En este documento, se proporcionan consultas sugeridas para facilitar la búsqueda de registros importantes mediante el Explorador de registros de la consola de Google Cloud.
Las consultas enumeradas están escritas en el lenguaje de consulta de Logging y se pueden usar en el Explorador de registros, la API de Logging o la interfaz de línea de comandos.
El visor de registros heredado usa expresiones booleanas para especificar un subconjunto de todas las entradas de registro en tu proyecto. Puedes usar estas consultas para elegir entradas de registro de servicios o registros específicos, o que satisfagan condiciones de metadatos o campos definidos por el usuario.
Antes de comenzar
Para ver los registros que envías desde una cuenta de Amazon Web Services (AWS) a Logging, selecciona el
proyecto de conector de AWS en el selector de recursos de la consola de Google Cloud y, luego, usa el
Explorador de registros.
El proyecto de conector de AWS almacena el nombre del recurso de Amazon (ARN) de tu cuenta de AWS y vincula tu cuenta de AWS a los servicios de Google Cloud. Para obtener más información, consulta
Recopila métricas de cuentas de AWS.
Asegúrate de tener los permisos o las funciones de Identity and Access Management correctos para realizar consultas con el Explorador de registros. Si quieres obtener detalles sobre los
permisos de IAM necesarios, consulta
Permisos para la consola de Google Cloud.
Comenzar
-
En el panel de navegación de la consola de Google Cloud, elige Logging y, luego, Explorador de registros:
Ir al Explorador de registros
Selecciona el proyecto de Google Cloud adecuado o cualquier otro recurso de Google Cloud del que desees ver los registros.
Usa las consultas de muestra
Para aplicar una consulta de las siguientes tablas, haz clic en el ícono content_copy de Content Copy para la expresión y, luego, pega la expresión copiada en el campo del editor de consultas del Explorador de registros:
Si no ves el campo del editor de consultas, habilita Mostrar consulta.
Después de revisar la expresión de consulta, haz clic en Ejecutar consulta. Los registros que coincidan con la consulta se enumerarán en Resultados de la consulta.
Algunas de las consultas enumeradas más adelante en esta página incluyen variables que debes reemplazar por valores válidos. Por ejemplo, cuando una consulta incluye logName, el PROJECT_ID que proporciones debe hacer referencia al proyecto de Google Cloud seleccionado actualmente; de lo contrario, la consulta no funcionará.
Ten en cuenta lo siguiente:
Si tienes una consulta con una marca de tiempo, el selector de intervalo de tiempo se encuentra inhabilitado y la consulta usa la expresión de marca de tiempo como su restricción de intervalo de tiempo. Si una consulta no usa una expresión de marca de tiempo, usa el selector de intervalo de tiempo como su restricción de intervalo de tiempo.
La longitud de una consulta no puede superar los 20,000 caracteres.
El lenguaje de consulta de Logging no distingue entre mayúsculas y minúsculas, a excepción de las expresiones regulares.
Puedes usar la función log_id para consultas con una expresión log_name. Por ejemplo, la expresión log_name="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access" es la misma que log_id("cloudaudit.googleapis.com/data_access").
Para obtener más información sobre la función log_id, consulta Lenguaje de consulta de Logging: funciones.
Si quieres obtener instrucciones para realizar consultas en la consola de Google Cloud, lee Crea consultas en el Explorador de registros.
En las siguientes secciones, se agrupan las consultas de los servicios de Google Cloud.
Consultas de App Engine
| Nombre de la consulta o del filtro |
Expresión |
| Registros de App Engine de la víspera de Año Nuevo (en hora UTC) |
resource.type="gae_app" AND
severity>=ERROR AND
timestamp>="2018-12-31T00:00:00Z" AND timestamp<="2019-01-01T00:00:00Z" |
| Registros de solicitudes de App Engine con errores de servidor |
resource.type="gae_app" AND
log_id("appengine.googleapis.com/request_log") AND
httpRequest.status>=500 |
| Registros de errores de HTTP de la muestra |
resource.type="gae_app" AND
protoPayload.status >= 400 AND
sample(insertId, 0.1)
|
| Busca el ID de seguimiento de App Engine |
resource.type="gae_app" AND
trace="projects/PROJECT_ID/traces/TRACE_ID" |
| Registros de App Engine |
resource.type="gae_app" AND
resource.labels.module_id="MODULE_ID" AND
resource.labels.version_id="VERSION_ID" |
| Implementaciones recientes de App Engine |
resource.type="gae_app" AND
protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog" AND
protoPayload.serviceName="appengine.googleapis.com" |
Cómo habilitar o inhabilitar consultas de la API
| Nombre de la consulta o del filtro |
Expresión |
| Registros de habilitación de la API de Audit |
protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.EnableService" |
| Auditoría de los registros de inhabilitación de la API |
protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.DisableService" |
Consultas de BigQuery
| Nombre de la consulta o del filtro |
Expresión |
| Registros de auditoría de BigQuery |
resource.type=("bigquery_dataset" OR "bigquery_project") AND
logName:"cloudaudit.googleapis.com" |
| Registros de auditoría de BigQuery de un proyecto |
resource.type="bigquery_project" AND
logName:"cloudaudit.googleapis.com" |
| Registros de auditoría de BigQuery para un conjunto de datos |
resource.type="bigquery_dataset" AND
logName:"cloudaudit.googleapis.com" |
| Registros de auditoría de BigQuery para el modelo de BI Engine |
resource.type="bigquery_biengine_model" AND
logName:"cloudaudit.googleapis.com" |
| Registros de auditoría de BigQuery para una ejecución del Servicio de transferencia de datos. |
resource.type="bigquery_dts_run" AND
logName:"cloudaudit.googleapis.com" |
| Registros de auditoría de BigQuery para una configuración del Servicio de transferencia de datos. |
resource.type="bigquery_dts_config" AND
logName:"cloudaudit.googleapis.com" |
| Trabajos del Servicio de transferencia de datos de BigQuery |
resource.type=("bigquery_project") AND
protoPayload.requestMetadata.callerSuppliedUserAgent=
"BigQuery Data Transfer Service" AND
protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR
"google.cloud.bigquery.v2.JobService.Query") |
| Registros de ejecución de transferencia de BigQuery |
resource.type="bigquery_dts_config" AND
labels.run_id="RUN_ID" AND
resource.labels.config_id="CONFIG_ID" |
| Actualizaciones de conjuntos de datos de BigQuery |
resource.type="bigquery_dataset" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName=
"google.cloud.bigquery.v2.DatasetService.UpdateDataset" |
| Trabajos de BigQuery finalizados |
resource.type="bigquery_project" AND
log_id("cloudaudit.googleapis.com/data_access") AND
protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob"
OR "google.cloud.bigquery.v2.JobService.Query") |
| Búsquedas grandes de BigQuery |
resource.type="bigquery_project" AND
protoPayload.metadata.jobChange.job.jobStats.queryStats.totalBilledBytes
> 1073741824 |
| Se superó la cuota de BigQuery |
resource.type=("bigquery_dataset" OR "bigquery_project")
AND
protoPayload.status.code=8 AND
severity>=WARNING |
| Se inició la búsqueda de BigQuery |
resource.type="bigquery_project" AND
protoPayload.metadata.jobInsertion.reason:* |
| Trabajos simultáneos de carga o extracción de BigQuery |
resource.type="bigquery_resource" AND
protoPayload.methodName="jobservice.insert" AND
protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query:
"extract" |
Consultas de Dataflow
| Nombre de la consulta o del filtro |
Expresión |
| Errores y advertencias en trabajadores de Dataflow |
resource.type="dataflow_step" AND
log_id("dataflow.googleapis.com/worker") AND
severity>=WARNING |
Consultas de Dataproc
| Nombre de la consulta o del filtro |
Expresión |
| Registros de Apache Hadoop de Dataproc |
resource.type="cloud_dataproc_cluster" AND
jsonPayload.class:"org.apache.hadoop.mapreduce" |
Cloud Deployment Manager
| Nombre de la consulta o del filtro |
Expresión |
| Errores de Deployment Manager |
resource.type="deployment" AND
severity>=ERROR |
Consultas de Cloud Functions
| Nombre de la consulta o del filtro |
Expresión |
| Errores de Cloud Function |
resource.type="cloud_function" AND
log_id("cloudfunctions.googleapis.com/cloud-functions") AND
severity>=ERROR |
Consultas de Cloud Monitoring
| Nombre de la consulta o del filtro |
Expresión |
|---|
Mostrar todos los errores del
canal de notificaciones |
resource.type="stackdriver_notification_channel" AND
severity>=ERROR |
Mostrar errores del
canal de notificaciones debido a limitaciones |
resource.type="stackdriver_notification_channel" AND
severity>=ERROR AND
jsonPayload.summary="Notification delivery throttled." |
Mostrar los registros escritos por
el recurso de tiempo de actividad |
resource.type="uptime_url" |
Mostrar solicitudes recibidas del
servicio de verificación de tiempo de actividad |
"GoogleStackdriverMonitoring-UptimeChecks" |
Consultas de Cloud Run
| Nombre de la consulta o del filtro |
Expresión |
| Registros de Cloud Run para un trabajo específico |
resource.type="cloud_run_job" AND
resource.labels.service_name="JOB_NAME"
|
| Registros de Cloud Run para una revisión y un servicio específicos |
resource.type="cloud_run_revision" AND
resource.labels.service_name="SERVICE_NAME" |
Consultas de Cloud Source Repositories
| Nombre de la consulta o del filtro |
Expresión |
| Registros de Cloud Source Repository |
resource.type="csr_repository" AND
resource.labels.name="REPOSITORY_NAME" |
Consultas de Spanner
| Nombre de la consulta o del filtro |
Expresión |
| Registros de Cloud Spanner para una instancia de Spanner específica |
resource.type="spanner_instance" AND
resource.labels.instance_id="SPANNER_INSTANCE" |
Consultas de Cloud SQL
| Nombre de la consulta o del filtro |
Expresión |
| Registros de auditoría de Cloud SQL |
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudaudit.googleapis.com/activity") |
| Registros de errores de MySQL en Cloud SQL |
resource.type="cloudsql_database" AND
log_id("cloudsql.googleapis.com/mysql.err") |
| Bases de datos basadas en MySQL de Cloud SQL |
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/mysql") |
| Bases de datos basadas en Postgres de Cloud SQL |
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/postgres.log") |
| Registros de error de SQL Server de Cloud SQL |
resource.type="cloudsql_database" AND
log_id("cloudsql.googleapis.com/sqlserver.err") |
| Bases de datos basadas en SQL Server de Cloud SQL |
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/sqlagent.out") |
Consultas de Cloud Storage
| Nombre de la consulta o del filtro |
Expresión |
| Registros de bucket de GCS |
resource.type="gcs_bucket" AND
resource.labels.bucket_name="BUCKET_NAME" |
| Registros de auditoría de bucket de GCS |
resource.type="gcs_bucket" AND
logName:"cloudaudit.googleapis.com" |
| Registros de creación de bucket de GCS |
resource.type="gcs_bucket" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.method_name="storage.buckets.create" |
| Registros de eliminación de buckets de GCS |
resource.type="gcs_bucket" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.method_name="storage.buckets.delete" |
Consultas de Cloud Tasks
| Nombre de la consulta o del filtro |
Expresión |
| Registros de la cola de Cloud Tasks |
resource.type="cloud_tasks_queue" AND
resource.labels.queue_id="QUEUE_ID" |
Consultas de Compute Engine
| Nombre de la consulta o del filtro |
Expresión |
| Registros de actividad del administrador de Compute Engine |
resource.type="gce_instance" AND
log_id("cloudaudit.googleapis.com/activity") |
| Eliminación de reglas de firewall de Compute Engine |
resource.type="gce_firewall_rule" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"firewalls.delete" |
| Syslogs de VM de Compute Engine |
resource.type="gce_instance" AND
log_id("syslog") |
| Autenticación de VMs de Compute Engine |
resource.type="gce_instance" AND
log_id("authlog") |
| Error de host de Compute Engine |
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:"OnHostMaintenance"
OR
operation.producer:"OnHostMaintenance")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO |
| Host de Compute Engine migrado |
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:
"compute.instances.migrateOnHostMaintenance" OR
operation.producer:
"compute.instances.migrateOnHostMaintenance")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO |
| VM de Compute Engine finalizada o interrumpida |
resource.type="gce_instance"
protoPayload.methodName=
~"compute\.instances\.(guestTerminate|preempted)"
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID" |
| Se creó una instancia de VM de Compute Engine |
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.insert"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.request.name="INSTANCE_NAME" |
| Se borró la instancia de VM de Compute Engine con nombre |
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.delete"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.resourceName:"INSTANCE_NAME" |
| Se borró la instancia de VM de Compute Engine con ID |
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.delete"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.instance_id="INSTANCE_ID" |
| Se reinició la instancia de VM de Compute Engine |
resource.type="gce_instance"
protoPayload.methodName=~"compute\.instances\.(
stop|reset|automaticRestart|guestTerminate|
instanceManagerHaltForRestart)"
(log_id("cloudaudit.googleapis.com/activity")
OR log_id("cloudaudit.googleapis.com/system_event"))
resource.labels.instance_id="INSTANCE_ID" |
| Error de integridad de inicio de VM protegida de Compute Engine |
resource.type="gce_instance"
log_id("compute.googleapis.com/shielded_vm_integrity")
jsonPayload.earlyBootReportEvent.policyEvaluationPassed="false"
resource.labels.instance_id="INSTANCE_ID" |
| El SO invitado detuvo la instancia de VM de Compute Engine |
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:"compute.instances.guestTerminate" OR
operation.producer:"compute.instances.guestTerminate")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO |
| Se bloqueó el archivo de arranque de VM protegida de Compute Engine |
resource.type="gce_instance"
log_id("serialconsole.googleapis.com/serial_port_1_output")
textPayload:("Security Violation")
resource.labels.instance_id="INSTANCE_ID" |
| Creación de disco persistente |
resource.type="gce_disk" AND
protoPayload.methodName:"compute.disks.insert" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.resourceName: "PERSISTENT_DISK_NAME" |
| Nodos agregados al nodo de usuario único |
resource.type="gce_node_group"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName=~("compute.nodeGroups.addNodes"
OR "compute.nodeGroups.insert")
resource.labels.node_group_id="NODE_GROUP_ID"
severity="INFO" |
| Eventos de ajuste de escala automático en nodo de usuario único |
resource.type="gce_node_group"
log_id("cloudaudit.googleapis.com/system_event")
protoPayload.methodName=~("compute.nodeGroups.deleteNodes"
OR "compute.nodeGroups.addNodes")
resource.labels.node_group_id="NODE_GROUP_ID" |
| Instantánea manual tomada |
resource.type="gce_snapshot"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.snapshots.insert"
protoPayload.resourceName:"SNAPSHOT_NAME" |
| Instantánea programada tomada |
resource.type="gce_disk"
log_id("cloudaudit.googleapis.com/system_event")
protoPayload.methodName="ScheduledSnapshots"
protoPayload.response.operationType="createSnapshot"
protoPayload.response.targetLink="PERSISTENT_DISK_NAME" |
| Se creó la programación de instantáneas |
resource.type="gce_resource_policy"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.resourcePolicies.insert"
protoPayload.request.name="SCHEDULE_NAME" |
| Programación de instantánea adjunta |
resource.type="gce_disk"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.disks.addResourcePolicies"
protoPayload.request.resourcePolicys:"SCHEDULE_NAME"
protoPayload.resourceName:"PERSISTENT_DISK_NAME" |
| Se excedió la cuota |
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.insert"
protoPayload.status.message:"QUOTA_EXCEEDED"
severity=ERROR |
| Consultar instancias en mal estado en un grupo de instancias |
resource.type="gce_instance_group"
resource.labels.instance_group_name="INSTANCE_GROUP_NAME"
jsonPayload.healthCheckProbeResult.healthState="UNHEALTHY" |
| Consultar a los miembros del grupo de instancias en un período determinado en formato de hora UTC |
resource.type="gce_instance_group_manager"
resource.labels.instance_group_manager_name="INSTANCE_GROUP_NAME"
jsonPayload.@type=
"type.googleapis.com/compute.InstanceGroupManagerEvent"
jsonPayload.instanceHealthStateChange.detailedHealthState="HEALTHY"
timestamp >= START_TIME timestamp <= END_TIME |
| Se quitaron las instancias del grupo de instancias |
resource.type="gce_instance_group"
protoPayload.methodName:"compute.instanceGroups.removeInstances"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.instance_group_name="INSTANCE_GROUP_NAME" |
| Se configuró o actualizó la plantilla de instancias |
resource.type="gce_instance_group_manager"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName=
"v1.compute.instanceGroupManagers.setInstanceTemplate"
resource.labels.instance_group_manager_name="INSTANCE_GROUP_MANAGER" |
| Regla de firewall borrada |
resource.type="gce_firewall_rule"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"firewalls.delete" |
| Registros de firewall |
resource.type="gce_subnetwork"
log_id("compute.googleapis.com/firewall")
jsonPayload.instance.vm_name="INSTANCE_NAME" |
Consultas de observabilidad de Google Cloud
| Nombre de la consulta o del filtro |
Expresión |
| Actividades del receptor de registros |
resource.type="logging_sink" AND
log_id("cloudaudit.googleapis.com/activity") |
| Creación o actualización de actividades de métricas basadas en registros |
resource.type="metric" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:(UpdateLogMetric OR CreateLogMetric) |
| Verificaciones de la URL de tiempo de actividad para un host |
resource.type="uptime_url" AND
resource.labels.host="URL" |
Consultas de la administración de identidades y accesos
| Nombre de la consulta o del filtro |
Expresión |
| Registros de creación de cuentas de servicio |
resource.type="service_account" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.iam.admin.v1.CreateServiceAccount" |
| Registros de claves de creación de cuentas de servicio |
resource.type="service_account" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.iam.admin.v1.CreateServiceAccountKey" |
| Configurar registros de política de control de acceso |
resource.type="project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="SetIamPolicy" |
| Principal externo con acceso a la organización |
resource.type="project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog" AND
protoPayload.request.@type:"IamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:* AND
NOT protoPayload.serviceData.policyDelta.bindingDeltas.member:"@DOMAIN_NAME.com" |
| Creación, modificación o eliminación de recursos |
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:("create" OR "delete" OR "update") |
| Rol otorgado a la principal |
log_id("cloudaudit.googleapis.com/activity") AND
resource.type="project" AND
protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND
protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.action="Add" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID" |
| Se quitó el rol de la principal |
log_id("cloudaudit.googleapis.com/activity") AND
resource.type="project" AND
protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND
protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.action="Remove" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID" |
| Se actualizó el permiso en un rol personalizado |
log_id("cloudaudit.googleapis.com/activity") AND
resource.type="iam_role" AND
protoPayload.serviceName="iam.googleapis.com" AND
protoPayload.methodName:"UpdateRole" AND
resource.labels.role_name:"ROLE_ID" |
Consultas relacionadas con Kubernetes
Para obtener una descripción general y ejemplos de consultas de registros de auditoría de actividad del administrador, consulta los que se proporcionan en la
página Registros de auditoría de GKE.
Consultas a nivel de clúster
| Nombre de la consulta o del filtro |
Expresión |
| Operaciones del clúster de Google Kubernetes Engine |
resource.type="gke_cluster" AND
log_id("cloudaudit.googleapis.com/activity") |
| Creacióndel clúster de Google Kubernetes Engine |
resource.type="gke_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.container.v1.ClusterManager.CreateCluster"
|
| Implementación del clúster de Kubernetes |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"deployments"
|
| Error de autenticación del clúster de Kubernetes |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.authenticationInfo.principalEmail="system:anonymous"
|
Operaciones y eventos de clúster de Kubernetes en us-central1-b |
resource.type="k8s_cluster" AND
resource.labels.location="us-central1-b"
|
| Solicitudes del pod de Kubernetes de parte de los usuarios |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"io.k8s.core.v1.pods" AND
protoPayload.authenticationInfo.principalEmail="USER_EMAIL"
|
| Eventos de Kubernetes |
resource.type="k8s_cluster" AND
log_id("events")
|
| Actualización de los extremos de Kubernetes |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.request.kind="Endpoints"
|
| Registros del plano de control de Kubernetes |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.serviceName="k8s.io"
|
| Registros del plano de control de Kubernetes Engine |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.serviceName="container.googleapis.com"
|
| Eliminación de pods |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName=~"io\.k8s\.core\.v1\.pods\.(create|delete)"
|
| Registros de auditoría de Pods de Kubernetes desde el plano de control |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.resourceName="core/v1/namespaces/POD_NAMESPACE/pods/POD_NAME
|
| Expulsiones de Pods de Kubernetes |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="io.k8s.core.v1.pods.eviction.create"
|
| Registros de auditoría de nodos de Kubernetes del plano de control |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"io.k8s.core.v1.nodes"
|
| Plano de control del clúster de Kubernetes para la actividad del administrador de complementos |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.authenticationInfo.principalEmail="system:addon-manager"
|
Errores del plano de control de Kubernetes (sin incluir Conflict, que es normal) |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.status.message!="Conflict" AND
protoPayload.status.code!=0
|
| Eventos del controlador de Ingress |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="loadbalancer-controller"
|
| Eventos del controlador de servicio (kube-controller-manager) |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="service-controller"
|
| Eventos del escalador automático de clúster |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="cluster-autoscaler"
|
Consultas a nivel del pod
| Nombre del filtro |
Expresión |
| Pod de consulta durante la creación |
resource.type="k8s_pod" AND
resource.labels.pod_name="POD_NAME" AND
log_id("events")
|
| Pod de consulta finalizado debido a la presión de los recursos |
resource.type="k8s_pod" AND
log_id("events") AND
jsonPayload.reason="Evicted"
|
| Eventos de programador |
resource.type="k8s_pod" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="default-scheduler"
|
| Eventos de programador (interrupciones) |
resource.type="k8s_pod" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="default-scheduler" AND
jsonPayload.reason="Preempted"
|
Consultas a nivel de nodo
| Nombre del filtro |
Expresión |
| Eventos de nodos |
resource.type="k8s_node" AND
log_id("events")
|
| Observa registros del proxy de Kubernetes |
resource.type="k8s_node" AND
log_id("kube-proxy")
|
| Observa registros de Docker |
resource.type="k8s_node" AND
log_id("container-runtime")
|
| Observa errores o fallas de kubelet |
resource.type="k8s_node" AND
log_id("kubelet") AND
jsonPayload.MESSAGE:("error" OR "fail")
|
| Observa registros de nodos para los registros del sistema de GKE |
resource.type = "k8s_node"
logName:( "logs/container-runtime" OR
"logs/docker" OR
"logs/kube-container-runtime-monitor" OR
"logs/kube-logrotate" OR
"logs/kube-node-configuration" OR
"logs/kube-node-installation" OR
"logs/kubelet" OR
"logs/kubelet-monitor" OR
"logs/node-journal" OR
"logs/node-problem-detector")
|
Consultas de espacio de nombres
| Nombre del filtro |
Expresión |
| Registros de contenedores y Pods para los registros del sistema de GKE |
resource.type = ("k8s_container" OR "k8s_pod")
resource.labels.namespace_name = (
"cnrm-system" OR
"config-management-system" OR
"gatekeeper-system" OR
"gke-connect" OR
"gke-system" OR
"istio-system" OR
"knative-serving" OR
"monitoring-system" OR
"kube-system")
|
Consultas de contenedores
| Nombre del filtro |
Expresión |
| Registros del contenedor de stdout en todos los pods y los contenedores de un clúster |
resource.type="k8s_container" AND
log_id("stdout")
|
| Registros de errores del contenedor en todos los pods y los contenedores de un clúster |
resource.type="k8s_container" AND
log_id("stderr") AND
severity=ERROR
|
| Registros de errores del contenedor de un pod con un nombre específico |
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
severity=ERROR
|
| Registros de errores de un contenedor específico en un pod específico |
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
resource.labels.container_name="server" AND
severity=ERROR
|
| Registros de errores del contenedor de un espacio de nombres y un contenedor específicos |
resource.type="k8s_container" AND
resource.labels.namespace_name="istio-system" AND
resource.labels.container_name="egressgateway" AND
severity=ERROR
|
| Registros del contenedor de un pod con una etiqueta específica |
resource.type="k8s_container" AND
labels."k8s-pod/app"="loadgenerator" AND
severity=ERROR
|
| Registros de errores del contenedor para los Pods que se ejecutan en un nodo específico |
resource.type="k8s_container" AND
labels."compute.googleapis.com/resource_name"=NODE_NAME AND
severity=ERROR
|
| Registros del contenedor de un pod con una etiqueta generada mediante Skaffold |
resource.type="k8s_container" AND
labels."k8s-pod/app"="loadgenerator" AND
labels."k8s-pod/skaffold_dev/run-id"=SKAFFOLD_RUN_ID
severity=ERROR
|
Registros de errores del contenedor de un pod específico que contiene un POST en el textPayload |
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
textPayload:"POST" AND
severity=ERROR
|
Registros de errores del contenedor de un pod específico que contiene un GET en el JSON estructurado |
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
jsonPayload."http.req.method"="GET" AND
severity=ERROR
|
| Registros de errores del contenedor en el espacio de nombres del sistema de Kubernetes |
resource.type="k8s_container" AND
resource.labels.namespace_name="kube-system" AND
severity=ERROR
|
| Error del contenedor en el registro de estadísticas del contenedor |
resource.type="k8s_container" AND
log_id("clouderrorreporting.googleapis.com/insights")
|
| Registros de contenedores de Kubernetes |
resource.type="k8s_container" AND
resource.labels.container_name="CONTAINER_NAME"
|
Consultas del plano de control
Nota: Se deben habilitar los registros del plano de control de GKE.
| Nombre del filtro |
Expresión |
| Registros del servidor de la API de Kubernetes |
resource.type="k8s_control_plane_component"
resource.labels.component_name="apiserver"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
|
| Registros de Kubernetes Scheduler |
resource.type="k8s_control_plane_component"
resource.labels.component_name="scheduler"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
|
| Registros del administrador del controlador de Kubernetes |
resource.type="k8s_control_plane_component"
resource.labels.component_name="controller-manager"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
|
Consultas de aplicaciones del agente de Logging
| Nombre de la consulta o del filtro |
Expresión |
| Registros de Apache |
resource.type="gce_instance" AND
(logName:"/apache-access" OR logName:"/apache-error") |
| Registros de Cassandra |
resource.type="gce_instance" AND
log_id("cassandra") |
| Registros de Chef |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/chef-" |
| Registros de GitLab |
resource.type="gce_instance"
logName:"projects/PROJECT_ID/logs/gitlab-" |
| Registros de Jenkins |
resource.type="gce_instance" AND
log_id("jenkins") |
| Registros de Jetty |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/jetty-" |
| Registros de Joomla |
resource.type="gce_instance" AND
log_id("joomla") |
| Syslogs de Linux |
resource.type="gce_instance" AND
log_id("syslog") |
| Registros de Magneto |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/magneto-" |
| Registros de MediaWiki |
resource.type="gce_instance" AND
log_id("mediawiki") |
| Registros de Memcached |
resource.type="gce_instance" AND
log_id("memcached") |
| Registros de MongoDB |
resource.type="gce_instance" AND
log_id("mongodb") |
| Registros de MySQL |
resource.type="gce_instance" AND
log_id("mysql") |
| Registros de NGINX |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/nginx-" |
| Registros de PostgreSQL |
resource.type="gce_instance" AND
log_id("postgresql") |
| Registros de Puppet |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/puppet-" |
| Registros de RabbitMQ |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/rabbitmq-" |
| Registros de Redmine |
resource.type="gce_instance" AND
log_id("redmine") |
| Registros de sal |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/salt-" |
| Consultas lentas de MySQL |
resource.type="gce_instance" AND
log_id("mysql-slow") |
| Registros de Solr |
resource.type="gce_instance" AND
log_id("solr") |
| Registros de SugarCRM |
resource.type="gce_instance" AND
log_id("sugarcrm") |
| Registros de Tomcat |
resource.type="gce_instance" AND
log_id("tomcat") |
| Registros de Zookeeper |
resource.type="gce_instance" AND
log_id("zookeeper") |
Consultas de Herramientas de redes
| Nombre de la consulta o del filtro |
Expresión |
| Firewall: Todos los registros |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") |
| Registros de firewall para un país determinado |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
jsonPayload.remote_location.country=COUNTRY_ISO_ALPHA_3 |
| Registros de firewall de una VM |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
jsonPayload.instance.vm_name="INSTANCE_NAME" |
| Registros de subredes de firewall |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
resource.labels.subnetwork_name="SUBNET_NAME" |
| Registros de tráfico de subred de Compute Engine a una subred |
resource.type="gce_subnetwork" AND
ip_in_net(jsonPayload.connection.dest_ip, "SUBNET_IP") |
| Registros de flujo de VPC |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") |
| Registros de flujo de VPC para puertos y protocolos específicos |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
jsonPayload.connection.src_port="PORT_ID" AND
jsonPayload.connection.protocol="PROTOCOL" |
| Registros de flujo de VPC para una subred específica |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
resource.labels.subnetwork_name"=SUBNET_NAME" |
| Registros de flujo de VPC para el prefijo de subred específico |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
ip_in_net(jsonPayload.connection.dest_ip,SUBNET_IP) |
| Registros de flujo de VPC para una VM específica |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
jsonPayload.src_instance.vm_name="VM_NAME" |
| Registros de puerta de enlace de VPN |
resource.type="vpn_gateway" AND
resource.labels.gateway_id="GATEWAY_ID" |
| Errores 5xx del balanceador de cargas HTTP |
resource.type="http_load_balancer" AND
httpRequest.status>=500 |
| Solicitudes del balanceador de cargas HTTP a PHPMyAdmin |
resource.type="http_load_balancer" AND
httpRequest.request_url:"phpmyadmin" |
Consultas de registro de seguridad
| Nombre de la consulta o del filtro |
Expresión |
| Registros de auditoría: todos |
logName:"cloudaudit.googleapis.com" |
| Registros de auditoría: Transparencia de acceso (AXT) |
log_id("cloudaudit.googleapis.com/access_transparency") |
| Registros de auditoría: actividad del administrador |
log_id("cloudaudit.googleapis.com/activity") |
| Registros de auditoría: Acceso a los datos |
log_id("cloudaudit.googleapis.com/data_access") |
| Registros de auditoría: Evento del sistema |
log_id("cloudaudit.googleapis.com/system_event") |
Soluciona problemas
Si deseas obtener instrucciones para solucionar problemas comunes cuando se usa el Explorador de registros, consulta Usa el Explorador de registros: Solución de problemas.
¿Qué sigue?
Si quieres obtener más información sobre la sintaxis de las consultas, que puedes usar para personalizar estas consultas, revisa Lenguaje de consulta de Logging.
Si deseas obtener más información sobre las consultas en la consola de Google Cloud, ve a Compila consultas con el lenguaje de consulta de Logging.
