En este documento se sugieren consultas para que te resulte más fácil encontrar registros importantes con el Explorador de registros de la Google Cloud consola. Las consultas que se muestran están escritas en el lenguaje de consulta de Logging y se pueden usar en el Explorador de registros, la API Logging o la interfaz de línea de comandos.
El explorador de registros usa expresiones booleanas para especificar un subconjunto de todas las entradas de registro de tu proyecto. Puedes usar estas consultas para elegir entradas de registro de registros o servicios de registro específicos, o que cumplan condiciones en metadatos o campos definidos por el usuario.
Antes de empezar
Asegúrate de que tienes los permisos o roles de gestión de identidades y accesos correctos para crear consultas con el Explorador de registros. Para obtener información sobre los permisos de gestión de identidades y accesos necesarios, consulta Permisos de la consola Google Cloud .
Empezar
-
En la Google Cloud consola, ve a la página Explorador de registros:
Ve al Explorador de registros.
Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuya sección sea Registro.
Selecciona el proyecto o el recurso correspondiente para el que quieras ver los registros. Google Cloud Google Cloud
Usar las consultas de ejemplo
Para aplicar una consulta de las siguientes tablas, haz clic en el icono content_copy Copiar contenido de la expresión y, a continuación, pega la expresión copiada en el campo del editor de consultas del Explorador de registros.
En la siguiente captura de pantalla se muestra el panel de consultas:
Si no ves el campo del editor de consultas, habilita Mostrar consulta.
Después de revisar la expresión de la consulta, haga clic en Ejecutar consulta. Los registros que coincidan con tu consulta se mostrarán en Resultados de la consulta.
Algunas de las consultas que se indican más adelante en esta página incluyen variables que debes sustituir por valores válidos. Por ejemplo, si una consulta incluye logName, el PROJECT_ID que proporciones debe hacer referencia alGoogle Cloud proyecto seleccionado. De lo contrario, la consulta no funcionará.
Ten en cuenta lo siguiente:
Si tienes una consulta con una marca de tiempo, el selector de intervalo de tiempo se inhabilita y la consulta usa la expresión de marca de tiempo como restricción de intervalo de tiempo. Si una consulta no usa una expresión de marca de tiempo, la consulta usa el selector de periodo como restricción de periodo.
La longitud de una consulta no puede superar los 20.000 caracteres.
El lenguaje de las consultas de Logging no distingue entre mayúsculas y minúsculas, excepto en las expresiones regulares.
Puedes usar la función
log_iden consultas con una expresiónlog_name. Por ejemplo, la expresiónlog_name="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access"es la misma quelog_id("cloudaudit.googleapis.com/data_access"). Para obtener más información sobre la funciónlog_id, consulta Lenguaje de consulta de registros: funciones.
Para obtener instrucciones sobre cómo hacer consultas en la consola, consulta el artículo Crear consultas en el Explorador de registros. Google Cloud
En las siguientes secciones se agrupan las consultas por servicios de Google Cloud .
Consultas de App Engine
| Nombre de la consulta o del filtro | Expresión |
|---|---|
| Registros de App Engine de Nochevieja (en hora UTC) | resource.type="gae_app" AND severity>=ERROR AND timestamp>="2018-12-31T00:00:00Z" AND timestamp<="2019-01-01T00:00:00Z" |
| Registros de solicitudes de App Engine con errores del servidor | resource.type="gae_app" AND log_id("appengine.googleapis.com/request_log") AND httpRequest.status>=500 |
| Registros de errores HTTP muestreados | resource.type="gae_app" AND protoPayload.status >= 400 AND sample(insertId, 0.1) |
| Buscar el ID de seguimiento de App Engine | resource.type="gae_app" AND trace="projects/PROJECT_ID/traces/TRACE_ID" |
| Registros de App Engine | resource.type="gae_app" AND resource.labels.module_id="MODULE_ID" AND resource.labels.version_id="VERSION_ID" |
| Despliegues recientes de App Engine | resource.type="gae_app" AND protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog" AND protoPayload.serviceName="appengine.googleapis.com" |
Consultas para habilitar e inhabilitar APIs
| Nombre de la consulta o del filtro | Expresión |
|---|---|
| Registros de habilitación de la API Audit | protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.EnableService" |
| Registros de inhabilitación de la API Audit | protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.DisableService" |
Consultas de BigQuery
| Nombre de la consulta o del filtro | Expresión |
|---|---|
| Registros de auditoría de BigQuery | resource.type=("bigquery_dataset" OR "bigquery_project") AND logName:"cloudaudit.googleapis.com" |
| Registros de auditoría de BigQuery de un proyecto | resource.type="bigquery_project" AND logName:"cloudaudit.googleapis.com" |
| Registros de auditoría de BigQuery de un conjunto de datos | resource.type="bigquery_dataset" AND logName:"cloudaudit.googleapis.com" |
| Registros de auditoría de BigQuery para el modelo de BI Engine | resource.type="bigquery_biengine_model" AND logName:"cloudaudit.googleapis.com" |
| Registros de auditoría de BigQuery de una ejecución de Data Transfer Service. | resource.type="bigquery_dts_run" AND logName:"cloudaudit.googleapis.com" |
| Registros de auditoría de BigQuery de una configuración de Data Transfer Service. | resource.type="bigquery_dts_config" AND logName:"cloudaudit.googleapis.com" |
| Trabajos de BigQuery Data Transfer Service | resource.type=("bigquery_project") AND protoPayload.requestMetadata.callerSuppliedUserAgent= "BigQuery Data Transfer Service" AND protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR "google.cloud.bigquery.v2.JobService.Query") |
| Registros de ejecuciones de transferencias de BigQuery | resource.type="bigquery_dts_config" AND labels.run_id="RUN_ID" AND resource.labels.config_id="CONFIG_ID" |
| Novedades de los conjuntos de datos de BigQuery | resource.type="bigquery_dataset" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName= "google.cloud.bigquery.v2.DatasetService.UpdateDataset" |
| Tareas de BigQuery completadas | resource.type="bigquery_project" AND log_id("cloudaudit.googleapis.com/data_access") AND protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR "google.cloud.bigquery.v2.JobService.Query") |
| Consultas grandes de BigQuery | resource.type="bigquery_project" AND protoPayload.metadata.jobChange.job.jobStats.queryStats.totalBilledBytes > 1073741824 |
| Se ha superado la cuota de BigQuery | resource.type=("bigquery_dataset" OR "bigquery_project") AND protoPayload.status.code=8 AND severity>=WARNING |
| Consulta de BigQuery iniciada | resource.type="bigquery_project" AND protoPayload.metadata.jobInsertion.reason:* |
| Tareas de carga o extracción simultáneas de BigQuery | resource.type="bigquery_resource" AND protoPayload.methodName="jobservice.insert" AND protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query: "extract" |
| Registros de auditoría de BigQuery para la política de acceso a las filas | protoPayload.methodName="jobservice.insert" AND protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query:"ROW ACCESS POLICY" |
Consultas de Dataflow
| Nombre de la consulta o del filtro | Expresión |
|---|---|
| Errores y advertencias en los workers de Dataflow | resource.type="dataflow_step" AND log_id("dataflow.googleapis.com/worker") AND severity>=WARNING |
Consultas de Dataproc
| Nombre de la consulta o del filtro | Expresión |
|---|---|
| Registros de Apache Hadoop de Dataproc | resource.type="cloud_dataproc_cluster" AND jsonPayload.class:"org.apache.hadoop.mapreduce" |
Cloud Deployment Manager
| Nombre de la consulta o del filtro | Expresión |
|---|---|
| Errores de Deployment Manager | resource.type="deployment" AND severity>=ERROR |
Consultas de Cloud Run Functions
| Nombre de la consulta o del filtro | Expresión |
|---|---|
| Errores de funciones de Cloud | resource.type="cloud_function" AND log_id("cloudfunctions.googleapis.com/cloud-functions") AND severity>=ERROR |
Consultas de Cloud Monitoring
| Nombre de la consulta o del filtro | Expresión |
|---|---|
| Mostrar todos los errores del canal de notificaciones |
resource.type="stackdriver_notification_channel" AND severity>=ERROR |
| Mostrar errores de canal de notificaciones debido a la limitación |
resource.type="stackdriver_notification_channel" AND severity>=ERROR AND jsonPayload.summary="Notification delivery throttled." |
| Mostrar los registros escritos por el recurso de tiempo de actividad |
resource.type="uptime_url" |
| Mostrar las solicitudes recibidas del servicio de comprobación del tiempo de actividad |
"GoogleStackdriverMonitoring-UptimeChecks" |
Consultas de Cloud Run
| Nombre de la consulta o del filtro | Expresión |
|---|---|
| Registros de Cloud Run de un trabajo específico | resource.type="cloud_run_job" AND resource.labels.service_name="JOB_NAME" |
| Registros de Cloud Run de una revisión y un servicio concretos | resource.type="cloud_run_revision" AND resource.labels.service_name="SERVICE_NAME" |
Consultas de Cloud Source Repositories
| Nombre de la consulta o del filtro | Expresión |
|---|---|
| Registros de Cloud Source Repositories | resource.type="csr_repository" AND resource.labels.name="REPOSITORY_NAME" |
Consultas de Spanner
| Nombre de la consulta o del filtro | Expresión |
|---|---|
| Registros de Cloud Spanner de una instancia de Spanner específica | resource.type="spanner_instance" AND resource.labels.instance_id="SPANNER_INSTANCE" |
Consultas de Cloud SQL
| Nombre de la consulta o del filtro | Expresión |
|---|---|
| Registros de auditoría de Cloud SQL | resource.type="cloudsql_database" AND resource.labels.database_id="DATABASE_ID" AND log_id("cloudaudit.googleapis.com/activity") |
| Registros de errores de MySQL de Cloud SQL | resource.type="cloudsql_database" AND log_id("cloudsql.googleapis.com/mysql.err") |
| Bases de datos basadas en MySQL de Cloud SQL | resource.type="cloudsql_database" AND resource.labels.database_id="DATABASE_ID" AND log_id("cloudsql.googleapis.com/mysql") |
| Bases de datos basadas en Cloud SQL Postgres | resource.type="cloudsql_database" AND resource.labels.database_id="DATABASE_ID" AND log_id("cloudsql.googleapis.com/postgres.log") |
| Registros de errores de SQL Server de Cloud SQL | resource.type="cloudsql_database" AND log_id("cloudsql.googleapis.com/sqlserver.err") |
| Bases de datos basadas en SQL Server de Cloud SQL | resource.type="cloudsql_database" AND resource.labels.database_id="DATABASE_ID" AND log_id("cloudsql.googleapis.com/sqlagent.out") |
Consultas de Cloud Storage
| Nombre de la consulta o del filtro | Expresión |
|---|---|
| Registros de segmentos de GCS | resource.type="gcs_bucket" AND resource.labels.bucket_name="BUCKET_NAME" |
| Registros de auditoría de segmentos de GCS | resource.type="gcs_bucket" AND logName:"cloudaudit.googleapis.com" |
| Registros de creación de segmentos de GCS | resource.type="gcs_bucket" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.method_name="storage.buckets.create" |
| Registros de eliminación de segmentos de GCS | resource.type="gcs_bucket" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.method_name="storage.buckets.delete" |
Consultas de Cloud Tasks
| Nombre de la consulta o del filtro | Expresión |
|---|---|
| Registros de colas de Cloud Tasks | resource.type="cloud_tasks_queue" AND resource.labels.queue_id="QUEUE_ID" |
Consultas de Compute Engine
| Nombre de la consulta o del filtro | Expresión |
|---|---|
| Registros de actividad de administración de Compute Engine | resource.type="gce_instance" AND log_id("cloudaudit.googleapis.com/activity") |
| Eliminación de reglas de cortafuegos de Compute Engine | resource.type="gce_firewall_rule" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"firewalls.delete" |
| Syslogs de VMs de Compute Engine | resource.type="gce_instance" AND log_id("syslog") |
| Registros de autenticación de VMs de Compute Engine | resource.type="gce_instance" AND log_id("authlog") |
| Error de host de Compute Engine | resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName:"compute.instances.hostError" OR operation.producer:"compute.instances.hostError") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="INSTANCE_ID" severity=INFO |
| Alerta de memoria de host de Compute Engine | resource.type="gce_instance" AND protoPayload.serviceName="compute.googleapis.com" AND (jsonPayload.methodName:"compute.instances.host_event_notify" OR operation.producer:"compute.instances.host_event_notify") AND log_id("cloudaudit.googleapis.com/host_event_notify") AND resource.labels.instance_id="INSTANCE_ID" AND severity=CRITICAL |
| Host de Compute Engine migrado | resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName: "compute.instances.migrateOnHostMaintenance" OR operation.producer: "compute.instances.migrateOnHostMaintenance") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="INSTANCE_ID" severity=INFO |
| Máquina virtual de Compute Engine finalizada o desalojada | resource.type="gce_instance" protoPayload.methodName=~"compute\.instances\.(guestTerminate|preempted)" log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="INSTANCE_ID" |
| La VM de Compute Engine se ha terminado debido a un error al crear el disco de espacio de trabajo | resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName="compute.instances.scratchDiskCreationFailed" OR operation.producer: "compute.instances.scratchDiskCreationFailed) log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="INSTANCE_ID" severity=INFO |
| Instancia de VM de Compute Engine creada | resource.type="gce_instance" protoPayload.methodName:"compute.instances.insert" log_id("cloudaudit.googleapis.com/activity") protoPayload.request.name="INSTANCE_NAME" |
| Se ha eliminado una instancia de VM de Compute Engine con el nombre | resource.type="gce_instance" protoPayload.methodName:"compute.instances.delete" log_id("cloudaudit.googleapis.com/activity") protoPayload.resourceName:"INSTANCE_NAME" |
| Se ha eliminado la instancia de VM de Compute Engine con el ID | resource.type="gce_instance" protoPayload.methodName:"compute.instances.delete" log_id("cloudaudit.googleapis.com/activity") resource.labels.instance_id="INSTANCE_ID" |
| Se ha reiniciado la instancia de VM de Compute Engine | resource.type="gce_instance" protoPayload.methodName=~"compute\.instances\.( stop|reset|automaticRestart|guestTerminate| instanceManagerHaltForRestart)" (log_id("cloudaudit.googleapis.com/activity") OR log_id("cloudaudit.googleapis.com/system_event")) resource.labels.instance_id="INSTANCE_ID" |
| Fallo de integridad del arranque de la VM blindada de Compute Engine | resource.type="gce_instance" log_id("compute.googleapis.com/shielded_vm_integrity") jsonPayload.earlyBootReportEvent.policyEvaluationPassed="false" resource.labels.instance_id="INSTANCE_ID" |
| Instancia de VM de Compute Engine detenida por el SO invitado | resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName:"compute.instances.guestTerminate" OR operation.producer:"compute.instances.guestTerminate") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="INSTANCE_ID" severity=INFO |
| Se ha bloqueado el archivo de arranque de la VM blindada de Compute Engine | resource.type="gce_instance" log_id("serialconsole.googleapis.com/serial_port_1_output") textPayload:("Security Violation") resource.labels.instance_id="INSTANCE_ID" |
| Persistent Disk Created | resource.type="gce_disk" AND protoPayload.methodName:"compute.disks.insert" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.resourceName: "PERSISTENT_DISK_NAME" |
| Nodos añadidos en el nodo de único cliente | resource.type="gce_node_group" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName=~("compute.nodeGroups.addNodes" OR "compute.nodeGroups.insert") resource.labels.node_group_id="NODE_GROUP_ID" severity="INFO" |
| Eventos de escalado automático en nodos de único inquilino | resource.type="gce_node_group" log_id("cloudaudit.googleapis.com/system_event") protoPayload.methodName=~("compute.nodeGroups.deleteNodes" OR "compute.nodeGroups.addNodes") resource.labels.node_group_id="NODE_GROUP_ID" |
| Se ha hecho una captura manual | resource.type="gce_snapshot" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.snapshots.insert" protoPayload.resourceName:"SNAPSHOT_NAME" |
| Se ha creado una captura programada | resource.type="gce_disk" log_id("cloudaudit.googleapis.com/system_event") protoPayload.methodName="ScheduledSnapshots" protoPayload.response.operationType="createSnapshot" protoPayload.response.targetLink="PERSISTENT_DISK_NAME" |
| Programación de capturas creada | resource.type="gce_resource_policy" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.resourcePolicies.insert" protoPayload.request.name="SCHEDULE_NAME" |
| Programación de capturas adjunta | resource.type="gce_disk" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.disks.addResourcePolicies" protoPayload.request.resourcePolicys:"SCHEDULE_NAME" protoPayload.resourceName:"PERSISTENT_DISK_NAME" |
| Cuota superada | resource.type="gce_instance" protoPayload.methodName:"compute.instances.insert" protoPayload.status.message:"QUOTA_EXCEEDED" severity=ERROR |
| Consultar instancias no sanas en un grupo de instancias | resource.type="gce_instance_group" resource.labels.instance_group_name="INSTANCE_GROUP_NAME" jsonPayload.healthCheckProbeResult.healthState="UNHEALTHY" |
| Consultar los miembros de un grupo de instancias en un periodo determinado en formato de hora UTC |
resource.type="gce_instance_group_manager" resource.labels.instance_group_manager_name="INSTANCE_GROUP_NAME" jsonPayload.@type= "type.googleapis.com/compute.InstanceGroupManagerEvent" jsonPayload.instanceHealthStateChange.detailedHealthState="HEALTHY" timestamp >= START_TIME timestamp <= END_TIME |
| Instancias añadidas al grupo de instancias | resource.type="gce_instance_group" protoPayload.methodName:"compute.instanceGroups.addInstances" log_id("cloudaudit.googleapis.com/activity") resource.labels.instance_group_name="INSTANCE_GROUP_NAME" |
| Instancias eliminadas del grupo de instancias | resource.type="gce_instance_group" protoPayload.methodName:"compute.instanceGroups.removeInstances" log_id("cloudaudit.googleapis.com/activity") resource.labels.instance_group_name="INSTANCE_GROUP_NAME" |
| Plantilla de instancia definida o actualizada | resource.type="gce_instance_group_manager" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName= "v1.compute.instanceGroupManagers.setInstanceTemplate" resource.labels.instance_group_manager_name="INSTANCE_GROUP_MANAGER" |
| Se ha eliminado la regla de cortafuegos | resource.type="gce_firewall_rule" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"firewalls.delete" |
| Registros de cortafuegos | resource.type="gce_subnetwork" log_id("compute.googleapis.com/firewall") jsonPayload.instance.vm_name="INSTANCE_NAME" |
Consultas de Google Cloud Observability
| Nombre de la consulta o del filtro | Expresión |
|---|---|
| Actividades de sumidero de registros | resource.type="logging_sink" AND log_id("cloudaudit.googleapis.com/activity") |
| Actividades de creación o actualización de métricas basadas en registros | resource.type="metric" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:(UpdateLogMetric OR CreateLogMetric) |
| Comprobaciones de disponibilidad de URLs de un host | resource.type="uptime_url" AND resource.labels.host="URL" |
Consultas de gestión de identidades y accesos
| Nombre de la consulta o del filtro | Expresión |
|---|---|
| Registros de creación de cuentas de servicio | resource.type="service_account" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.iam.admin.v1.CreateServiceAccount" |
| Registros de claves de creación de cuentas de servicio | resource.type="service_account" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.iam.admin.v1.CreateServiceAccountKey" |
| Definir registros de políticas de control de acceso | resource.type="project" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="SetIamPolicy" |
| Se ha concedido acceso a la organización a un principal externo | resource.type="project" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog" AND protoPayload.request.@type:"IamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:* AND NOT protoPayload.serviceData.policyDelta.bindingDeltas.member:"@DOMAIN_NAME.com" |
| Creación, modificación o eliminación de recursos | log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:("create" OR "delete" OR "update") |
| Rol concedido a la cuenta principal | log_id("cloudaudit.googleapis.com/activity") AND resource.type="project" AND protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.action="Add" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID" |
| Rol eliminado de la cuenta principal | log_id("cloudaudit.googleapis.com/activity") AND resource.type="project" AND protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.action="Remove" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID" |
| Permiso actualizado en un rol personalizado | log_id("cloudaudit.googleapis.com/activity") AND resource.type="iam_role" AND protoPayload.serviceName="iam.googleapis.com" AND protoPayload.methodName:"UpdateRole" AND resource.labels.role_name:"ROLE_ID" |
Consultas relacionadas con Kubernetes
Para ver una descripción general y ejemplos de consultas de registro de auditoría de actividad de administrador, consulta los que se proporcionan en la página de registro de auditoría de GKE.Consultas a nivel de clúster
| Nombre de la consulta o del filtro | Expresión |
|---|---|
| Operaciones de clúster de Google Kubernetes Engine | resource.type="gke_cluster" AND log_id("cloudaudit.googleapis.com/activity") |
| Creación de clústeres de Google Kubernetes Engine |
resource.type="gke_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.container.v1.ClusterManager.CreateCluster" |
| Despliegue de clústeres de Kubernetes |
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"deployments" |
| Error de autenticación del clúster de Kubernetes |
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.authenticationInfo.principalEmail="system:anonymous" |
Operaciones y eventos de clústeres de Kubernetes en us-central1-b |
resource.type="k8s_cluster" AND resource.labels.location="us-central1-b" |
| Solicitudes de pods de Kubernetes de los usuarios |
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"io.k8s.core.v1.pods" AND protoPayload.authenticationInfo.principalEmail="USER_EMAIL" |
| Eventos de Kubernetes |
resource.type="k8s_cluster" AND log_id("events") |
| Actualización de endpoints de Kubernetes |
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.request.kind="Endpoints" |
| Registros del plano de control de Kubernetes |
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.serviceName="k8s.io" |
| Registros del plano de control de Kubernetes Engine |
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.serviceName="container.googleapis.com" |
| Eliminación de pods |
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName=~"io\.k8s\.core\.v1\.pods\.(create|delete)" |
| Registros de auditoría de pods de Kubernetes del plano de control |
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.resourceName="core/v1/namespaces/POD_NAMESPACE/pods/POD_NAME |
| Expulsiones de pods de Kubernetes |
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="io.k8s.core.v1.pods.eviction.create" |
| Registros de auditoría de nodos de Kubernetes del plano de control |
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"io.k8s.core.v1.nodes" |
| Plano de control del clúster de Kubernetes para la actividad del gestor de complementos |
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.authenticationInfo.principalEmail="system:addon-manager" |
Errores del plano de control de Kubernetes (excepto Conflict, que es normal) |
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.status.message!="Conflict" AND protoPayload.status.code!=0 |
| Eventos del controlador de entrada |
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("events") AND jsonPayload.source.component="loadbalancer-controller" |
| Eventos del controlador de servicios (kube-controller-manager) |
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("events") AND jsonPayload.source.component="service-controller" |
| Eventos de la herramienta de adaptación dinámica de clústeres |
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("events") AND jsonPayload.source.component="cluster-autoscaler" |
Consultas a nivel de pod
| Nombre de filtro | Expresión |
|---|---|
| Consultar un pod durante la creación |
resource.type="k8s_pod" AND resource.labels.pod_name="POD_NAME" AND log_id("events") |
| Se ha terminado el pod de consulta debido a la presión de los recursos |
resource.type="k8s_pod" AND log_id("events") AND jsonPayload.reason="Evicted" |
| Eventos del programador |
resource.type="k8s_pod" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("events") AND jsonPayload.source.component="default-scheduler" |
| Eventos del programador (prelaciones) |
resource.type="k8s_pod" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("events") AND jsonPayload.source.component="default-scheduler" AND jsonPayload.reason="Preempted" |
Consultas a nivel de nodo
| Nombre de filtro | Expresión |
|---|---|
| Eventos de nodo |
resource.type="k8s_node" AND log_id("events") |
| Consultar los registros de kube-proxy |
resource.type="k8s_node" AND log_id("kube-proxy") |
| Consultar los registros de dockerd |
resource.type="k8s_node" AND log_id("container-runtime") |
| Consultar errores o fallos de kubelet |
resource.type="k8s_node" AND log_id("kubelet") AND jsonPayload.MESSAGE:("error" OR "fail") |
| Consultar los registros de nodos de los registros del sistema de GKE |
resource.type = "k8s_node" logName:( "logs/container-runtime" OR "logs/docker" OR "logs/kube-container-runtime-monitor" OR "logs/kube-logrotate" OR "logs/kube-node-configuration" OR "logs/kube-node-installation" OR "logs/kubelet" OR "logs/kubelet-monitor" OR "logs/node-journal" OR "logs/node-problem-detector") |
Consultas de espacio de nombres
| Nombre de filtro | Expresión |
|---|---|
| Registros de contenedores y pods de los registros del sistema de GKE |
resource.type = ("k8s_container" OR "k8s_pod") resource.labels.namespace_name = ( "cnrm-system" OR "config-management-system" OR "gatekeeper-system" OR "gke-connect" OR "gke-system" OR "istio-system" OR "knative-serving" OR "monitoring-system" OR "kube-system") |
Consultas de contenedor
| Nombre de filtro | Expresión |
|---|---|
| Registros de contenedores de salida estándar de todos los pods y contenedores de un clúster |
resource.type="k8s_container" AND log_id("stdout") |
| Registros de errores de contenedores de todos los pods y contenedores de un clúster |
resource.type="k8s_container" AND log_id("stderr") AND severity=ERROR |
| Registros de errores de contenedores de un pod con un nombre específico |
resource.type="k8s_container" AND resource.labels.pod_name="POD_NAME" AND severity=ERROR |
| Registros de errores de un contenedor específico de un pod concreto |
resource.type="k8s_container" AND resource.labels.pod_name="POD_NAME" AND resource.labels.container_name="server" AND severity=ERROR |
| Registros de errores de contenedores de un espacio de nombres y un contenedor específicos |
resource.type="k8s_container" AND resource.labels.namespace_name="istio-system" AND resource.labels.container_name="egressgateway" AND severity=ERROR |
| Registros de contenedores de un pod con una etiqueta específica |
resource.type="k8s_container" AND labels."k8s-pod/app"="loadgenerator" AND severity=ERROR |
| Registros de errores de contenedores de pods que se ejecutan en un nodo específico |
resource.type="k8s_container" AND labels."compute.googleapis.com/resource_name"=NODE_NAME AND severity=ERROR |
| Registros de contenedores de un pod con una etiqueta generada mediante Skaffold |
resource.type="k8s_container" AND labels."k8s-pod/app"="loadgenerator" AND labels."k8s-pod/skaffold_dev/run-id"=SKAFFOLD_RUN_ID severity=ERROR |
Registros de errores de contenedores de un pod específico que contiene un POST en textPayload |
resource.type="k8s_container" AND resource.labels.pod_name="POD_NAME" AND textPayload:"POST" AND severity=ERROR |
Registros de errores de contenedores de un pod específico que contiene un GET en el JSON estructurado |
resource.type="k8s_container" AND resource.labels.pod_name="POD_NAME" AND jsonPayload."http.req.method"="GET" AND severity=ERROR |
| Registros de errores de contenedores en el espacio de nombres kube-system |
resource.type="k8s_container" AND resource.labels.namespace_name="kube-system" AND severity=ERROR |
| Error de contenedor en el registro de Container Insights |
resource.type="k8s_container" AND log_id("clouderrorreporting.googleapis.com/insights") |
| Registros de contenedores de Kubernetes |
resource.type="k8s_container" AND resource.labels.container_name="CONTAINER_NAME" |
Consultas del plano de control
Nota: Los registros del plano de control de GKE deben estar habilitados.| Nombre de filtro | Expresión |
|---|---|
| Registros del servidor de la API de Kubernetes |
resource.type="k8s_control_plane_component" resource.labels.component_name="apiserver" resource.labels.location="CLUSTER_LOCATION" resource.labels.cluster_name="CLUSTER_NAME" |
| Registros del programador de Kubernetes |
resource.type="k8s_control_plane_component" resource.labels.component_name="scheduler" resource.labels.location="CLUSTER_LOCATION" resource.labels.cluster_name="CLUSTER_NAME" |
| Registros de Kubernetes Controller Manager |
resource.type="k8s_control_plane_component" resource.labels.component_name="controller-manager" resource.labels.location="CLUSTER_LOCATION" resource.labels.cluster_name="CLUSTER_NAME" |
Consultas de cargas de trabajo de TPU
Nota: El registro del sistema y de las cargas de trabajo de GKE debe estar habilitado.| Nombre de filtro | Expresión |
|---|---|
| Registros de contenedor de salida estándar de todos los nodos de TPU con el mismo prefijo |
resource.type="k8s_container" AND labels."compute.googleapis.com/resource_name"=~"TPU_NODE_PREFIX.*" AND log_id("stdout") |
| Registros de errores de contenedores de todos los nodos de TPU con el mismo prefijo |
resource.type="k8s_container" AND labels."compute.googleapis.com/resource_name"=~"TPU_NODE_PREFIX.*" AND log_id("stderr") AND severity=ERROR |
| Registros de contenedores de salida estándar del mismo trabajo de GKE |
resource.type="k8s_container" AND labels."k8s-pod/batch.kubernetes.io/job-name" = "JOB_NAME" AND log_id("stdout") |
| Registros de errores de contenedores del mismo trabajo de GKE |
resource.type="k8s_container" AND labels."k8s-pod/batch.kubernetes.io/job-name"="JOB_NAME" AND log_id("stderr") AND severity=ERROR |
| Registros de contenedores de salida estándar del mismo JobSet de GKE |
resource.type="k8s_container" AND labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="JOBSET_NAME" AND log_id("stdout") |
| Registros de errores de contenedores del mismo JobSet de GKE |
resource.type="k8s_container" AND labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="JOBSET_NAME" AND log_id("stderr") AND severity=ERROR |
Consultas de aplicaciones de terceros
Las siguientes consultas usan los IDs de registro predeterminados de los registros recogidos por el agente de Logging antiguo. Si recoges registros con el agente de operaciones, es posible que los nombres de los registros se configuren de forma diferente. Para obtener más información sobre el Agente de operaciones y los registros de aplicaciones, consulta el artículo Recoger registros de aplicaciones de terceros.
| Nombre de la consulta o del filtro | Expresión |
|---|---|
| Registros de Apache | resource.type="gce_instance" AND (logName:"/apache-access" OR logName:"/apache-error") |
| Registros de Cassandra | resource.type="gce_instance" AND log_id("cassandra") |
| Registros de Chef | resource.type="gce_instance" AND logName:"projects/PROJECT_ID/logs/chef-" |
| Registros de GitLab | resource.type="gce_instance" logName:"projects/PROJECT_ID/logs/gitlab-" |
| Registros de Jenkins | resource.type="gce_instance" AND log_id("jenkins") |
| Registros de Jetty | resource.type="gce_instance" AND logName:"projects/PROJECT_ID/logs/jetty-" |
| Registros de Joomla | resource.type="gce_instance" AND log_id("joomla") |
| Registros del sistema de Linux | resource.type="gce_instance" AND log_id("syslog") |
| Registros de Magneto | resource.type="gce_instance" AND logName:"projects/PROJECT_ID/logs/magneto-" |
| Registros de MediaWiki | resource.type="gce_instance" AND log_id("mediawiki") |
| Registros de memcached | resource.type="gce_instance" AND log_id("memcached") |
| Registros de MongoDB | resource.type="gce_instance" AND log_id("mongodb") |
| Registros de MySQL | resource.type="gce_instance" AND log_id("mysql") |
| Registros de Nginx | resource.type="gce_instance" AND logName:"projects/PROJECT_ID/logs/nginx-" |
| Registros de PostgreSQL | resource.type="gce_instance" AND log_id("postgresql") |
| Registros de Puppet | resource.type="gce_instance" AND logName:"projects/PROJECT_ID/logs/puppet-" |
| Registros de RabbitMQ | resource.type="gce_instance" AND logName:"projects/PROJECT_ID/logs/rabbitmq-" |
| Registros de Redmine | resource.type="gce_instance" AND log_id("redmine") |
| Registros de sal | resource.type="gce_instance" AND logName:"projects/PROJECT_ID/logs/salt-" |
| Consultas de MySQL lentas | resource.type="gce_instance" AND log_id("mysql-slow") |
| Registros de Solr | resource.type="gce_instance" AND log_id("solr") |
| Registros de SugarCRM | resource.type="gce_instance" AND log_id("sugarcrm") |
| Registros de Tomcat | resource.type="gce_instance" AND log_id("tomcat") |
| Registros de Zookeeper | resource.type="gce_instance" AND log_id("zookeeper") |
Consultas de red
| Nombre de la consulta o del filtro | Expresión |
|---|---|
| Cortafuegos: todos los registros | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") |
| Registros de cortafuegos de un país concreto | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND jsonPayload.remote_location.country=COUNTRY_ISO_ALPHA_3 |
| Registros de cortafuegos de una VM | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND jsonPayload.instance.vm_name="INSTANCE_NAME" |
| Registros de subredes de cortafuegos | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND resource.labels.subnetwork_name="SUBNET_NAME" |
| Registros de tráfico de subred de Compute Engine en una subred | resource.type="gce_subnetwork" AND ip_in_net(jsonPayload.connection.dest_ip, "SUBNET_IP") |
| Registros de flujo de VPC | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") |
| Registros de flujo de VPC de un puerto y un protocolo específicos | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND jsonPayload.connection.src_port="PORT_ID" AND jsonPayload.connection.protocol="PROTOCOL" |
| Registros de flujo de VPC de una subred específica | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND resource.labels.subnetwork_name"=SUBNET_NAME" |
| Registros de flujo de VPC de un prefijo de subred específico | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND ip_in_net(jsonPayload.connection.dest_ip,SUBNET_IP) |
| Registros de flujo de VPC de una VM específica | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND jsonPayload.src_instance.vm_name="VM_NAME" |
| Registros de pasarela VPN | resource.type="vpn_gateway" AND resource.labels.gateway_id="GATEWAY_ID" |
| Errores 5xx del balanceador de carga HTTP | resource.type="http_load_balancer" AND httpRequest.status>=500 |
| Solicitudes del balanceador de carga HTTP a PHPMyAdmin | resource.type="http_load_balancer" AND httpRequest.request_url:"phpmyadmin" |
Consultas de seguridad
| Nombre de la consulta o del filtro | Expresión |
|---|---|
| Registros de auditoría (todos) | logName:"cloudaudit.googleapis.com" |
| Registros de auditoría de Transparencia de acceso (AXT) | log_id("cloudaudit.googleapis.com/access_transparency") |
| Registros de auditoría: actividad de administrador | log_id("cloudaudit.googleapis.com/activity") |
| Registros de auditoría de acceso a datos | log_id("cloudaudit.googleapis.com/data_access") |
| Registros de auditoría: eventos del sistema | log_id("cloudaudit.googleapis.com/system_event") |
Solución de problemas
Para obtener instrucciones sobre cómo solucionar problemas habituales al usar el Explorador de registros, consulta el artículo Usar el Explorador de registros: solución de problemas.
Siguientes pasos
Para obtener más información sobre la sintaxis de las consultas, que puede usar para personalizarlas, consulte el artículo Lenguaje de consultas de registro.
Para obtener más información sobre cómo hacer consultas en la consola de Google Cloud , consulta el artículo Crear consultas con el lenguaje de consultas de almacenamiento de registros.