Nesta página, você verá sugestões de consultas para facilitar a localização de registros importantes. Todas as consultas listadas podem ser aplicadas no Visualizador de registros, (clássico e de visualização), na API Logging ou na interface de linha de comando, mas esta página se concentra no uso de consultas no visualizador de registros.
Uma consulta de registros avançada é uma expressão booleana que especifica um subconjunto de todas as entradas de registro no seu projeto. É possível usar essas consultas para escolher entradas de registros específicos ou de serviços ou que satisfaçam condições em metadados ou campos definidos pelo usuário. Para informações detalhadas sobre consulta avançada, acesse esta página.
Primeiros passos com consultas avançadas
As consultas apresentadas nesta página precisam ser usadas na interface do visualizador de registros.
Para navegar até a interface de consulta avançada no visualizador de registros, faça o seguinte:
Vá para a página Geração de registros do pacote de operações do Google Cloud > Registros (Visualizador de registros) no Console do Cloud:
Selecione um projeto do Google Cloud.
Clique na seta suspensa (▾) na extrema direita da caixa de consulta de pesquisa e selecione Convert to advanced filter.
A interface de consulta avançada de registros é exibida. As consultas de registro são rotuladas como "filtros" na interface do usuário, porque permitem que você selecione um conjunto específico de entradas.
Como usar as consultas
Para aplicar uma consulta nas tabelas abaixo, copie uma expressão clicando no ícone da área de transferência file_copy no final da linha de qualquer expressão e cole-a na caixa de consulta de pesquisa da interface de consulta avançada:
Os registros que corresponderem à sua consulta estarão listados abaixo da caixa de consulta de pesquisa.
Algumas das consultas listadas abaixo incluem variantes (indicadas por colchetes []) que precisam ser substituídas por valores válidos. Quando uma consulta inclui logName, o [PROJECT_ID] fornecido precisa fazer referência ao projeto selecionado do Google Cloud. Caso contrário, a consulta não funcionará. Acesse Como solucionar problemas para detalhes.
Se você estiver escrevendo uma consulta que inclua um carimbo de data e hora, selecione Sem limite no seletor de intervalo de tempo abaixo da caixa de consulta de pesquisa.
Nas seções a seguir, você verá o agrupamento de consultas por serviços do Google Cloud.
Consultas do App Engine
| Nome do filtro | Expressão |
|---|---|
| Registros do App Engine na véspera de Ano Novo (no horário UTC) | resource.type="gae_app" AND severity>=ERROR AND timestamp>="2018-12-31T00:00:00Z" AND timestamp<="2019-01-01T00:00:00Z" |
| Registros de solicitação do App Engine com erros do servidor | resource.type="gae_app" AND log_name="projects/[PROJECT_ID]/logs/appengine.googleapis.com%2Frequest_log" AND http_request.status>=500 |
| Registros de erro HTTP amostrados | resource.type="gae_app" AND proto_payload.status >= 400 AND sample(insertId, 0.1) |
| Pesquisar o ID de rastreamento do App Engine | resource.type="gae_app" AND trace="projects/[PROJECT_ID]/traces/[TRACE_ID]" |
Consultas do BigQuery
| Nome do filtro | Expressão |
|---|---|
| Registros de auditoria do BigQuery | resource.type="bigquery_resource" AND log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com" |
| Jobs do serviço de transferência de dados do BigQuery | resource.type="bigquery_resource" AND proto_payload.request_metadata.caller_supplied_user_agent="BigQuery Data Transfer Service" AND proto_payload.method_name="jobservice.insert" |
| Atualizações do conjunto de dados do BigQuery | resource.type="bigquery_resource" AND log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND proto_payload.method_name="datasetservice.update" |
| Jobs do BigQuery concluídos | resource.type="bigquery_resource" AND log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access" AND proto_payload.method_name="jobservice.jobcompleted" |
| Consultas grandes do BigQuery | resource.type="bigquery_resource" AND proto_payload.method_name="jobservice.jobcompleted" AND proto_payload.service_data.job_completed_event.job.job_statistics.total_billed_bytes>1073741824 |
| Cota do BigQuery excedida | resource.type="bigquery_resource" AND proto_payload.status.code=8 AND severity>=WARNING |
| Consulta do BigQuery iniciada | resource.type="bigquery_resource" AND proto_payload.method_name="jobservice.insert" |
Consultas do Dataflow
| Nome do filtro | Expressão |
|---|---|
| Erros e avisos nos workers do Dataflow | resource.type="dataflow_step" AND log_name="projects/[PROJECT_ID]/logs/dataflow.googleapis.com%2Fworker" AND severity>=WARNING |
Consultas do Dataproc
| Nome do filtro | Expressão |
|---|---|
| Registros do Dataproc Apache Hadoop | resource.type="cloud_dataproc_cluster" AND json_payload.class:"org.apache.hadoop.mapreduce" |
Cloud Deployment Manager
| Nome do filtro | Expressão |
|---|---|
| Erros do Deployment Manager | resource.type="deployment" AND severity>=ERROR |
Consultas do Cloud Functions
| Nome do filtro | Expressão |
|---|---|
| Erros do Cloud Functions | resource.type="cloud_function" AND log_name="projects/[PROJECT_ID]/logs/cloudfunctions.googleapis.com%2Fcloud-functions" AND severity>=ERROR |
Consultas do Cloud Identity and Access Management
| Nome do filtro | Expressão |
|---|---|
| Registros de criação de conta de serviço | resource.type="service_account" AND log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND proto_payload.method_name="google.iam.admin.v1.CreateServiceAccount" |
| Registros de chave de criação de conta de serviço | resource.type="service_account" AND log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND proto_payload.method_name="google.iam.admin.v1.CreateServiceAccountKey" |
| Configurar registros de política de controle de acesso | resource.type="project" AND log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND proto_payload.method_name="SetIamPolicy" |
| Membro externo que recebeu acesso à organização | resource.type="project" AND log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND proto_payload.@type="type.googleapis.com/google.cloud.audit.AuditLog" AND proto_payload.request.@type:"IamPolicy" AND proto_payload.service_data.policy_delta.binding_deltas.member:* AND NOT proto_payload.service_data.policy_delta.binding_deltas.member:"@[DOMAIN_NAME].com" |
Consultas do Cloud Source Repositories
| Nome do filtro | Expressão |
|---|---|
| Registros do Cloud Source Repositories | resource.type="csr_repository" AND resource.labels.name="[REPOSITORY_NAME]" |
Consultas do Cloud Spanner
| Nome do filtro | Expressão |
|---|---|
| Registros do Cloud Spanner para uma instância de spanner específica | resource.type="spanner_instance" AND resource.labels.instance_id="[SPANNER_INSTANCE]" |
Consultas do Cloud SQL
| Nome do filtro | Expressão |
|---|---|
| Registros de auditoria do Cloud SQL | resource.type="cloudsql_database" AND resource.labels.database_id="[DATABASE_ID]" AND log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" |
| Registros de erro do Cloud SQL MySQL | resource.type="cloudsql_database" AND log_name="projects/[PROJECT_ID]/logs/cloudsql.googleapis.com%2Fmysql.err" |
| Bancos de dados baseados em Cloud SQL MySQL | resource.type="cloudsql_database" AND resource.labels.database_id="[DATABASE_ID]" AND log_name="projects/[PROJECT_ID]/logs/cloudsql.googleapis.com%2Fmysql" |
| Bancos de dados baseados em Postgres do Cloud SQL | resource.type="cloudsql_database" AND resource.labels.database_id="[DATABASE_ID]" AND log_name="projects/[PROJECT_ID]/logs/cloudsql.googleapis.com%2Fpostgres.log" |
Consultas do Compute Engine
| Nome do filtro | Expressão |
|---|---|
| Registros de atividade de administração do Google Compute Engine | resource.type="gce_instance" AND log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" |
| Exclusão da regra de firewall do Google Compute Engine | resource.type="gce_firewall_rule" AND log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND proto_payload.method_name:"firewalls.delete" |
| Registros de atividades herdadas do Google Compute Engine | resource.type="gce_instance" AND log_name="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Factivity_log" |
| Syslogs da VM do Google Compute Engine | resource.type="gce_instance" AND log_name="projects/[PROJECT_ID]/logs/syslog" |
Consultas do Cloud Storage
| Nome do filtro | Expressão |
|---|---|
| Registros de intervalos do GCS | resource.type="gcs_bucket" AND resource.labels.bucket_name="[BUCKET_NAME]" |
| Registros de auditoria de intervalos do GCS | resource.type="gcs_bucket" AND log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com" |
| Registros de criação de intervalos do GCS | resource.type="gcs_bucket" AND log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND proto_payload.method_name="storage.buckets.create" |
| Registros de exclusão de intervalos do GCS | resource.type="gcs_bucket" AND log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND proto_payload.method_name="storage.buckets.delete" |
Consultas do Cloud Tasks
| Nome do filtro | Expressão |
|---|---|
| Registros de consulta do Cloud Tasks | resource.type="cloud_tasks_queue" AND resource.labels.queue_id="[QUEUE_ID]" |
Consultas relacionadas ao Kubernetes
Veja exemplos de consultas dos registros de auditoria de atividades do administrador na página de registros de auditoria de acesso do GKE.
Consultas no nível do cluster
Nome do filtro |
Expressão |
|---|---|
| Operações do cluster do Google Kubernetes Engine |
resource.type="gke_cluster" AND log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" |
| Criação do cluster do Google Kubernetes Engine |
resource.type="gke_cluster" AND log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND protoPayload.method_name="google.container.v1.ClusterManager.CreateCluster" |
| Implantação do cluster do Kubernetes | resource.type="k8s_cluster" AND log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND protoPayload.method_name:"deployments" |
| Falha de autenticação do cluster do Kubernetes |
resource.type="k8s_cluster" AND log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND protoPayload.authentication_info.principal_email="system:anonymous" |
| Solicitações de gravação do cluster do Kubernetes em um secret |
resource.type="k8s_cluster" AND log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND protoPayload.method_name="io.k8s.core.v1.secrets" NOT protoPayload.method_name="get" NOT protoPayload.method_name="list" NOT protoPayload.method_name="watch" |
Clusters do Kubernetes emus-central1-b
|
resource.type="k8s_cluster" AND resource.labels.location="us-central1-b" |
| Registros de livro de visitas do contêiner do Kubernetes |
resource.type="k8s_container" AND resource.labels.cluster_name="guestbook" |
| Solicitações de pod do Kubernetes dos usuários |
resource.type="k8s_cluster" AND log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND protoPayload.method_name:"io.k8s.core.v1.pods" AND protoPayload.authentication_info.principal_email="[USER_EMAIL]" |
| Eventos do Kubernetes | resource.type="k8s_cluster" AND log_name="projects/[PROJECT_ID]/logs/events" |
| Atualização dos endpoints do Kubernetes | resource.type="k8s_cluster" AND log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND protoPayload.request.kind="Endpoints" |
| Registros do plano de controle do Kubernetes | resource.type="k8s_cluster" AND log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND protoPayload.serviceName="k8s.io" |
| Registros do plano de controle do Kubernetes Engine |
resource.type="k8s_cluster" AND log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND protoPayload.serviceName="container.googleapis.com" |
| Exclusão de pods | resource.type="k8s_cluster" AND protoPayload.methodName=~"io.k8s.core.v1.pods.(create|delete)" log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" |
| Consulta em pods durante a criação | resource.type="k8s_pod" AND log_name="projects/[PROJECT_ID]/logs/events" AND resource.labels.pod_name="[POD_NAME]" |
Consultas no nível do nó
| Nome do filtro | Expressão |
|---|---|
| Eventos de nó | resource.type="k8s_node" AND log_name="projects/[PROJECT_ID]/logs/events" |
| Visualizar os registros do Kube-proxy | resource.type="k8s_node" AND log_name="projects/[PROJECT_ID]/logs/kube-proxy" |
| Visualizar os registros do dockerd | resource.type="k8s_node" AND log_name="projects/[PROJECT_ID]/logs/container-runtime" |
| Visualizar os erros ou falhas do kubelet |
resource.type="k8s_node" AND
log_name="projects/[PROJECT_ID]/logs/kubelet" AND
jsonPayload.MESSAGE:("error" OR "fail")
|
Consultas em contêiner
Nome do filtro |
Expressão |
|---|---|
| Registros de erros de contêiner de todos os pods e contêineres em um cluster |
resource.type="k8s_container" AND log_name="projects/[PROJECT_ID]/logs/stderr" AND severity=ERROR |
| Registros de contêiner stdout de todos os pods e contêineres em um cluster |
resource.type="k8s_container" AND log_name="projects/[PROJECT_ID]/logs/stdout" |
| Registros de erros de contêiner de um um pod com nome específico |
resource.type="k8s_container" AND resource.labels.pod_name="[POD_NAME]" AND severity=ERROR |
| Registros de erros de contêiner de um container e um pod específico |
resource.type="k8s_container" AND resource.labels.pod_name="[POD_NAME]" AND resource.labels.container_name="server" AND severity=ERROR |
| Registros de erros de contêiner de um container e um namespace específico |
resource.type="k8s_container" AND resource.labels.namespace_name="istio-system" AND resource.labels.container_name="egressgateway" AND severity=ERROR |
| Registros de contêiner de um pod com um rótulo específico |
resource.type="k8s_container" AND labels."k8s-pod/app"="loadgenerator" AND severity=ERROR |
| Registros de contêiner de um pod com um rótulo gerado usando skaffold |
resource.type="k8s_container" AND labels."k8s-pod/app"="loadgenerator" AND labels."k8s-pod/skaffold_dev/run-id"=[SKAFFOLD_RUN_ID] AND severity=ERROR |
| Registros de erros de contêiner de um pod específico que contém um POST no textPayload |
resource.type="k8s_container" AND resource.labels.pod_name="[POD_NAME]" AND textPayload:"POST" AND severity=ERROR |
| Registros de erros de contêiner de um pod específico que contém um GET no JSON estruturado |
resource.type="k8s_container" AND resource.labels.pod_name="[POD_NAME]" AND jsonPayload."http.req.method"="GET" AND severity=ERROR |
| Registros de erros de contêiner no namespace kube-system |
resource.type="k8s_container" AND resource.labels.namespace_name="kube-system" AND severity=ERROR |
| Erros de contêiner no registro de insights do contêiner |
resource.type="k8s_container" AND log_name="projects/[PROJECT_ID]/logs/clouderrorreporting.googleapis.com%2Finsights" |
Consultas do aplicativo do agente do Logging
| Nome do filtro | Expressão |
|---|---|
| Registros do Apache | resource.type="gce_instance" AND (log_name:"/apache-access" OR log_name:"/apache-error") |
| Registros do Cassandra | resource.type="gce_instance" AND log_name="projects/[PROJECT_ID]/logs/cassandra" |
| Registros do Chef | resource.type="gce_instance" AND log_name:"projects/[PROJECT_ID]/logs/chef-" |
| Registros do gitlab | resource.type="gce_instance" log_name:"projects/[PROJECT_ID]/logs/gitlab-" |
| Registros do Jenkins | resource.type="gce_instance" AND log_name="projects/[PROJECT_ID]/logs/jenkins" |
| Registros do Jetty | resource.type="gce_instance" AND log_name:"projects/[PROJECT_ID]/logs/jetty-" |
| Registros do Joomla | resource.type="gce_instance" AND log_name="projects/[PROJECT_ID]/logs/joomla" |
| Syslogs do Linux | resource.type="gce_instance" AND log_name="projects/[PROJECT_ID]/logs/syslog" |
| Registros do Magneto | resource.type="gce_instance" AND log_name:"projects/[PROJECT_ID]/logs/magneto-" |
| Registros do Mediawiki | resource.type="gce_instance" AND log_name="projects/[PROJECT_ID]/logs/mediawiki" |
| Registros do memcached | resource.type="gce_instance" AND log_name="projects/[PROJECT_ID]/logs/memcached" |
| Registros do MongoDB | resource.type="gce_instance" AND log_name="projects/[PROJECT_ID]/logs/mongodb" |
| Registros do MySQL | resource.type="gce_instance" AND log_name="projects/[PROJECT_ID]/logs/mysql" |
| Registros do Nginx | resource.type="gce_instance" AND log_name:"projects/[PROJECT_ID]/logs/nginx-" |
| Registros do PostgreSQL | resource.type="gce_instance" AND log_name="projects/[PROJECT_ID]/logs/postgresql" |
| Registros do Puppet | resource.type="gce_instance" AND log_name:"projects/[PROJECT_ID]/logs/puppet-" |
| Registros do RabbitMQ | resource.type="gce_instance" AND log_name:"projects/[PROJECT_ID]/logs/rabbitmq-" |
| Registros do Redmine | resource.type="gce_instance" AND log_name="projects/[PROJECT_ID]/logs/redmine" |
| Registros do Salt | resource.type="gce_instance" AND log_name:"projects/[PROJECT_ID]/logs/salt-" |
| Consultas lentas do MySQL | resource.type="gce_instance" AND log_name="projects/[PROJECT_ID]/logs/mysql-slow" |
| Registros do Solr | resource.type="gce_instance" AND log_name="projects/[PROJECT_ID]/logs/solr" |
| Registros do SugarCRM | resource.type="gce_instance" AND log_name="projects/[PROJECT_ID]/logs/sugarcrm" |
| Registros do Tomcat | resource.type="gce_instance" AND log_name="projects/[PROJECT_ID]/logs/tomcat" |
| Registros do Zookeeper | resource.type="gce_instance" AND log_name="projects/[PROJECT_ID]/logs/zookeeper" |
Consultas de rede
| Nome do filtro | Expressão |
|---|---|
| Firewall: todos os registros | resource.type="gce_subnetwork" AND log_name="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Ffirewall" |
| Registros de firewall por país | resource.type="gce_subnetwork" AND log_name="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Ffirewall" AND json_payload.remote_location.country=[COUNTRY_ISO_ALPHA_3] |
| Registros do firewall por VM | resource.type="gce_subnetwork" AND log_name="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Ffirewall" AND json_payload.instance.vm_name="[INSTANCE_NAME]" |
| Registros de sub-rede de firewall | resource.type="gce_subnetwork" AND log_name="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Ffirewall" AND resource.labels.subnetwork_name="[SUBNET_NAME]" |
| Registros de tráfego de sub-rede do Compute Engine para uma sub-rede | resource.type="gce_subnetwork" AND ip_in_net(json_payload.connection.dest_ip, "[SUBNET_IP]") |
| Registros de fluxo de VPC | resource.type="gce_subnetwork" AND log_name="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Fvpc_flows" |
| Registros de fluxo VPC para porta e protocolo específicos | resource.type="gce_subnetwork" AND log_name="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Fvpc_flows" AND json_payload.connection.src_port="[PORT_ID]" AND json_payload.connection.protocol="[PROTOCOL]" |
| Registros de fluxo de VPC para sub-rede específica | resource.type="gce_subnetwork" AND log_name="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Fvpc_flows" AND resource.labels.subnetwork_name"=[SUBNET_NAME]" |
| Registros de fluxo de VPC para prefixo de sub-rede específico | resource.type="gce_subnetwork" AND log_name="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Fvpc_flows" AND ip_in_net(json_payload.connection.dest_ip,[SUBNET_IP]) |
| Registros de fluxo de VPC para VMs específicas | resource.type="gce_subnetwork" AND log_name="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Fvpc_flows" AND json_payload.src_instance.vm_name="[VM_NAME]" |
| Registros de gateway de VPN | resource.type="vpn_gateway" AND resource.labels.gateway_id="[GATEWAY_ID]" |
| Erros do Balanceador de carga HTTP 5xx | resource.type="http_load_balancer" AND http_request.status>=500 |
| Solicitações do balanceador de carga HTTP para o PHPMyAdmin | resource.type="http_load_balancer" AND http_request.request_url:"phpmyadmin" |
Consultas de geração de registro de segurança
| Nome do filtro | Expressão |
|---|---|
| Registros de auditoria: todos | log_name:"projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com" |
| Registros de auditoria: transparência de acesso (AXT) | log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Faccess_transparency" |
| Registros de auditoria: atividade do administrador | log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" |
| Registros de auditoria: acesso a dados | log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access" |
| Registros de auditoria: evento do sistema | log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_event" |
Consultas do pacote de operações do Google Cloud
| Nome do filtro | Expressão |
|---|---|
| Atividades de afundamento de registro | resource.type="logging_sink" AND log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" |
| Atividades de criação ou atualização de métricas baseadas em registros | resource.type="metric" AND log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND proto_payload.method_name:(UpdateLogMetric OR CreateLogMetric) |
| Verificações de URL de disponibilidade para um host | resource.type="uptime_url" AND resource.labels.host="[URL]" |
Solução de problemas
Para detalhes sobre a sintaxe de consulta avançada e as instruções de como solucionar problemas, acesse Consultas avançadas de registros.