Esta página se ha traducido con Cloud Translation API.

Consultas de muestra

En esta página, se proporcionan sugerencias de consultas para facilitar la búsqueda de registros importantes. Todas las consultas enumeradas se pueden aplicar en el Visor de registros heredado, la API de Logging o la interfaz de línea de comandos, pero esta página se enfoca en las consultas del Visor de registros heredado.

Una consulta de registro avanzada es una expresión booleana que especifica un subconjunto de todas las entradas de registro de tu proyecto. Puedes utilizar estas consultas para elegir entradas de registro de servicios o registros específicos, o que satisfagan condiciones de metadatos o campos definidos por el usuario. Para obtener información detallada sobre las consultas avanzadas, ve a Consultas de registros avanzadas.

Comienza con las consultas avanzadas

Las consultas que se presentan en esta página deben usarse en la interfaz de consultas avanzadas del Visor de registros heredado.

Para navegar a la interfaz de consulta avanzada en el visor de registros heredado, sigue estos pasos:

Ve a la página Cloud Logging > Explorador de registros en Cloud Console:

Ir a la página Explorador de registros

Nota: Cambia al visor de registros heredados con el menú desplegable.
Selecciona un proyecto de Google Cloud.
Haz clic en la flecha desplegable (&blacktriangledown;) en el extremo derecho del cuadro de búsqueda y selecciona Convert to advanced filter (Convertir a filtro avanzado).

Se muestra la interfaz de consulta de registros avanzados. Las consultas de registro se etiquetan como “filtros” en la interfaz de usuario, ya que te permiten seleccionar un conjunto específico de entradas de registro.

Usa las consultas

Para aplicar una consulta de las siguientes tablas, haz clic en el ícono del portapapeles al final de la fila de cualquier expresión para copiarla, y pégala en el cuadro de búsqueda de la interfaz de consulta avanzada:

Los registros que coinciden con tu consulta se encuentran debajo del cuadro de búsqueda.

Algunas de las consultas que se enumeran a continuación incluyen las variables (indicadas entre paréntesis []) que debes reemplazar por valores válidos. Cuando una consulta incluye logName, el [PROJECT_ID] que suministras debe hacer referencia al proyecto de Google Cloud actualmente seleccionado; de lo contrario, la consulta no funcionará. Ve a Solución de problemas para obtener más información.

Sugerencia: Puedes usar la función log_id para consultas con una expresión log_name. Por ejemplo, la expresión log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access es la misma que log_id("cloudaudit.googleapis.com/data_access").. Para obtener más información sobre la función log_id, ve a la sección Funciones en la página Consultas de registro avanzadas.

Si escribes una consulta que incluye una marca de tiempo, debes seleccionar Sin límite en el selector de intervalo de tiempo debajo del cuadro de búsqueda.

En las siguientes secciones, se agrupan las consultas de los servicios de Google Cloud.

Consultas de App Engine

Nombre de la consulta o filtro	Expresión
Registros de App Engine de la víspera de Año Nuevo (en horario UTC)	resource.type="gae_app" AND severity>=ERROR AND timestamp>="2018-12-31T00:00:00Z" AND timestamp<="2019-01-01T00:00:00Z"
Registros de solicitudes de App Engine con errores de servidor	resource.type="gae_app" AND log_id("appengine.googleapis.com/request_log") AND httpRequest.status>=500
Registros de errores de HTTP de la muestra	resource.type="gae_app" AND protoPayload.status >= 400 AND sample(insertId, 0.1)
Buscar el ID de seguimiento de App Engine	resource.type="gae_app" AND trace="projects/`[PROJECT_ID]`/traces/`[TRACE_ID]`"

Consultas de BigQuery

Nombre de la consulta o filtro	Expresión
Registros de auditoría de BigQuery	resource.type=("bigquery_dataset" OR "bigquery_project") AND logName:"cloudaudit.googleapis.com"
Registros de auditoría de BigQuery de un proyecto	resource.type="bigquery_project" AND logName:"cloudaudit.googleapis.com"
Registros de auditoría de BigQuery de un conjunto de datos	resource.type="bigquery_dataset" AND logName:"cloudaudit.googleapis.com"
Registros de auditoría de BigQuery del modelo de BI Engine	resource.type="bigquery_biengine_model" AND logName:"cloudaudit.googleapis.com"
Registros de auditoría de BigQuery de una ejecución del Servicio de transferencia de datos	resource.type="bigquery_dts_run" AND logName:"cloudaudit.googleapis.com"
Registros de auditoría de BigQuery de una configuración del Servicio de transferencia de datos	resource.type="bigquery_dts_config" AND logName:"cloudaudit.googleapis.com"
Trabajos del servicio de transferencia de datos de BigQuery	resource.type=("bigquery_project") AND protoPayload.requestMetadata.callerSuppliedUserAgent="BigQuery Data Transfer Service" AND protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR "google.cloud.bigquery.v2.JobService.Query")
Actualizaciones de conjuntos de datos de BigQuery	resource.type="bigquery_dataset" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.cloud.bigquery.v2.DatasetService.UpdateDataset"
Trabajos de BigQuery finalizados	resource.type="bigquery_project" AND log_id("cloudaudit.googleapis.com/data_access") AND protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR "google.cloud.bigquery.v2.JobService.Query")
Consultas grandes de BigQuery	resource.type="bigquery_project" AND protoPayload.metadata.jobChange.job.jobStats.queryStats.totalBilledBytes>1073741824
Se superó la cuota de BigQuery	resource.type=("bigquery_dataset" OR "bigquery_project") AND protoPayload.status.code=8 AND severity>=WARNING
Se inició la consulta de BigQuery	resource.type="bigquery_project" AND protoPayload.metadata.jobInsertion.reason:*

Consultas de Dataflow

Nombre de la consulta o filtro	Expresión
Errores y advertencias en trabajadores de Dataflow	resource.type="dataflow_step" AND log_id("dataflow.googleapis.com/worker") AND severity>=WARNING

Consultas de Dataproc

Nombre de la consulta o filtro	Expresión
Registros de Apache Hadoop de Dataproc	resource.type="cloud_dataproc_cluster" AND jsonPayload.class:"org.apache.hadoop.mapreduce"

Cloud Deployment Manager

Nombre de la consulta o filtro	Expresión
Errores de Deployment Manager	resource.type="deployment" AND severity>=ERROR

Consultas de Cloud Functions

Nombre de la consulta o filtro	Expresión
Errores de Cloud Function	resource.type="cloud_function" AND log_id("cloudfunctions.googleapis.com/cloud-functions") AND severity>=ERROR

Consultas de la administración de identidades y accesos

Nombre de la consulta o filtro	Expresión
Registros de creación de cuentas de servicio	resource.type="service_account" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.iam.admin.v1.CreateServiceAccount"
Registros de claves de creación de cuentas de servicio	resource.type="service_account" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.iam.admin.v1.CreateServiceAccountKey"
Configurar registros de política de control de acceso	resource.type="project" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="SetIamPolicy"
Miembro externo con acceso a la organización	resource.type="project" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog" AND protoPayload.request.@type:"IamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:* AND NOT protoPayload.serviceData.policyDelta.bindingDeltas.member:"@`[DOMAIN_NAME]`.com"
Creación, modificación o eliminación de recursos	log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:("create" OR "delete" OR "update")

Consultas de Cloud Source Repositories

Nombre de la consulta o filtro	Expresión
Registros de Cloud Source Repository	resource.type="csr_repository" AND resource.labels.name="`[REPOSITORY_NAME]`"

Consultas de Cloud Spanner

Nombre de la consulta o filtro	Expresión
Registros de Cloud Spanner para una instancia de llave específica	resource.type="spanner_instance" AND resource.labels.instance_id="`[SPANNER_INSTANCE]`"

Consultas de Cloud SQL

Nombre de la consulta o filtro	Expresión
Registros de auditoría de Cloud SQL	resource.type="cloudsql_database" AND resource.labels.database_id="`[DATABASE_ID]`" AND log_id("cloudaudit.googleapis.com/activity")
Registros de errores de MySQL de Cloud SQL	resource.type="cloudsql_database" AND log_id("cloudsql.googleapis.com/mysql.err")
Bases de datos basadas en MySQL de Cloud SQL	resource.type="cloudsql_database" AND resource.labels.database_id="`[DATABASE_ID]`" AND log_id("cloudsql.googleapis.com/mysql")
Bases de datos basadas en Postgre de Cloud SQL	resource.type="cloudsql_database" AND resource.labels.database_id="`[DATABASE_ID]`" AND log_id("cloudsql.googleapis.com/postgres.log")
Registros de errores de SQL Server de Cloud SQL	resource.type="cloudsql_database" AND log_id("cloudsql.googleapis.com/sqlserver.err")
Bases de datos basadas en SQL Server de Cloud SQL	resource.type="cloudsql_database" AND resource.labels.database_id="`[DATABASE_ID]`" AND log_id("cloudsql.googleapis.com/sqlagent.out")

Consultas de Compute Engine

Nombre de la consulta o filtro	Expresión
Registros de actividad de administrador de Google Compute Engine	resource.type="gce_instance" AND log_id("cloudaudit.googleapis.com/activity")
Eliminación de reglas de firewall de Google Compute Engine	resource.type="gce_firewall_rule" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"firewalls.delete"
Syslogs de VM de Google Compute Engine	resource.type="gce_instance" AND log_id("syslog")

Nombre de la consulta o filtro

Expresión

Registros de actividad de administrador de Google Compute Engine


resource.type="gce_instance" AND
log_id("cloudaudit.googleapis.com/activity")

Eliminación de reglas de firewall de Google Compute Engine


resource.type="gce_firewall_rule" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"firewalls.delete"

Syslogs de VM de Google Compute Engine


resource.type="gce_instance" AND
log_id("syslog")

Consultas de Cloud Storage

Nombre de la consulta o filtro	Expresión
Registros de depósitos de GCS	resource.type="gcs_bucket" AND resource.labels.bucket_name="`[BUCKET_NAME]`"
Registros de auditoría de depósitos de GCS	resource.type="gcs_bucket" AND logName:"cloudaudit.googleapis.com"
Registros de creación de depósitos de GCS	resource.type="gcs_bucket" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.method_name="storage.buckets.create"
Registros de eliminación de depósitos de GCS	resource.type="gcs_bucket" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.method_name="storage.buckets.delete"

Consultas de Cloud Tasks

Nombre de la consulta o filtro	Expresión
Registros de la lista de tareas en cola de Cloud	resource.type="cloud_tasks_queue" AND resource.labels.queue_id="`[QUEUE_ID]`"

Consultas relacionadas con Kubernetes

Para obtener una descripción general y ejemplos de consultas de registro de auditoría de actividad del administrador, consulta las proporcionadas en la página de registro de auditoría de GKE.

Consultas a nivel de clúster

Nombre de la consulta o filtro	Expresión
Operaciones del clúster de Google Kubernetes Engine	resource.type="gke_cluster" AND log_id("cloudaudit.googleapis.com/activity")
Creacióndel clúster de Google Kubernetes Engine	resource.type="gke_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.container.v1.ClusterManager.CreateCluster"
Implementación del clúster de Kubernetes	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"deployments"
Error de autenticación del clúster de Kubernetes	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.authenticationInfo.principalEmail="system:anonymous"
Operaciones y eventos de clúster de Kubernetes en `us-central1-b`	resource.type="k8s_cluster" AND resource.labels.location="us-central1-b"
Solicitudes del pod de Kubernetes de parte de los usuarios	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"io.k8s.core.v1.pods" AND protoPayload.authenticationInfo.principalEmail="`[USER_EMAIL]`"
Eventos de Kubernetes	resource.type="k8s_cluster" AND log_id("events")
Actualización de los extremos de Kubernetes	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.request.kind="Endpoints"
Registros del plano de control de Kubernetes	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.serviceName="k8s.io"
Registros del plano de control de Kubernetes Engine	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.serviceName="container.googleapis.com"
Eliminación de pods	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName=~"io\.k8s\.core\.v1\.pods\.(create\|delete)"
Registros de auditoría de Pods de Kubernetes desde el plano de control	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.resourceName="core/v1/namespaces/`POD_NAMESPACE`/pods/`POD_NAME`
Expulsiones de Pods de Kubernetes	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="io.k8s.core.v1.pods.eviction.create"
Registros de auditoría de nodos de Kubernetes del plano de control	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"io.k8s.core.v1.nodes"
Plano de control del clúster de Kubernetes para la actividad del administrador de complementos	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.authenticationInfo.principalEmail="system:addon-manager"
Errores del plano de control de Kubernetes (sin incluir `Conflict`, que es normal)	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.status.message!="Conflict" AND protoPayload.status.code!=0
Eventos del controlador de Ingress	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="loadbalancer-controller"
Eventos del controlador de servicio (kube-controller-manager)	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="service-controller"
Eventos del escalador automático de clúster	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="cluster-autoscaler"

Consultas a nivel del pod

Nombre del filtro	Expresión
Pod de consulta durante la creación	resource.type="k8s_pod" AND resource.labels.pod_name="`POD_NAME`" AND log_id("events")
Eventos de programador	resource.type="k8s_pod" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="default-scheduler"
Eventos de programador (interrupciones)	resource.type="k8s_pod" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="default-scheduler" AND jsonPayload.reason="Preempted"

Nombre del filtro

Expresión

Pod de consulta durante la creación


resource.type="k8s_pod" AND
resource.labels.pod_name="POD_NAME" AND
log_id("events")

Eventos de programador


resource.type="k8s_pod" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="default-scheduler"

Eventos de programador (interrupciones)


resource.type="k8s_pod" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="default-scheduler" AND
jsonPayload.reason="Preempted"

Consultas a nivel de nodo

Nombre del filtro	Expresión
Eventos de nodos	resource.type="k8s_node" AND log_id("events")
Observa registros del proxy de Kubernetes	resource.type="k8s_node" AND log_id("kube-proxy")
Observa registros de Docker	resource.type="k8s_node" AND log_id("container-runtime")
Observa errores o fallas de kubelet	resource.type="k8s_node" AND log_id("kubelet") AND jsonPayload.MESSAGE:("error" OR "fail")
Consulta registros de nodos de registros de sistema de GKE	resource.type = "k8s_node" logName:( "logs/container-runtime" OR "logs/docker" OR "logs/kube-container-runtime-monitor" OR "logs/kube-logrotate" OR "logs/kube-node-configuration" OR "logs/kube-node-installation" OR "logs/kubelet" OR "logs/kubelet-monitor" OR "logs/node-journal" OR "logs/node-problem-detector")

Consultas de espacio de nombres

Nombre del filtro	Expresión
Registros de contenedor y pod para registros del sistema de GKE	resource.type = ("k8s_container" OR "k8s_pod") resource.labels.namespace_name = ( "cnrm-system" OR "config-management-system" OR "gatekeeper-system" OR "gke-connect" OR "gke-system" OR "istio-system" OR "knative-serving" OR "monitoring-system" OR "kube-system")

Nombre del filtro

Expresión

Registros de contenedor y pod para registros del sistema de GKE


resource.type = ("k8s_container" OR "k8s_pod")
resource.labels.namespace_name = (
"cnrm-system" OR
"config-management-system" OR
"gatekeeper-system" OR
"gke-connect" OR
"gke-system" OR
"istio-system" OR
"knative-serving" OR
"monitoring-system" OR
"kube-system")

Consultas de contenedores

Nombre del filtro	Expresión
Registros del contenedor de stdout en todos los pods y los contenedores de un clúster	resource.type="k8s_container" AND log_id("stdout")
Registros de errores del contenedor en todos los pods y los contenedores de un clúster	resource.type="k8s_container" AND log_id("stderr") AND severity=ERROR
Registros de errores del contenedor de un pod con un nombre específico	resource.type="k8s_container" AND resource.labels.pod_name="`POD_NAME`" AND severity=ERROR
Registros de errores de un contenedor específico en un pod específico	resource.type="k8s_container" AND resource.labels.pod_name="`POD_NAME`" AND resource.labels.container_name="server" AND severity=ERROR
Registros de errores del contenedor de un espacio de nombres y un contenedor específicos	resource.type="k8s_container" AND resource.labels.namespace_name="istio-system" AND resource.labels.container_name="egressgateway" AND severity=ERROR
Registros del contenedor de un pod con una etiqueta específica	resource.type="k8s_container" AND labels."k8s-pod/app"="loadgenerator" AND severity=ERROR
Registros del contenedor de un pod con una etiqueta generada mediante Skaffold	resource.type="k8s_container" AND labels."k8s-pod/app"="loadgenerator" AND labels."k8s-pod/skaffold_dev/run-id"=`[SKAFFOLD_RUN_ID]` severity=ERROR
Registros de errores del contenedor de un pod específico que contiene un `POST` en el textPayload	resource.type="k8s_container" AND resource.labels.pod_name="`POD_NAME`" AND textPayload:"POST" AND severity=ERROR
Registros de errores del contenedor de un pod específico que contiene un `GET` en el JSON estructurado	resource.type="k8s_container" AND resource.labels.pod_name="`POD_NAME`" AND jsonPayload."http.req.method"="GET" AND severity=ERROR
Registros de errores del contenedor en el espacio de nombres del sistema de Kubernetes	resource.type="k8s_container" AND resource.labels.namespace_name="kube-system" AND severity=ERROR
Error del contenedor en el registro de estadísticas del contenedor	resource.type="k8s_container" AND log_id("clouderrorreporting.googleapis.com/insights")
Registros de contenedores de Kubernetes	resource.type="k8s_container" AND resource.labels.cluster_name="`CONTAINER_NAME`"

Consultas de aplicaciones del agente de Logging

Nombre de la consulta o filtro	Expresión
Registros de Apache	resource.type="gce_instance" AND (logName:"/apache-access" OR logName:"/apache-error")
Registros de Cassandra	resource.type="gce_instance" AND log_id("cassandra")
Registros de Chef	resource.type="gce_instance" AND logName:"projects/`[PROJECT_ID]`/logs/chef-"
Registros de Gitlab	resource.type="gce_instance" logName:"projects/`[PROJECT_ID]`/logs/gitlab-"
Registros de Jenkins	resource.type="gce_instance" AND log_id("jenkins")
Registros de Jetty	resource.type="gce_instance" AND logName:"projects/`[PROJECT_ID]`/logs/jetty-"
Registros de Joomla	resource.type="gce_instance" AND log_id("joomla")
Syslogs de Linux	resource.type="gce_instance" AND log_id("syslog")
Registros de Magneto	resource.type="gce_instance" AND logName:"projects/`[PROJECT_ID]`/logs/magneto-"
Registros de MediaWiki	resource.type="gce_instance" AND log_id("mediawiki")
Registros de memcached	resource.type="gce_instance" AND log_id("memcached")
Registros de MongoDB	resource.type="gce_instance" AND log_id("mongodb")
Registros de MySQL	resource.type="gce_instance" AND log_id("mysql")
Registros de Nginx	resource.type="gce_instance" AND logName:"projects/`[PROJECT_ID]`/logs/nginx-"
Registros de PostgreSQL	resource.type="gce_instance" AND log_id("postgresql")
Registros de marionetas	resource.type="gce_instance" AND logName:"projects/`[PROJECT_ID]`/logs/puppet-"
Registros de RabbitMQ	resource.type="gce_instance" AND logName:"projects/`[PROJECT_ID]`/logs/rabbitmq-"
Registros de Redmine	resource.type="gce_instance" AND log_id("redmine")
Registros de sal	resource.type="gce_instance" AND logName:"projects/`[PROJECT_ID]`/logs/salt-"
Consultas lentas de MySQL	resource.type="gce_instance" AND log_id("mysql-slow")
Registros de Solr	resource.type="gce_instance" AND log_id("solr")
Registros de SugarCRM	resource.type="gce_instance" AND log_id("sugarcrm")
Registros de Tomcat	resource.type="gce_instance" AND log_id("tomcat")
Registros de Zookeeper	resource.type="gce_instance" AND log_id("zookeeper")

Consultas de Herramientas de redes

Nombre de la consulta o filtro	Expresión
Firewall: todos los registros	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall")
Registros de firewall para un país determinado	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND jsonPayload.remote_location.country=`[COUNTRY_ISO_ALPHA_3]`
Registros de firewall de una VM	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND jsonPayload.instance.vm_name="`[INSTANCE_NAME]`"
Registros de subred de firewall	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND resource.labels.subnetwork_name="`[SUBNET_NAME]`"
Registros de tráfico de subred de Compute Engine a una subred	resource.type="gce_subnetwork" AND ip_in_net(jsonPayload.connection.dest_ip, "`[SUBNET_IP]`")
Registros de flujo de VPC	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows")
Registros de flujo de VPC para un puerto y protocolo específicos	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND jsonPayload.connection.src_port="`[PORT_ID]`" AND jsonPayload.connection.protocol="`[PROTOCOL]`"
Registros de flujo de VPC para una subred específica	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND resource.labels.subnetwork_name"=`[SUBNET_NAME]`"
Registros de flujo de VPC para el prefijo de subred específico	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND ip_in_net(jsonPayload.connection.dest_ip,`[SUBNET_IP]`)
Registros de flujo de VPC para una VM específica	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND jsonPayload.src_instance.vm_name="`[VM_NAME]`"
Registros de puerta de enlace de VPN	resource.type="vpn_gateway" AND resource.labels.gateway_id="`[GATEWAY_ID]`"
Errores 5xx del balanceador de cargas HTTP	resource.type="http_load_balancer" AND httpRequest.status>=500
Solicitudes del balanceador de cargas HTTP a PHPMyAdmin	resource.type="http_load_balancer" AND httpRequest.request_url:"phpmyadmin"

Consultas de registro de seguridad

Nombre de la consulta o filtro	Expresión
Registros de auditoría: todo	logName:"cloudaudit.googleapis.com"
Registros de auditoría: Transparencia de acceso (AXT)	log_id("cloudaudit.googleapis.com/access_transparency")
Registros de auditoría: Actividad del administrador	log_id("cloudaudit.googleapis.com/activity")
Registros de auditoría: Acceso a los datos	log_id("cloudaudit.googleapis.com/data_access")
Registros de auditoría: Evento del sistema	log_id("cloudaudit.googleapis.com/system_event")

Consultas de Google Cloud's operations suite

Nombre de la consulta o filtro	Expresión
Actividades del receptor de registros	resource.type="logging_sink" AND log_id("cloudaudit.googleapis.com/activity")
Creación o actualización de actividades basadas en registros	resource.type="metric" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:(UpdateLogMetric OR CreateLogMetric)
Verificaciones de la URL de tiempo de actividad para un host	resource.type="uptime_url" AND resource.labels.host="`[URL]`"

Nombre de la consulta o filtro

Expresión

Actividades del receptor de registros


resource.type="logging_sink" AND
log_id("cloudaudit.googleapis.com/activity")

Creación o actualización de actividades basadas en registros


resource.type="metric" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:(UpdateLogMetric OR CreateLogMetric)

Verificaciones de la URL de tiempo de actividad para un host


resource.type="uptime_url" AND
resource.labels.host="[URL]"

Soluciona problemas

Si deseas obtener detalles sobre la sintaxis avanzada de las consultas y las instrucciones para solucionar problemas, ve a Consultas de registros avanzadas.

¿Qué sigue?

Si deseas obtener información detallada sobre la sintaxis de la consulta, que puedes usar para personalizar estas consultas, ve a Consultas de registros avanzadas.