Amostras de consultas

Este documento fornece consultas sugeridas para facilitar a localização de registros importantes usando o Buscador de registros no console do Google Cloud. As consultas listadas são escritas na linguagem de consulta do Logging e podem ser usadas no Explorador de registros, na API Logging ou na interface de linha de comando.

O Explorador de registros usa expressões booleanas para especificar um subconjunto de todas as entradas de registro no projeto. É possível usar essas consultas para escolher entradas de registros específicos ou de serviços ou que satisfaçam condições em metadados ou campos definidos pelo usuário.

Antes de começar

Verifique se você tem as permissões ou o papel corretos do Identity and Access Management para criar consultas usando o Explorador de registros. Para detalhes sobre as permissões de IAM necessárias, consulte Permissões para o console do Google Cloud.

Primeiros passos

  1. No console do Google Cloud, acesse a página Análise de registros:

    Acessar a Análise de registros

    Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo Logging.

  2. Selecione o projeto do Google Cloud ou outro recurso do Google Cloud em que você quer conferir os registros.

Usar os exemplos de consultas

Para aplicar uma consulta das tabelas a seguir, clique no ícone Cópia de conteúdo da expressão e cole a expressão copiada no campo do editor de consultas do Logs Explorer.

A captura de tela a seguir ilustra o painel de consulta:

O editor de consultas está mostrando onde inserir uma consulta

Se você não encontrar o campo do editor de consultas, ative a opção Mostrar consulta.

Depois de analisar a expressão da consulta, clique em Executar consulta. Os registros que correspondem à consulta estão listados em Resultados da consulta.

Algumas das consultas listadas mais adiante nesta página incluem variáveis que precisam ser substituídas por valores válidos. Por exemplo, quando uma consulta inclui logName, o PROJECT_ID fornecido precisa se referir ao projeto do Google Cloud selecionado. Caso contrário, a consulta não vai funcionar.

Observe o seguinte:

  • Se você tiver uma consulta com carimbo de data/hora, o seletor de intervalo de tempo será desativado e a consulta usará a expressão de carimbo de data/hora como a restrição de intervalo de tempo. Se uma consulta não usar uma expressão de carimbo de data/hora, ela usará o seletor de intervalo de tempo como a restrição de intervalo de tempo.

  • O tamanho de uma consulta não pode exceder 20.000 caracteres.

  • A linguagem de consulta de geração de registros não diferencia maiúsculas de minúsculas, exceto para expressões regulares.

  • É possível usar a função log_id para consultas com uma expressão log_name. Por exemplo, a expressão log_name="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access" é igual a log_id("cloudaudit.googleapis.com/data_access"). Para mais informações sobre a função log_id, consulte Linguagem de consulta do Logging: funções.

Para instruções sobre como fazer consultas no console do Google Cloud, consulte Criar consultas no Explorador de registros.

Nas seções a seguir, você verá o agrupamento de consultas por serviços do Google Cloud.

Consultas do App Engine

Nome da consulta/filtro Expressão
Registros do App Engine na véspera de Ano Novo (no horário UTC)
resource.type="gae_app" AND
severity>=ERROR AND
timestamp>="2018-12-31T00:00:00Z" AND timestamp<="2019-01-01T00:00:00Z" 
Registros de solicitação do App Engine com erros do servidor
resource.type="gae_app" AND
log_id("appengine.googleapis.com/request_log") AND
httpRequest.status>=500 
Registros de erro HTTP amostrados
resource.type="gae_app" AND
protoPayload.status >= 400 AND
sample(insertId, 0.1) 
Pesquisar o ID de rastreamento do App Engine
resource.type="gae_app" AND
trace="projects/PROJECT_ID/traces/TRACE_ID" 
Registros do App Engine
resource.type="gae_app" AND
resource.labels.module_id="MODULE_ID" AND
resource.labels.version_id="VERSION_ID" 
Implantações recentes do App Engine
resource.type="gae_app" AND
protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog" AND
protoPayload.serviceName="appengine.googleapis.com" 

Ativar e desativar consultas de API

Nome da consulta/filtro Expressão
Registros de ativação da API de auditoria
protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.EnableService"
Registros de desativação da API de auditoria
protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.DisableService"

Consultas do BigQuery

Nome da consulta/filtro Expressão
Registros de auditoria do BigQuery
resource.type=("bigquery_dataset" OR "bigquery_project") AND
logName:"cloudaudit.googleapis.com" 
Registros de auditoria do BigQuery para um projeto
resource.type="bigquery_project" AND
logName:"cloudaudit.googleapis.com" 
Registros de auditoria do BigQuery para um conjunto de dados
resource.type="bigquery_dataset" AND
logName:"cloudaudit.googleapis.com" 
Registros de auditoria do BigQuery para o modelo do BI Engine
resource.type="bigquery_biengine_model" AND
logName:"cloudaudit.googleapis.com" 
Registros de auditoria do BigQuery para uma execução do serviço de transferência de dados.
resource.type="bigquery_dts_run" AND
logName:"cloudaudit.googleapis.com" 
Registros de auditoria do BigQuery para uma configuração do serviço de transferência de dados.
resource.type="bigquery_dts_config" AND
logName:"cloudaudit.googleapis.com" 
Jobs do serviço de transferência de dados do BigQuery
resource.type=("bigquery_project") AND
protoPayload.requestMetadata.callerSuppliedUserAgent=
"BigQuery Data Transfer Service" AND
protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR
"google.cloud.bigquery.v2.JobService.Query") 
Registros de execução de transferência do BigQuery
resource.type="bigquery_dts_config" AND
labels.run_id="RUN_ID" AND
resource.labels.config_id="CONFIG_ID" 
Atualizações do conjunto de dados do BigQuery
resource.type="bigquery_dataset" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName=
"google.cloud.bigquery.v2.DatasetService.UpdateDataset" 
Jobs do BigQuery concluídos
resource.type="bigquery_project" AND
log_id("cloudaudit.googleapis.com/data_access") AND
protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob"
OR "google.cloud.bigquery.v2.JobService.Query") 
Consultas grandes do BigQuery
resource.type="bigquery_project" AND
protoPayload.metadata.jobChange.job.jobStats.queryStats.totalBilledBytes
> 1073741824 
Cota do BigQuery excedida
resource.type=("bigquery_dataset" OR "bigquery_project")
AND
protoPayload.status.code=8 AND
severity>=WARNING 
Consulta do BigQuery iniciada
resource.type="bigquery_project" AND
protoPayload.metadata.jobInsertion.reason:*
Jobs de carregamento/extração simultâneos do BigQuery
resource.type="bigquery_resource" AND
protoPayload.methodName="jobservice.insert" AND
protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query:
"extract"

Consultas do Dataflow

Nome da consulta/filtro Expressão
Erros e avisos nos workers do Dataflow
resource.type="dataflow_step" AND
log_id("dataflow.googleapis.com/worker") AND
severity>=WARNING 

Consultas do Dataproc

Nome da consulta/filtro Expressão
Registros do Dataproc Apache Hadoop
resource.type="cloud_dataproc_cluster" AND
jsonPayload.class:"org.apache.hadoop.mapreduce" 

Cloud Deployment Manager

Nome da consulta/filtro Expressão
Erros do Deployment Manager
resource.type="deployment" AND
severity>=ERROR 

Consultas de funções do Cloud Run

Nome da consulta/filtro Expressão
Erros do Cloud Functions
resource.type="cloud_function" AND
log_id("cloudfunctions.googleapis.com/cloud-functions") AND
severity>=ERROR 

Consultas do Cloud Monitoring

Nome da consulta/filtro Expressão
Mostrar todos os erros
do canal de notificações
resource.type="stackdriver_notification_channel" AND
severity>=ERROR 
Mostrar erros do canal de notificação
devido a limitação
resource.type="stackdriver_notification_channel" AND
severity>=ERROR AND
jsonPayload.summary="Notification delivery throttled."
Mostrar registros gravados pelo
recurso de tempo de atividade
resource.type="uptime_url"
Mostrar solicitações recebidas do
serviço de verificação de tempo de atividade
"GoogleStackdriverMonitoring-UptimeChecks"

Consultas do Cloud Run

Nome da consulta/filtro Expressão
Registros do Cloud Run para um job específico
resource.type="cloud_run_job" AND
resource.labels.service_name="JOB_NAME"
Registros do Cloud Run para uma revisão e um serviço específicos
resource.type="cloud_run_revision" AND
resource.labels.service_name="SERVICE_NAME"

Consultas do Cloud Source Repositories

Nome da consulta/filtro Expressão
Registros do Cloud Source Repositories
resource.type="csr_repository" AND
resource.labels.name="REPOSITORY_NAME"

Consultas do Spanner

Nome da consulta/filtro Expressão
Registros do Cloud Spanner para uma instância de spanner específica
resource.type="spanner_instance" AND
resource.labels.instance_id="SPANNER_INSTANCE"

Consultas do Cloud SQL

Nome da consulta/filtro Expressão
Registros de auditoria do Cloud SQL
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudaudit.googleapis.com/activity")
Registros de erro do Cloud SQL MySQL
resource.type="cloudsql_database" AND
log_id("cloudsql.googleapis.com/mysql.err")
Bancos de dados baseados em Cloud SQL MySQL
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/mysql")
Bancos de dados baseados em Postgres do Cloud SQL
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/postgres.log")
Registros de erro do Cloud SQL SQL Server
resource.type="cloudsql_database" AND
log_id("cloudsql.googleapis.com/sqlserver.err")
Bancos de dados baseados no Cloud SQL SQL Server
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/sqlagent.out")

Consultas do Cloud Storage

Nome da consulta/filtro Expressão
Registros de intervalos do GCS
resource.type="gcs_bucket" AND
resource.labels.bucket_name="BUCKET_NAME"
Registros de auditoria de intervalos do GCS
resource.type="gcs_bucket" AND
logName:"cloudaudit.googleapis.com" 
Registros de criação de intervalos do GCS
resource.type="gcs_bucket" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.method_name="storage.buckets.create" 
Registros de exclusão de intervalos do GCS
resource.type="gcs_bucket" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.method_name="storage.buckets.delete" 

Consultas do Cloud Tasks

Nome da consulta/filtro Expressão
Registros de consulta do Cloud Tasks
resource.type="cloud_tasks_queue" AND
resource.labels.queue_id="QUEUE_ID"

Consultas do Compute Engine

Nome da consulta/filtro Expressão
Registros de atividade de administrador do Compute Engine
resource.type="gce_instance" AND
log_id("cloudaudit.googleapis.com/activity")
Exclusão da regra de firewall do Compute Engine
resource.type="gce_firewall_rule" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"firewalls.delete" 
Syslogs da VM do Compute Engine
resource.type="gce_instance" AND
log_id("syslog") 
Authlogs de VMs do Compute Engine
resource.type="gce_instance" AND
log_id("authlog") 
Erro de host do Compute Engine
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:"compute.instances.hostError"
OR
operation.producer:"compute.instances.hostError")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
 severity=INFO
    
Alerta de memória do host do Compute Engine
resource.type="gce_instance" AND
protoPayload.serviceName="compute.googleapis.com" AND
(jsonPayload.methodName:"compute.instances.host_event_notify"
OR
operation.producer:"compute.instances.host_event_notify") AND
log_id("cloudaudit.googleapis.com/host_event_notify") AND
resource.labels.instance_id="INSTANCE_ID" AND
severity=CRITICAL
    
Host do Compute Engine migrado
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:
"compute.instances.migrateOnHostMaintenance"
OR
operation.producer:
"compute.instances.migrateOnHostMaintenance")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO 
VM do Compute Engine encerrada/forçada
resource.type="gce_instance"
protoPayload.methodName=~"compute\.instances\.(guestTerminate|preempted)"
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID" 
A VM do Compute Engine foi encerrada devido a uma falha na criação do disco temporário
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName="compute.instances.scratchDiskCreationFailed"
OR
operation.producer:
"compute.instances.scratchDiskCreationFailed)
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO 
Instância de VM do Compute Engine criada
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.insert"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.request.name="INSTANCE_NAME" 
Instância de VM do Compute Engine excluída com nome
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.delete"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.resourceName:"INSTANCE_NAME" 
Instância de VM do Compute Engine excluída com ID
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.delete"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.instance_id="INSTANCE_ID" 
Instância de VM do Compute Engine reiniciada
resource.type="gce_instance"
protoPayload.methodName=~"compute\.instances\.(
stop|reset|automaticRestart|guestTerminate|
instanceManagerHaltForRestart)"
(log_id("cloudaudit.googleapis.com/activity")
OR log_id("cloudaudit.googleapis.com/system_event"))
resource.labels.instance_id="INSTANCE_ID" 
Falha na integridade da inicialização da VM protegida do Compute Engine
resource.type="gce_instance"
log_id("compute.googleapis.com/shielded_vm_integrity")
jsonPayload.earlyBootReportEvent.policyEvaluationPassed="false"
resource.labels.instance_id="INSTANCE_ID" 
Instância de VM do Compute Engine interrompida pelo SO convidado
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:"compute.instances.guestTerminate" OR
operation.producer:"compute.instances.guestTerminate")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO 
O arquivo de inicialização da VM protegida do Compute Engine foi bloqueado
resource.type="gce_instance"
log_id("serialconsole.googleapis.com/serial_port_1_output")
textPayload:("Security Violation")
resource.labels.instance_id="INSTANCE_ID" 
Disco permanente criado
resource.type="gce_disk" AND
protoPayload.methodName:"compute.disks.insert" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.resourceName: "PERSISTENT_DISK_NAME"
Nós adicionados no nó de locatário individual
resource.type="gce_node_group"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName=~("compute.nodeGroups.addNodes"
OR "compute.nodeGroups.insert")
resource.labels.node_group_id="NODE_GROUP_ID"
severity="INFO"
Eventos de escalonamento automático em nó de locatário individual
resource.type="gce_node_group"
log_id("cloudaudit.googleapis.com/system_event")
protoPayload.methodName=~("compute.nodeGroups.deleteNodes"
OR "compute.nodeGroups.addNodes")
resource.labels.node_group_id="NODE_GROUP_ID"
Snapshot manual criado
resource.type="gce_snapshot"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.snapshots.insert"
protoPayload.resourceName:"SNAPSHOT_NAME"
Snapshot programado tirado
resource.type="gce_disk"
log_id("cloudaudit.googleapis.com/system_event")
protoPayload.methodName="ScheduledSnapshots"
protoPayload.response.operationType="createSnapshot"
protoPayload.response.targetLink="PERSISTENT_DISK_NAME"
Programação de snapshot criada
resource.type="gce_resource_policy"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.resourcePolicies.insert"
protoPayload.request.name="SCHEDULE_NAME"
Programação de snapshot anexada
resource.type="gce_disk"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.disks.addResourcePolicies"
protoPayload.request.resourcePolicys:"SCHEDULE_NAME"
protoPayload.resourceName:"PERSISTENT_DISK_NAME"
Cota excedida
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.insert"
protoPayload.status.message:"QUOTA_EXCEEDED"
severity=ERROR
Consultar instâncias não íntegras no grupo de instâncias
resource.type="gce_instance_group"
resource.labels.instance_group_name="INSTANCE_GROUP_NAME"
jsonPayload.healthCheckProbeResult.healthState="UNHEALTHY"
Consultar membros do grupo de instâncias em um período no formato de horário UTC
resource.type="gce_instance_group_manager"
resource.labels.instance_group_manager_name="INSTANCE_GROUP_NAME"
jsonPayload.@type=
"type.googleapis.com/compute.InstanceGroupManagerEvent"
jsonPayload.instanceHealthStateChange.detailedHealthState="HEALTHY"
timestamp >= START_TIME timestamp <= END_TIME 
Instâncias removidas do grupo de instâncias
resource.type="gce_instance_group"
protoPayload.methodName:"compute.instanceGroups.removeInstances"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.instance_group_name="INSTANCE_GROUP_NAME"
Modelo de instância definido ou atualizado
resource.type="gce_instance_group_manager"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName=
"v1.compute.instanceGroupManagers.setInstanceTemplate"
resource.labels.instance_group_manager_name="INSTANCE_GROUP_MANAGER"
Regra de firewall excluída
resource.type="gce_firewall_rule"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"firewalls.delete"
Registros do firewall
resource.type="gce_subnetwork"
log_id("compute.googleapis.com/firewall")
jsonPayload.instance.vm_name="INSTANCE_NAME"

Consultas do Google Cloud Observability

Nome da consulta/filtro Expressão
Atividades de afundamento de registro
resource.type="logging_sink" AND
log_id("cloudaudit.googleapis.com/activity")
Atividades de criação ou atualização de métricas baseadas em registros
resource.type="metric" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:(UpdateLogMetric OR CreateLogMetric)
Verificações de URL de disponibilidade para um host
resource.type="uptime_url" AND
resource.labels.host="URL"

Consultas de gerenciamento de identidade e acesso

Nome da consulta/filtro Expressão
Registros de criação de conta de serviço
resource.type="service_account" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.iam.admin.v1.CreateServiceAccount" 
Registros de chave de criação de conta de serviço
resource.type="service_account" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.iam.admin.v1.CreateServiceAccountKey" 
Configurar registros de política de controle de acesso
resource.type="project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="SetIamPolicy" 
O diretor externo concedeu acesso à organização
resource.type="project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog" AND
protoPayload.request.@type:"IamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:* AND
NOT protoPayload.serviceData.policyDelta.bindingDeltas.member:"@DOMAIN_NAME.com" 
Criação, modificação ou exclusão de recursos
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:("create" OR "delete" OR "update")
Papel concedido ao principal
log_id("cloudaudit.googleapis.com/activity") AND
resource.type="project" AND
protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND
protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.action="Add" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID" 
Função removida da conta principal
log_id("cloudaudit.googleapis.com/activity") AND
resource.type="project" AND
protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND
protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.action="Remove" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID" 
Permissão atualizada em uma função personalizada
log_id("cloudaudit.googleapis.com/activity") AND
resource.type="iam_role" AND
protoPayload.serviceName="iam.googleapis.com" AND
protoPayload.methodName:"UpdateRole" AND
resource.labels.role_name:"ROLE_ID" 

Consultas relacionadas ao Kubernetes

Para uma visão geral e exemplos de consultas de registro de auditoria de atividade do administrador, consulte as consultas fornecidas na página de geração de registros de auditoria do GKE.

Consultas no nível do cluster

Nome da consulta/filtro Expressão
Operações do cluster do Google Kubernetes Engine
resource.type="gke_cluster" AND
log_id("cloudaudit.googleapis.com/activity")
Criação do cluster do Google Kubernetes Engine
resource.type="gke_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.container.v1.ClusterManager.CreateCluster"
      
Implantação do cluster do Kubernetes
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"deployments"
      
Falha de autenticação do cluster do Kubernetes
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.authenticationInfo.principalEmail="system:anonymous"
      
Operações e eventos do cluster do Kubernetes em us-central1-b
resource.type="k8s_cluster" AND
resource.labels.location="us-central1-b"
      
Solicitações de pod do Kubernetes dos usuários
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"io.k8s.core.v1.pods" AND
protoPayload.authenticationInfo.principalEmail="USER_EMAIL"
      
Eventos do Kubernetes
resource.type="k8s_cluster" AND
log_id("events")
      
Atualização dos endpoints do Kubernetes
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.request.kind="Endpoints"
      
Registros do plano de controle do Kubernetes
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.serviceName="k8s.io"
      
Registros do plano de controle do Kubernetes Engine
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.serviceName="container.googleapis.com"
      
Exclusão de pods
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName=~"io\.k8s\.core\.v1\.pods\.(create|delete)"
      
Registros de auditoria de pod do Kubernetes do plano de controle
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.resourceName="core/v1/namespaces/POD_NAMESPACE/pods/POD_NAME
      
Remoção de pods do Kubernetes
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="io.k8s.core.v1.pods.eviction.create"
      
Registros de auditoria do nó do Kubernetes no plano de controle
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"io.k8s.core.v1.nodes"
      
Plano de controle de cluster do Kubernetes para a atividade do gerenciador de complementos
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.authenticationInfo.principalEmail="system:addon-manager"
      
Erros do plano de controle do Kubernetes (excluindo Conflict, que é normal)
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.status.message!="Conflict" AND
protoPayload.status.code!=0
      
Eventos do controlador de entrada
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="loadbalancer-controller"
      
Eventos do controlador de serviços (kube-controller-manager)
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="service-controller"
      
Eventos de escalonamento automático de cluster
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="cluster-autoscaler"
      

Consultas no nível do pod

Nome do filtro Expressão
Consulta em pods durante a criação
resource.type="k8s_pod" AND
resource.labels.pod_name="POD_NAME" AND
log_id("events")
      
O pod de consulta foi encerrado devido à pressão de recursos
resource.type="k8s_pod" AND
        log_id("events") AND
        jsonPayload.reason="Evicted"
      
Eventos do programador
resource.type="k8s_pod" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="default-scheduler"
      
Eventos do programador (preempções)
resource.type="k8s_pod" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="default-scheduler" AND
jsonPayload.reason="Preempted"
      

Consultas no nível do nó

Nome do filtro Expressão
Eventos de nó
resource.type="k8s_node" AND
log_id("events")
      
Visualizar os registros do Kube-proxy
resource.type="k8s_node" AND
log_id("kube-proxy")
      
Visualizar os registros do dockerd
resource.type="k8s_node" AND
log_id("container-runtime")
      
Visualizar os erros ou falhas do kubelet
resource.type="k8s_node" AND
log_id("kubelet") AND
jsonPayload.MESSAGE:("error" OR "fail")
      
Como analisar registros de nós para registros do sistema do GKE
resource.type = "k8s_node"
logName:( "logs/container-runtime" OR
"logs/docker" OR
"logs/kube-container-runtime-monitor" OR
"logs/kube-logrotate" OR
"logs/kube-node-configuration" OR
"logs/kube-node-installation" OR
"logs/kubelet" OR
"logs/kubelet-monitor" OR
"logs/node-journal" OR
"logs/node-problem-detector")
      

Consultas de namespace

Nome do filtro Expressão
Registros de contêiner e pod para registros do sistema do GKE
resource.type = ("k8s_container" OR "k8s_pod")
resource.labels.namespace_name = (
"cnrm-system" OR
"config-management-system" OR
"gatekeeper-system" OR
"gke-connect" OR
"gke-system" OR
"istio-system" OR
"knative-serving" OR
"monitoring-system" OR
"kube-system")
      

Consultas em contêiner

Nome do filtro Expressão
Registros de contêiner stdout de todos os pods e contêineres em um cluster
resource.type="k8s_container" AND
log_id("stdout")
      
Registros de erros de contêiner de todos os pods e contêineres em um cluster
resource.type="k8s_container" AND
log_id("stderr") AND
severity=ERROR
      
Registros de erros de contêiner de um pod com nome específico
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
severity=ERROR
      
Registros de erros de contêiner de um container e um pod específico
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
resource.labels.container_name="server" AND
severity=ERROR
      
Registros de erros de contêiner de um container e um namespace específico
resource.type="k8s_container" AND
resource.labels.namespace_name="istio-system" AND
resource.labels.container_name="egressgateway" AND
severity=ERROR
      
Registros de contêiner de um pod com um rótulo específico
resource.type="k8s_container" AND
labels."k8s-pod/app"="loadgenerator" AND
severity=ERROR
      
Registros de erro de contêiner para pods em execução em um nó específico
resource.type="k8s_container" AND
labels."compute.googleapis.com/resource_name"=NODE_NAME AND
severity=ERROR
      
Registros de contêiner de um pod com um rótulo gerado usando skaffold
resource.type="k8s_container" AND
labels."k8s-pod/app"="loadgenerator" AND
labels."k8s-pod/skaffold_dev/run-id"=SKAFFOLD_RUN_ID
severity=ERROR
      
Registros de erro de contêiner para um pod específico que contém um POST no textPayload
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
textPayload:"POST" AND
severity=ERROR
      
Registros de erro de contêiner para um pod específico que contém um GET no JSON estruturado
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
jsonPayload."http.req.method"="GET" AND
severity=ERROR
      
Registros de erros de contêiner no namespace kube-system
resource.type="k8s_container" AND
resource.labels.namespace_name="kube-system" AND
severity=ERROR
      
Erros de contêiner no registro de insightsdo contêiner
resource.type="k8s_container" AND
log_id("clouderrorreporting.googleapis.com/insights")
      
Registros de contêiner do Kubernetes
resource.type="k8s_container" AND
resource.labels.container_name="CONTAINER_NAME"
      

Consultas do plano de controle

Observação: os registros do plano de controle do GKE precisam estar ativados.
Nome do filtro Expressão
Registros do servidor da API Kubernetes
resource.type="k8s_control_plane_component"
resource.labels.component_name="apiserver"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
      
Registros do programador do Kubernetes
resource.type="k8s_control_plane_component"
resource.labels.component_name="scheduler"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
      
Registros do Kubernetes Controller Manager
resource.type="k8s_control_plane_component"
resource.labels.component_name="controller-manager"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
      

Consultas de cargas de trabalho de TPU

Observação: a geração de registros do sistema e da carga de trabalho do GKE precisa estar ativada.
Nome do filtro Expressão
Registros de contêiner stdout de todos os nós da TPU com o mesmo prefixo
resource.type="k8s_container" AND
labels."compute.googleapis.com/resource_name"=~"TPU_NODE_PREFIX.*" AND
log_id("stdout")
      
Registros de erros de contêiner de todos os nós de TPU com o mesmo prefixo
resource.type="k8s_container" AND
labels."compute.googleapis.com/resource_name"=~"TPU_NODE_PREFIX.*" AND
log_id("stderr") AND
severity=ERROR
      
Registros de contêiner de saída padrão do mesmo job do GKE
resource.type="k8s_container" AND
labels."k8s-pod/batch.kubernetes.io/job-name" = "JOB_NAME" AND
log_id("stdout")
      
Registros de erros de contêiner do mesmo job do GKE
resource.type="k8s_container" AND
labels."k8s-pod/batch.kubernetes.io/job-name"="JOB_NAME" AND
log_id("stderr") AND
severity=ERROR
      
Registros de contêiner stdout do mesmo JobSet do GKE
resource.type="k8s_container" AND
labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="JOBSET_NAME" AND
log_id("stdout")
      
Registros de erros de contêiner do mesmo JobSet do GKE
resource.type="k8s_container" AND
labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="JOBSET_NAME" AND
log_id("stderr") AND
severity=ERROR
      

Consultas de aplicativos de terceiros

As consultas a seguir usam os IDs de registro padrão para registros coletados pelo agente de geração de registros legados. Se você estiver coletando registros usando o Agente de operações, os nomes dos registros poderão ser configurados de maneira diferente. Para mais informações sobre o agente de operações e os registros de aplicativos, consulte Coletar registros de aplicativos de terceiros.

Nome da consulta/filtro Expressão
Registros do Apache
resource.type="gce_instance" AND
(logName:"/apache-access" OR logName:"/apache-error")
Registros do Cassandra
resource.type="gce_instance" AND
log_id("cassandra")
Registros do Chef
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/chef-"
Registros do gitlab
resource.type="gce_instance"
logName:"projects/PROJECT_ID/logs/gitlab-" 
Registros do Jenkins
resource.type="gce_instance" AND
log_id("jenkins")
Registros do Jetty
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/jetty-"
Registros do Joomla
resource.type="gce_instance" AND
log_id("joomla")
Syslogs do Linux
resource.type="gce_instance" AND
log_id("syslog")
Registros do Magneto
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/magneto-"
Registros do Mediawiki
resource.type="gce_instance" AND
log_id("mediawiki")
Registros do memcached
resource.type="gce_instance" AND
log_id("memcached")
Registros do MongoDB
resource.type="gce_instance" AND
log_id("mongodb")
Registros do MySQL
resource.type="gce_instance" AND
log_id("mysql")
Registros do Nginx
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/nginx-"
Registros do PostgreSQL
resource.type="gce_instance" AND
log_id("postgresql")
Registros do Puppet
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/puppet-"
Registros do RabbitMQ
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/rabbitmq-"
Registros do Redmine
resource.type="gce_instance" AND
log_id("redmine")
Registros do Salt
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/salt-"
Consultas lentas do MySQL
resource.type="gce_instance" AND
log_id("mysql-slow")
Registros do Solr
resource.type="gce_instance" AND
log_id("solr")
Registros do SugarCRM
resource.type="gce_instance" AND
log_id("sugarcrm")
Registros do Tomcat
resource.type="gce_instance" AND
log_id("tomcat")
Registros do Zookeeper
resource.type="gce_instance" AND
log_id("zookeeper")

Consultas de rede

Nome da consulta/filtro Expressão
Firewall: todos os registros
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall")
Registros de firewall para um determinado país
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
jsonPayload.remote_location.country=COUNTRY_ISO_ALPHA_3
Registros de firewall de uma VM
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
jsonPayload.instance.vm_name="INSTANCE_NAME"
Registros de sub-rede de firewall
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
resource.labels.subnetwork_name="SUBNET_NAME"
Registros de tráfego de sub-rede do Compute Engine para uma sub-rede
resource.type="gce_subnetwork" AND
ip_in_net(jsonPayload.connection.dest_ip, "SUBNET_IP")
Registros de fluxo de VPC
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows")
Registros de fluxo VPC para porta e protocolo específicos
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
jsonPayload.connection.src_port="PORT_ID" AND
jsonPayload.connection.protocol="PROTOCOL"
Registros de fluxo de VPC para sub-rede específica
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
resource.labels.subnetwork_name"=SUBNET_NAME"
Registros de fluxo de VPC para prefixo de sub-rede específico
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
ip_in_net(jsonPayload.connection.dest_ip,SUBNET_IP)
Registros de fluxo de VPC para uma VM específica
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
jsonPayload.src_instance.vm_name="VM_NAME"
Registros de gateway de VPN
resource.type="vpn_gateway" AND
resource.labels.gateway_id="GATEWAY_ID"
Erros do Balanceador de carga HTTP 5xx
resource.type="http_load_balancer" AND
httpRequest.status>=500
Solicitações do balanceador de carga HTTP para o PHPMyAdmin
resource.type="http_load_balancer" AND
httpRequest.request_url:"phpmyadmin"

Consultas de segurança

Nome da consulta/filtro Expressão
Registros de auditoria: todos
logName:"cloudaudit.googleapis.com"
Registros de auditoria: transparência de acesso (AXT)
log_id("cloudaudit.googleapis.com/access_transparency")
Registros de auditoria: atividade do administrador
log_id("cloudaudit.googleapis.com/activity")
Registros de auditoria: acesso a dados
log_id("cloudaudit.googleapis.com/data_access")
Registros de auditoria: evento do sistema
log_id("cloudaudit.googleapis.com/system_event")

Solução de problemas

Para instruções sobre como resolver problemas comuns ao usar o Explorador de registros, consulte Como usar o Explorador de registros: solução de problemas.

A seguir

Para mais informações sobre a sintaxe da consulta, que pode ser usada para personalizar essas consultas, consulte Linguagem de consulta do Logging.

Para mais informações sobre como consultar no console do Google Cloud, consulte Criar consultas usando a linguagem de consulta do Logging.