Soluciona problemas.
¿Qué sigue?
Para obtener más información sobre la sintaxis de la consulta, que puedes usar para personalizar estas consultas, consulta Lenguaje de consulta de Logging.
Para obtener más información sobre las consultas en la consola de Google Cloud, visita
Crea consultas con el lenguaje de consulta de Logging.