Consultas de muestra

En este documento, se sugieren consultas para que sea más fácil encontrar para acceder a registros importantes con el Explorador de registros de la consola de Google Cloud. Las consultas enumeradas se escriben Lenguaje de consulta de Logging, y se pueden usar en el el Explorador de registros, el API de Logging, o el interfaz de línea de comandos.

El visor de registros heredado usa expresiones booleanas para especificar un subconjunto de todas las entradas de registro en tu proyecto. Puedes usar estas consultas para elegir entradas de registro de servicios o registros específicos, o que satisfagan condiciones de metadatos o campos definidos por el usuario.

Antes de comenzar

Asegúrate de tener los permisos o roles de Identity and Access Management correctos para crear consultas con el Explorador de registros. Para obtener más información los permisos de IAM necesarios, consulta Permisos para la consola de Google Cloud.

Comenzar

  1. En la consola de Google Cloud, ve a la página Explorador de registros.

    Ir al Explorador de registros

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.

  2. Selecciona el proyecto de Google Cloud adecuado o cualquier otro proyecto de Google Cloud recurso del que quieres ver los registros.

Usa las consultas de muestra

Para aplicar una consulta de las siguientes tablas, haz clic en el ícono Copiar contenido de la expresión y, luego, pégala en el campo del editor de consultas del Explorador de registros.

En la siguiente captura de pantalla, se ilustra el panel de consultas:

El editor de consultas muestra dónde ingresar una consulta

Si no ves el campo del editor de consultas, habilita Mostrar consulta.

Después de revisar la expresión de consulta, haz clic en Ejecutar consulta. Los registros que coincidan con la consulta se enumerarán en Resultados de la consulta.

Algunas de las consultas que se mencionan más adelante en esta página incluyen variables que debes reemplazar por valores válidos. Por ejemplo, cuando una consulta incluye logName, entonces El valor de PROJECT_ID que proporciones debe hacer referencia al valor seleccionado actualmente proyecto de Google Cloud; de lo contrario, la consulta no funcionará.

Ten en cuenta lo siguiente:

  • Si tienes una consulta con una marca de tiempo, el selector de intervalos de tiempo se inhabilita y la consulta usa la expresión de marca de tiempo como su restricción de intervalo de tiempo. Si una consulta no usa una expresión de marca de tiempo, usa el selector de intervalo de tiempo como su restricción de intervalo de tiempo.

  • La longitud de una consulta no puede superar los 20,000 caracteres.

  • El lenguaje de consulta de Logging no distingue mayúsculas de minúsculas, excepto en las expresiones regulares.

  • Puedes usar la función log_id para consultas con una expresión log_name. Por ejemplo, la expresión log_name="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access" es igual a log_id("cloudaudit.googleapis.com/data_access"). Para obtener más información sobre la función log_id, consulta Lenguaje de consulta de Logging: Funciones.

Si necesitas instrucciones para realizar consultas en la consola de Google Cloud, visita Crea consultas en el Explorador de registros.

En las siguientes secciones, se agrupan las consultas de los servicios de Google Cloud.

Consultas de App Engine

Nombre de la consulta o del filtro Expresión
Registros de App Engine de la víspera de Año Nuevo (en horario UTC)
resource.type="gae_app" AND
severity>=ERROR AND
timestamp>="2018-12-31T00:00:00Z" AND timestamp<="2019-01-01T00:00:00Z" 
Registros de solicitudes de App Engine con errores de servidor
resource.type="gae_app" AND
log_id("appengine.googleapis.com/request_log") AND
httpRequest.status>=500 
Registros de errores de HTTP de la muestra
resource.type="gae_app" AND
protoPayload.status >= 400 AND
sample(insertId, 0.1) 
Buscar el ID de seguimiento de App Engine
resource.type="gae_app" AND
trace="projects/PROJECT_ID/traces/TRACE_ID" 
Registros de App Engine
resource.type="gae_app" AND
resource.labels.module_id="MODULE_ID" AND
resource.labels.version_id="VERSION_ID" 
Implementaciones recientes de App Engine
resource.type="gae_app" AND
protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog" AND
protoPayload.serviceName="appengine.googleapis.com" 

Cómo habilitar o inhabilitar consultas en la API

Nombre de la consulta o del filtro Expresión
Registros de habilitación de la API de auditoría
protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.EnableService"
Cómo auditar los registros de inhabilitación de la API
protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.DisableService"

Consultas de BigQuery

Nombre de la consulta o del filtro Expresión
Registros de auditoría de BigQuery
resource.type=("bigquery_dataset" OR "bigquery_project") AND
logName:"cloudaudit.googleapis.com" 
Registros de auditoría de BigQuery de un proyecto
resource.type="bigquery_project" AND
logName:"cloudaudit.googleapis.com" 
Registros de auditoría de BigQuery para un conjunto de datos
resource.type="bigquery_dataset" AND
logName:"cloudaudit.googleapis.com" 
Registros de auditoría de BigQuery para el modelo de BI Engine
resource.type="bigquery_biengine_model" AND
logName:"cloudaudit.googleapis.com" 
Registros de auditoría de BigQuery para una ejecución del Servicio de transferencia de datos.
resource.type="bigquery_dts_run" AND
logName:"cloudaudit.googleapis.com" 
Registros de auditoría de BigQuery para una configuración del Servicio de transferencia de datos.
resource.type="bigquery_dts_config" AND
logName:"cloudaudit.googleapis.com" 
Trabajos del Servicio de transferencia de datos de BigQuery
resource.type=("bigquery_project") AND
protoPayload.requestMetadata.callerSuppliedUserAgent=
"BigQuery Data Transfer Service" AND
protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR
"google.cloud.bigquery.v2.JobService.Query") 
Registros de ejecución de transferencia de BigQuery
resource.type="bigquery_dts_config" AND
labels.run_id="RUN_ID" AND
resource.labels.config_id="CONFIG_ID" 
Actualizaciones de conjuntos de datos de BigQuery
resource.type="bigquery_dataset" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName=
"google.cloud.bigquery.v2.DatasetService.UpdateDataset" 
Trabajos de BigQuery finalizados
resource.type="bigquery_project" AND
log_id("cloudaudit.googleapis.com/data_access") AND
protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob"
OR "google.cloud.bigquery.v2.JobService.Query") 
Búsquedas grandes de BigQuery
resource.type="bigquery_project" AND
protoPayload.metadata.jobChange.job.jobStats.queryStats.totalBilledBytes
> 1073741824 
Se superó la cuota de BigQuery
resource.type=("bigquery_dataset" OR "bigquery_project")
AND
protoPayload.status.code=8 AND
severity>=WARNING 
Se inició la búsqueda de BigQuery
resource.type="bigquery_project" AND
protoPayload.metadata.jobInsertion.reason:*
Trabajos de carga y extracción simultáneos de BigQuery
resource.type="bigquery_resource" AND
protoPayload.methodName="jobservice.insert" AND
protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query:
"extract"

Consultas de Dataflow

Nombre de la consulta o del filtro Expresión
Errores y advertencias en trabajadores de Dataflow
resource.type="dataflow_step" AND
log_id("dataflow.googleapis.com/worker") AND
severity>=WARNING 

Consultas de Dataproc

Nombre de la consulta o del filtro Expresión
Registros de Apache Hadoop de Dataproc
resource.type="cloud_dataproc_cluster" AND
jsonPayload.class:"org.apache.hadoop.mapreduce" 

Cloud Deployment Manager

Nombre de la consulta o del filtro Expresión
Errores de Deployment Manager
resource.type="deployment" AND
severity>=ERROR 

Consultas de funciones de Cloud Run

Nombre de la consulta o del filtro Expresión
Errores de Cloud Function
resource.type="cloud_function" AND
log_id("cloudfunctions.googleapis.com/cloud-functions") AND
severity>=ERROR 

Consultas de Cloud Monitoring

Nombre de la consulta o del filtro Expresión
Mostrar todos los errores
del canal de notificaciones
resource.type="stackdriver_notification_channel" AND
severity>=ERROR 
Mostrar errores del canal de notificaciones
debido a la regulación
resource.type="stackdriver_notification_channel" AND
severity>=ERROR AND
jsonPayload.summary="Notification delivery throttled."
Mostrar los registros que escribió
el recurso de tiempo de actividad
resource.type="uptime_url"
Mostrar solicitudes recibidas del
servicio de verificaciones de tiempo de actividad
"GoogleStackdriverMonitoring-UptimeChecks"

Consultas de Cloud Run

Nombre de la consulta o del filtro Expresión
Registros de Cloud Run de un trabajo específico
resource.type="cloud_run_job" AND
resource.labels.service_name="JOB_NAME"
Registros de Cloud Run para una revisión y un servicio específicos
resource.type="cloud_run_revision" AND
resource.labels.service_name="SERVICE_NAME"

Consultas de Cloud Source Repositories

Nombre de la consulta o del filtro Expresión
Registros de Cloud Source Repository
resource.type="csr_repository" AND
resource.labels.name="REPOSITORY_NAME"

Consultas de Spanner

Nombre de la consulta o del filtro Expresión
Registros de Cloud Spanner para una instancia de llave específica
resource.type="spanner_instance" AND
resource.labels.instance_id="SPANNER_INSTANCE"

Consultas de Cloud SQL

Nombre de la consulta o del filtro Expresión
Registros de auditoría de Cloud SQL
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudaudit.googleapis.com/activity")
Registros de errores de MySQL de Cloud SQL
resource.type="cloudsql_database" AND
log_id("cloudsql.googleapis.com/mysql.err")
Bases de datos basadas en MySQL de Cloud SQL
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/mysql")
Bases de datos basadas en Postgre de Cloud SQL
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/postgres.log")
Registros de error de SQL Server de Cloud SQL
resource.type="cloudsql_database" AND
log_id("cloudsql.googleapis.com/sqlserver.err")
Bases de datos basadas en SQL Server de Cloud SQL
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/sqlagent.out")

Consultas de Cloud Storage

Nombre de la consulta o del filtro Expresión
Registros de depósitos de GCS
resource.type="gcs_bucket" AND
resource.labels.bucket_name="BUCKET_NAME"
Registros de auditoría de depósitos de GCS
resource.type="gcs_bucket" AND
logName:"cloudaudit.googleapis.com" 
Registros de creación de depósitos de GCS
resource.type="gcs_bucket" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.method_name="storage.buckets.create" 
Registros de eliminación de depósitos de GCS
resource.type="gcs_bucket" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.method_name="storage.buckets.delete" 

Consultas de Cloud Tasks

Nombre de la consulta o del filtro Expresión
Registros de la lista de tareas en cola de Cloud
resource.type="cloud_tasks_queue" AND
resource.labels.queue_id="QUEUE_ID"

Consultas de Compute Engine

Nombre de la consulta o del filtro Expresión
Registros de actividad de administrador de Compute Engine
resource.type="gce_instance" AND
log_id("cloudaudit.googleapis.com/activity")
Eliminación de reglas de firewall de Compute Engine
resource.type="gce_firewall_rule" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"firewalls.delete" 
syslogs de VM de Compute Engine
resource.type="gce_instance" AND
log_id("syslog") 
Authlogs de VM de Compute Engine
resource.type="gce_instance" AND
log_id("authlog") 
Error de host de Compute Engine
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:"OnHostMaintenance"
OR
operation.producer:"OnHostMaintenance")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO 
Migración de host de Compute Engine
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:
"compute.instances.migrateOnHostMaintenance" OR
operation.producer:
"compute.instances.migrateOnHostMaintenance")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO 
VM de Compute Engine interrumpida o finalizada
resource.type="gce_instance"
protoPayload.methodName=
~"compute\.instances\.(guestTerminate|preempted)"
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID" 
Se creó la instancia de VM de Compute Engine
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.insert"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.request.name="INSTANCE_NAME" 
Instancia de VM de Compute Engine borrada con nombre
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.delete"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.resourceName:"INSTANCE_NAME" 
Instancia de VM de Compute Engine borrada con ID
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.delete"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.instance_id="INSTANCE_ID" 
Se reinició la instancia de VM de Compute Engine
resource.type="gce_instance"
protoPayload.methodName=~"compute\.instances\.(
stop|reset|automaticRestart|guestTerminate|
instanceManagerHaltForRestart)"
(log_id("cloudaudit.googleapis.com/activity")
OR log_id("cloudaudit.googleapis.com/system_event"))
resource.labels.instance_id="INSTANCE_ID" 
Falla de integridad de inicio de VM protegida de Compute Engine
resource.type="gce_instance"
log_id("compute.googleapis.com/shielded_vm_integrity")
jsonPayload.earlyBootReportEvent.policyEvaluationPassed="false"
resource.labels.instance_id="INSTANCE_ID" 
El SO invitado detuvo la instancia de VM de Compute Engine
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:"compute.instances.guestTerminate" OR
operation.producer:"compute.instances.guestTerminate")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO 
Se bloqueó el archivo de inicio de la VM protegida de Compute Engine
resource.type="gce_instance"
log_id("serialconsole.googleapis.com/serial_port_1_output")
textPayload:("Security Violation")
resource.labels.instance_id="INSTANCE_ID" 
Disco persistente creado
resource.type="gce_disk" AND
protoPayload.methodName:"compute.disks.insert" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.resourceName: "PERSISTENT_DISK_NAME"
Nodos agregados al nodo de usuario único
resource.type="gce_node_group"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName=~("compute.nodeGroups.addNodes"
OR "compute.nodeGroups.insert")
resource.labels.node_group_id="NODE_GROUP_ID"
severity="INFO"
Eventos de ajuste de escala automático en el nodo de usuario único
resource.type="gce_node_group"
log_id("cloudaudit.googleapis.com/system_event")
protoPayload.methodName=~("compute.nodeGroups.deleteNodes"
OR "compute.nodeGroups.addNodes")
resource.labels.node_group_id="NODE_GROUP_ID"
Instantánea tomada manual
resource.type="gce_snapshot"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.snapshots.insert"
protoPayload.resourceName:"SNAPSHOT_NAME"
Se tomó la instantánea programada
resource.type="gce_disk"
log_id("cloudaudit.googleapis.com/system_event")
protoPayload.methodName="ScheduledSnapshots"
protoPayload.response.operationType="createSnapshot"
protoPayload.response.targetLink="PERSISTENT_DISK_NAME"
Se creó la programación de instantáneas
resource.type="gce_resource_policy"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.resourcePolicies.insert"
protoPayload.request.name="SCHEDULE_NAME"
Se adjuntó la programación de instantáneas
resource.type="gce_disk"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.disks.addResourcePolicies"
protoPayload.request.resourcePolicys:"SCHEDULE_NAME"
protoPayload.resourceName:"PERSISTENT_DISK_NAME"
Se superó la cuota
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.insert"
protoPayload.status.message:"QUOTA_EXCEEDED"
severity=ERROR
Cómo consultar instancias en mal estado en un grupo de instancias
resource.type="gce_instance_group"
resource.labels.instance_group_name="INSTANCE_GROUP_NAME"
jsonPayload.healthCheckProbeResult.healthState="UNHEALTHY"
Consulta los miembros de un grupo de instancias dentro de un período en formato UTC
resource.type="gce_instance_group_manager"
resource.labels.instance_group_manager_name="INSTANCE_GROUP_NAME"
jsonPayload.@type=
"type.googleapis.com/compute.InstanceGroupManagerEvent"
jsonPayload.instanceHealthStateChange.detailedHealthState="HEALTHY"
timestamp >= START_TIME timestamp <= END_TIME 
Se quitaron las instancias del grupo de instancias
resource.type="gce_instance_group"
protoPayload.methodName:"compute.instanceGroups.removeInstances"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.instance_group_name="INSTANCE_GROUP_NAME"
Se estableció o actualizó la plantilla de instancias
resource.type="gce_instance_group_manager"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName=
"v1.compute.instanceGroupManagers.setInstanceTemplate"
resource.labels.instance_group_manager_name="INSTANCE_GROUP_MANAGER"
Regla de firewall borrada
resource.type="gce_firewall_rule"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"firewalls.delete"
Registros de firewall
resource.type="gce_subnetwork"
log_id("compute.googleapis.com/firewall")
jsonPayload.instance.vm_name="INSTANCE_NAME"

Consultas de Google Cloud Observability

Nombre de la consulta o del filtro Expresión
Actividades del receptor de registros
resource.type="logging_sink" AND
log_id("cloudaudit.googleapis.com/activity")
Creación o actualización de actividades basadas en registros
resource.type="metric" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:(UpdateLogMetric OR CreateLogMetric)
Verificaciones de la URL de tiempo de actividad para un host
resource.type="uptime_url" AND
resource.labels.host="URL"

Consultas de la administración de identidades y accesos

Nombre de la consulta o del filtro Expresión
Registros de creación de cuentas de servicio
resource.type="service_account" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.iam.admin.v1.CreateServiceAccount" 
Registros de claves de creación de cuentas de servicio
resource.type="service_account" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.iam.admin.v1.CreateServiceAccountKey" 
Configurar registros de política de control de acceso
resource.type="project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="SetIamPolicy" 
Principal externo con acceso a la organización
resource.type="project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog" AND
protoPayload.request.@type:"IamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:* AND
NOT protoPayload.serviceData.policyDelta.bindingDeltas.member:"@DOMAIN_NAME.com" 
Creación, modificación o eliminación de recursos
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:("create" OR "delete" OR "update")
Rol otorgado a la principal
log_id("cloudaudit.googleapis.com/activity") AND
resource.type="project" AND
protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND
protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.action="Add" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID" 
Se quitó el rol de la principal
log_id("cloudaudit.googleapis.com/activity") AND
resource.type="project" AND
protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND
protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.action="Remove" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID" 
Se actualizó el permiso en un rol personalizado
log_id("cloudaudit.googleapis.com/activity") AND
resource.type="iam_role" AND
protoPayload.serviceName="iam.googleapis.com" AND
protoPayload.methodName:"UpdateRole" AND
resource.labels.role_name:"ROLE_ID" 

Consultas relacionadas con Kubernetes

Para ver una descripción general y ejemplos de consultas de registros de auditoría de actividad del administrador, consulta los recursos que se proporcionan en la Página de registro de auditoría de GKE.

Consultas a nivel de clúster

Nombre de la consulta o del filtro Expresión
Operaciones del clúster de Google Kubernetes Engine
resource.type="gke_cluster" AND
log_id("cloudaudit.googleapis.com/activity")
Creacióndel clúster de Google Kubernetes Engine
resource.type="gke_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.container.v1.ClusterManager.CreateCluster"
      
Implementación del clúster de Kubernetes
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"deployments"
      
Error de autenticación del clúster de Kubernetes
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.authenticationInfo.principalEmail="system:anonymous"
      
Operaciones y eventos de clúster de Kubernetes en us-central1-b
resource.type="k8s_cluster" AND
resource.labels.location="us-central1-b"
      
Solicitudes del pod de Kubernetes de parte de los usuarios
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"io.k8s.core.v1.pods" AND
protoPayload.authenticationInfo.principalEmail="USER_EMAIL"
      
Eventos de Kubernetes
resource.type="k8s_cluster" AND
log_id("events")
      
Actualización de los extremos de Kubernetes
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.request.kind="Endpoints"
      
Registros del plano de control de Kubernetes
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.serviceName="k8s.io"
      
Registros del plano de control de Kubernetes Engine
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.serviceName="container.googleapis.com"
      
Eliminación de pods
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName=~"io\.k8s\.core\.v1\.pods\.(create|delete)"
      
Registros de auditoría de Pods de Kubernetes desde el plano de control
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.resourceName="core/v1/namespaces/POD_NAMESPACE/pods/POD_NAME
      
Expulsiones de Pods de Kubernetes
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="io.k8s.core.v1.pods.eviction.create"
      
Registros de auditoría de nodos de Kubernetes del plano de control
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"io.k8s.core.v1.nodes"
      
Plano de control del clúster de Kubernetes para la actividad del administrador de complementos
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.authenticationInfo.principalEmail="system:addon-manager"
      
Errores del plano de control de Kubernetes (sin incluir Conflict, que es normal)
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.status.message!="Conflict" AND
protoPayload.status.code!=0
      
Eventos del controlador de Ingress
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="loadbalancer-controller"
      
Eventos del controlador de servicio (kube-controller-manager)
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="service-controller"
      
Eventos del escalador automático de clúster
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="cluster-autoscaler"
      

Consultas a nivel del pod

Nombre del filtro Expresión
Pod de consulta durante la creación
resource.type="k8s_pod" AND
resource.labels.pod_name="POD_NAME" AND
log_id("events")
      
El Pod de la consulta finalizó debido a la presión de los recursos
resource.type="k8s_pod" AND
        log_id("events") AND
        jsonPayload.reason="Evicted"
      
Eventos de programador
resource.type="k8s_pod" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="default-scheduler"
      
Eventos de programador (interrupciones)
resource.type="k8s_pod" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="default-scheduler" AND
jsonPayload.reason="Preempted"
      

Consultas a nivel de nodo

Nombre del filtro Expresión
Eventos de nodos
resource.type="k8s_node" AND
log_id("events")
      
Observa registros del proxy de Kubernetes
resource.type="k8s_node" AND
log_id("kube-proxy")
      
Observa registros de Docker
resource.type="k8s_node" AND
log_id("container-runtime")
      
Observa errores o fallas de kubelet
resource.type="k8s_node" AND
log_id("kubelet") AND
jsonPayload.MESSAGE:("error" OR "fail")
      
Observa registros de nodos para los registros del sistema de GKE
resource.type = "k8s_node"
logName:( "logs/container-runtime" OR
"logs/docker" OR
"logs/kube-container-runtime-monitor" OR
"logs/kube-logrotate" OR
"logs/kube-node-configuration" OR
"logs/kube-node-installation" OR
"logs/kubelet" OR
"logs/kubelet-monitor" OR
"logs/node-journal" OR
"logs/node-problem-detector")
      

Consultas de espacio de nombres

Nombre del filtro Expresión
Registros de contenedores y Pods para los registros del sistema de GKE
resource.type = ("k8s_container" OR "k8s_pod")
resource.labels.namespace_name = (
"cnrm-system" OR
"config-management-system" OR
"gatekeeper-system" OR
"gke-connect" OR
"gke-system" OR
"istio-system" OR
"knative-serving" OR
"monitoring-system" OR
"kube-system")
      

Consultas de contenedores

Nombre del filtro Expresión
Registros del contenedor de stdout en todos los pods y los contenedores de un clúster
resource.type="k8s_container" AND
log_id("stdout")
      
Registros de errores del contenedor en todos los pods y los contenedores de un clúster
resource.type="k8s_container" AND
log_id("stderr") AND
severity=ERROR
      
Registros de errores del contenedor de un pod con un nombre específico
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
severity=ERROR
      
Registros de errores de un contenedor específico en un pod específico
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
resource.labels.container_name="server" AND
severity=ERROR
      
Registros de errores del contenedor de un espacio de nombres y un contenedor específicos
resource.type="k8s_container" AND
resource.labels.namespace_name="istio-system" AND
resource.labels.container_name="egressgateway" AND
severity=ERROR
      
Registros del contenedor de un pod con una etiqueta específica
resource.type="k8s_container" AND
labels."k8s-pod/app"="loadgenerator" AND
severity=ERROR
      
Registros de errores del contenedor para los Pods que se ejecutan en un nodo específico
resource.type="k8s_container" AND
labels."compute.googleapis.com/resource_name"=NODE_NAME AND
severity=ERROR
      
Registros del contenedor de un pod con una etiqueta generada mediante Skaffold
resource.type="k8s_container" AND
labels."k8s-pod/app"="loadgenerator" AND
labels."k8s-pod/skaffold_dev/run-id"=SKAFFOLD_RUN_ID
severity=ERROR
      
Registros de errores del contenedor de un pod específico que contiene un POST en el textPayload
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
textPayload:"POST" AND
severity=ERROR
      
Registros de errores del contenedor de un pod específico que contiene un GET en el JSON estructurado
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
jsonPayload."http.req.method"="GET" AND
severity=ERROR
      
Registros de errores del contenedor en el espacio de nombres del sistema de Kubernetes
resource.type="k8s_container" AND
resource.labels.namespace_name="kube-system" AND
severity=ERROR
      
Error del contenedor en el registro de estadísticas del contenedor
resource.type="k8s_container" AND
log_id("clouderrorreporting.googleapis.com/insights")
      
Registros de contenedores de Kubernetes
resource.type="k8s_container" AND
resource.labels.container_name="CONTAINER_NAME"
      

Consultas del plano de control

Nota: Se deben habilitar los registros del plano de control de GKE.
Nombre del filtro Expresión
Registros del servidor de la API de Kubernetes
resource.type="k8s_control_plane_component"
resource.labels.component_name="apiserver"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
      
Registros de Kubernetes Scheduler
resource.type="k8s_control_plane_component"
resource.labels.component_name="scheduler"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
      
Registros del administrador del controlador de Kubernetes
resource.type="k8s_control_plane_component"
resource.labels.component_name="controller-manager"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
      

Consultas de cargas de trabajo de TPU

Nota: Se deben habilitar el registro del sistema y de las cargas de trabajo de GKE.
Nombre del filtro Expresión
Registros de contenedores estándar en todos los nodos TPU con el mismo prefijo
resource.type="k8s_container" AND
labels."compute.googleapis.com/resource_name"=~"TPU_NODE_PREFIX.*" AND
log_id("stdout")
      
Registros de errores del contenedor en todos los nodos TPU con el mismo prefijo
resource.type="k8s_container" AND
labels."compute.googleapis.com/resource_name"=~"TPU_NODE_PREFIX.*" AND
log_id("stderr") AND
severity=ERROR
      
Registros de contenedores estándar del mismo trabajo de GKE
resource.type="k8s_container" AND
labels."k8s-pod/batch.kubernetes.io/job-name" = "JOB_NAME" AND
log_id("stdout")
      
Registros de errores del contenedor del mismo trabajo de GKE
resource.type="k8s_container" AND
labels."k8s-pod/batch.kubernetes.io/job-name"="JOB_NAME" AND
log_id("stderr") AND
severity=ERROR
      
Registros del contenedor de stdout del mismo JobSet de GKE
resource.type="k8s_container" AND
labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="JOBSET_NAME" AND
log_id("stdout")
      
Registros de errores del contenedor del mismo conjunto de trabajos de GKE
resource.type="k8s_container" AND
labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="JOBSET_NAME" AND
log_id("stderr") AND
severity=ERROR
      

Consultas de aplicaciones del agente de Logging

Nombre de la consulta o del filtro Expresión
Registros de Apache
resource.type="gce_instance" AND
(logName:"/apache-access" OR logName:"/apache-error")
Registros de Cassandra
resource.type="gce_instance" AND
log_id("cassandra")
Registros de Chef
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/chef-"
Registros de Gitlab
resource.type="gce_instance"
logName:"projects/PROJECT_ID/logs/gitlab-" 
Registros de Jenkins
resource.type="gce_instance" AND
log_id("jenkins")
Registros de Jetty
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/jetty-"
Registros de Joomla
resource.type="gce_instance" AND
log_id("joomla")
Syslogs de Linux
resource.type="gce_instance" AND
log_id("syslog")
Registros de Magneto
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/magneto-"
Registros de MediaWiki
resource.type="gce_instance" AND
log_id("mediawiki")
Registros de memcached
resource.type="gce_instance" AND
log_id("memcached")
Registros de MongoDB
resource.type="gce_instance" AND
log_id("mongodb")
Registros de MySQL
resource.type="gce_instance" AND
log_id("mysql")
Registros de Nginx
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/nginx-"
Registros de PostgreSQL
resource.type="gce_instance" AND
log_id("postgresql")
Registros de marionetas
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/puppet-"
Registros de RabbitMQ
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/rabbitmq-"
Registros de Redmine
resource.type="gce_instance" AND
log_id("redmine")
Registros de sal
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/salt-"
Consultas lentas de MySQL
resource.type="gce_instance" AND
log_id("mysql-slow")
Registros de Solr
resource.type="gce_instance" AND
log_id("solr")
Registros de SugarCRM
resource.type="gce_instance" AND
log_id("sugarcrm")
Registros de Tomcat
resource.type="gce_instance" AND
log_id("tomcat")
Registros de Zookeeper
resource.type="gce_instance" AND
log_id("zookeeper")

Consultas de Herramientas de redes

Nombre de la consulta o del filtro Expresión
Firewall: todos los registros
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall")
Registros de firewall para un país determinado
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
jsonPayload.remote_location.country=COUNTRY_ISO_ALPHA_3
Registros de firewall de una VM
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
jsonPayload.instance.vm_name="INSTANCE_NAME"
Registros de subred de firewall
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
resource.labels.subnetwork_name="SUBNET_NAME"
Registros de tráfico de subred de Compute Engine a una subred
resource.type="gce_subnetwork" AND
ip_in_net(jsonPayload.connection.dest_ip, "SUBNET_IP")
Registros de flujo de VPC
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows")
Registros de flujo de VPC para un puerto y protocolo específicos
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
jsonPayload.connection.src_port="PORT_ID" AND
jsonPayload.connection.protocol="PROTOCOL"
Registros de flujo de VPC para una subred específica
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
resource.labels.subnetwork_name"=SUBNET_NAME"
Registros de flujo de VPC para el prefijo de subred específico
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
ip_in_net(jsonPayload.connection.dest_ip,SUBNET_IP)
Registros de flujo de VPC para una VM específica
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
jsonPayload.src_instance.vm_name="VM_NAME"
Registros de puerta de enlace de VPN
resource.type="vpn_gateway" AND
resource.labels.gateway_id="GATEWAY_ID"
Errores 5xx del balanceador de cargas HTTP
resource.type="http_load_balancer" AND
httpRequest.status>=500
Solicitudes del balanceador de cargas HTTP a PHPMyAdmin
resource.type="http_load_balancer" AND
httpRequest.request_url:"phpmyadmin"

Consultas de seguridad

Nombre de la consulta o del filtro Expresión
Registros de auditoría: todo
logName:"cloudaudit.googleapis.com"
Registros de auditoría: Transparencia de acceso (AXT)
log_id("cloudaudit.googleapis.com/access_transparency")
Registros de auditoría: Actividad del administrador
log_id("cloudaudit.googleapis.com/activity")
Registros de auditoría: Acceso a los datos
log_id("cloudaudit.googleapis.com/data_access")
Registros de auditoría: Evento del sistema
log_id("cloudaudit.googleapis.com/system_event")

Soluciona problemas

Si necesitas instrucciones para solucionar problemas habituales, Explorador de registros, consulta Usa el Explorador de registros: Soluciona problemas.

¿Qué sigue?

Para obtener más información sobre la sintaxis de la consulta, que puedes usar para personalizar estas consultas, consulta Lenguaje de consulta de Logging.

Para obtener más información sobre las consultas en la consola de Google Cloud, visita Crea consultas con el lenguaje de consulta de Logging.