Consultas de amostra

Nesta página, você verá sugestões de consultas para facilitar a localização de registros importantes. Todas as consultas listadas podem ser aplicadas no Visualizador de registros, (clássico e de visualização), na API Logging ou na interface de linha de comando, mas esta página se concentra no uso de consultas no visualizador de registros.

Uma consulta de registros avançada é uma expressão booleana que especifica um subconjunto de todas as entradas de registro no seu projeto. É possível usar essas consultas para escolher entradas de registros específicos ou de serviços ou que satisfaçam condições em metadados ou campos definidos pelo usuário. Para informações detalhadas sobre consulta avançada, acesse esta página.

Primeiros passos com consultas avançadas

As consultas apresentadas nesta página precisam ser usadas na interface do visualizador de registros.

Para navegar até a interface de consulta avançada no visualizador de registros, faça o seguinte:

  1. Vá para a página Geração de registros do pacote de operações do Google Cloud > Registros (Visualizador de registros) no Console do Cloud:

    Acesse a página "Logs Viewer".

  2. Selecione um projeto do Google Cloud.

  3. Clique na seta suspensa (▾) na extrema direita da caixa de consulta de pesquisa e selecione Convert to advanced filter.

    Conversão para consulta de registros avançados

    A interface de consulta avançada de registros é exibida. As consultas de registro são rotuladas como "filtros" na interface do usuário, porque permitem que você selecione um conjunto específico de entradas.

Como usar as consultas

Para aplicar uma consulta nas tabelas abaixo, copie uma expressão clicando no ícone da área de transferência no final da linha de qualquer expressão e cole-a na caixa de consulta de pesquisa da interface de consulta avançada:

Caixa de consulta de pesquisa avançada

Os registros que corresponderem à sua consulta estarão listados abaixo da caixa de consulta de pesquisa.

Algumas das consultas listadas abaixo incluem variantes (indicadas por colchetes []) que precisam ser substituídas por valores válidos. Quando uma consulta inclui logName, o [PROJECT_ID] fornecido precisa fazer referência ao projeto selecionado do Google Cloud. Caso contrário, a consulta não funcionará. Acesse Como solucionar problemas para detalhes.

Se você estiver escrevendo uma consulta que inclua um carimbo de data e hora, selecione Sem limite no seletor de intervalo de tempo abaixo da caixa de consulta de pesquisa.

Nas seções a seguir, você verá o agrupamento de consultas por serviços do Google Cloud.

Consultas do App Engine

Nome do filtro Expressão
Registros do App Engine na véspera de Ano Novo (no horário UTC)

resource.type="gae_app" AND
severity>=ERROR AND
timestamp>="2018-12-31T00:00:00Z" AND timestamp<="2019-01-01T00:00:00Z" 
Registros de solicitação do App Engine com erros do servidor

resource.type="gae_app" AND
log_name="projects/[PROJECT_ID]/logs/appengine.googleapis.com%2Frequest_log" AND
http_request.status>=500 
Registros de erro HTTP amostrados

resource.type="gae_app" AND
proto_payload.status >= 400 AND
sample(insertId, 0.1) 
Pesquisar o ID de rastreamento do App Engine

resource.type="gae_app" AND
trace="projects/[PROJECT_ID]/traces/[TRACE_ID]" 

Consultas do BigQuery

Nome do filtro Expressão
Registros de auditoria do BigQuery

resource.type="bigquery_resource" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com" 
Jobs do serviço de transferência de dados do BigQuery

resource.type="bigquery_resource" AND
proto_payload.request_metadata.caller_supplied_user_agent="BigQuery Data Transfer Service" AND
proto_payload.method_name="jobservice.insert" 
Atualizações do conjunto de dados do BigQuery

resource.type="bigquery_resource" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
proto_payload.method_name="datasetservice.update" 
Jobs do BigQuery concluídos

resource.type="bigquery_resource" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access" AND
proto_payload.method_name="jobservice.jobcompleted" 
Consultas grandes do BigQuery

resource.type="bigquery_resource" AND
proto_payload.method_name="jobservice.jobcompleted" AND
proto_payload.service_data.job_completed_event.job.job_statistics.total_billed_bytes>1073741824 
Cota do BigQuery excedida

resource.type="bigquery_resource" AND
proto_payload.status.code=8 AND
severity>=WARNING 
Consulta do BigQuery iniciada

resource.type="bigquery_resource" AND
proto_payload.method_name="jobservice.insert" 

Consultas do Dataflow

Nome do filtro Expressão
Erros e avisos nos workers do Dataflow

resource.type="dataflow_step" AND
log_name="projects/[PROJECT_ID]/logs/dataflow.googleapis.com%2Fworker" AND
severity>=WARNING 

Consultas do Dataproc

Nome do filtro Expressão
Registros do Dataproc Apache Hadoop

resource.type="cloud_dataproc_cluster" AND
json_payload.class:"org.apache.hadoop.mapreduce" 

Cloud Deployment Manager

Nome do filtro Expressão
Erros do Deployment Manager

resource.type="deployment" AND
severity>=ERROR 

Consultas do Cloud Functions

Nome do filtro Expressão
Erros do Cloud Functions

resource.type="cloud_function" AND
log_name="projects/[PROJECT_ID]/logs/cloudfunctions.googleapis.com%2Fcloud-functions" AND
severity>=ERROR 

Consultas do Cloud Identity and Access Management

Nome do filtro Expressão
Registros de criação de conta de serviço

resource.type="service_account" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
proto_payload.method_name="google.iam.admin.v1.CreateServiceAccount" 
Registros de chave de criação de conta de serviço

resource.type="service_account" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
proto_payload.method_name="google.iam.admin.v1.CreateServiceAccountKey" 
Configurar registros de política de controle de acesso

resource.type="project" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
proto_payload.method_name="SetIamPolicy" 
Membro externo que recebeu acesso à organização

resource.type="project" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
proto_payload.@type="type.googleapis.com/google.cloud.audit.AuditLog" AND
proto_payload.request.@type:"IamPolicy" AND
proto_payload.service_data.policy_delta.binding_deltas.member:* AND
NOT proto_payload.service_data.policy_delta.binding_deltas.member:"@[DOMAIN_NAME].com" 

Consultas do Cloud Source Repositories

Nome do filtro Expressão
Registros do Cloud Source Repositories

resource.type="csr_repository" AND
resource.labels.name="[REPOSITORY_NAME]"

Consultas do Cloud Spanner

Nome do filtro Expressão
Registros do Cloud Spanner para uma instância de spanner específica

resource.type="spanner_instance" AND
resource.labels.instance_id="[SPANNER_INSTANCE]"

Consultas do Cloud SQL

Nome do filtro Expressão
Registros de auditoria do Cloud SQL

resource.type="cloudsql_database" AND
resource.labels.database_id="[DATABASE_ID]" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity"
Registros de erro do Cloud SQL MySQL

resource.type="cloudsql_database" AND
log_name="projects/[PROJECT_ID]/logs/cloudsql.googleapis.com%2Fmysql.err"
Bancos de dados baseados em Cloud SQL MySQL

resource.type="cloudsql_database" AND
resource.labels.database_id="[DATABASE_ID]" AND
log_name="projects/[PROJECT_ID]/logs/cloudsql.googleapis.com%2Fmysql"
Bancos de dados baseados em Postgres do Cloud SQL

resource.type="cloudsql_database" AND
resource.labels.database_id="[DATABASE_ID]" AND
log_name="projects/[PROJECT_ID]/logs/cloudsql.googleapis.com%2Fpostgres.log"

Consultas do Compute Engine

Nome do filtro Expressão
Registros de atividade de administração do Google Compute Engine

resource.type="gce_instance" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity"
Exclusão da regra de firewall do Google Compute Engine

resource.type="gce_firewall_rule" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
proto_payload.method_name:"firewalls.delete" 
Registros de atividades herdadas do Google Compute Engine

resource.type="gce_instance" AND
log_name="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Factivity_log" 
Syslogs da VM do Google Compute Engine

resource.type="gce_instance" AND
log_name="projects/[PROJECT_ID]/logs/syslog" 

Consultas do Cloud Storage

Nome do filtro Expressão
Registros de intervalos do GCS

resource.type="gcs_bucket" AND
resource.labels.bucket_name="[BUCKET_NAME]"
Registros de auditoria de intervalos do GCS

resource.type="gcs_bucket" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com" 
Registros de criação de intervalos do GCS

resource.type="gcs_bucket" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
proto_payload.method_name="storage.buckets.create" 
Registros de exclusão de intervalos do GCS

resource.type="gcs_bucket" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
proto_payload.method_name="storage.buckets.delete" 

Consultas do Cloud Tasks

Nome do filtro Expressão
Registros de consulta do Cloud Tasks

resource.type="cloud_tasks_queue" AND
resource.labels.queue_id="[QUEUE_ID]"

Consultas relacionadas ao Kubernetes

Veja exemplos de consultas dos registros de auditoria de atividades do administrador na página de registros de auditoria de acesso do GKE.

Consultas no nível do cluster

Nome do filtro
Expressão
Operações
do cluster do Google Kubernetes Engine

resource.type="gke_cluster" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity"
Criação do cluster
do Google Kubernetes Engine

resource.type="gke_cluster" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
protoPayload.method_name="google.container.v1.ClusterManager.CreateCluster"
Implantação do cluster do Kubernetes

resource.type="k8s_cluster" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
protoPayload.method_name:"deployments"
Falha de autenticação
do cluster do Kubernetes

resource.type="k8s_cluster" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
protoPayload.authentication_info.principal_email="system:anonymous"
Solicitações de gravação
do cluster do Kubernetes em um secret

resource.type="k8s_cluster" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
protoPayload.method_name="io.k8s.core.v1.secrets" NOT
protoPayload.method_name="get" NOT
protoPayload.method_name="list" NOT
protoPayload.method_name="watch"
Clusters do Kubernetes em
us-central1-b

resource.type="k8s_cluster" AND
resource.labels.location="us-central1-b"
Registros de livro de visitas
do contêiner do Kubernetes

resource.type="k8s_container" AND
resource.labels.cluster_name="guestbook"
Solicitações de pod do Kubernetes
dos usuários

resource.type="k8s_cluster" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
protoPayload.method_name:"io.k8s.core.v1.pods" AND
protoPayload.authentication_info.principal_email="[USER_EMAIL]"
Eventos do Kubernetes

resource.type="k8s_cluster" AND
log_name="projects/[PROJECT_ID]/logs/events"
Atualização dos endpoints do Kubernetes

resource.type="k8s_cluster" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
protoPayload.request.kind="Endpoints"
Registros do plano de controle do Kubernetes

resource.type="k8s_cluster" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
protoPayload.serviceName="k8s.io"
Registros do plano de controle
do Kubernetes Engine

resource.type="k8s_cluster" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
protoPayload.serviceName="container.googleapis.com"
Exclusão de pods

resource.type="k8s_cluster" AND
protoPayload.methodName=~"io.k8s.core.v1.pods.(create|delete)"
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity"
Consulta em pods durante a criação

resource.type="k8s_pod" AND
log_name="projects/[PROJECT_ID]/logs/events" AND
resource.labels.pod_name="[POD_NAME]"

Consultas no nível do nó

Nome do filtro Expressão
Eventos de nó

resource.type="k8s_node" AND
log_name="projects/[PROJECT_ID]/logs/events"
Visualizar os registros do Kube-proxy

resource.type="k8s_node" AND
log_name="projects/[PROJECT_ID]/logs/kube-proxy"
Visualizar os registros do dockerd

resource.type="k8s_node" AND
log_name="projects/[PROJECT_ID]/logs/container-runtime"
Visualizar os erros
ou falhas
do kubelet

resource.type="k8s_node" AND
log_name="projects/[PROJECT_ID]/logs/kubelet" AND
jsonPayload.MESSAGE:("error" OR "fail")

Consultas em contêiner

Nome do filtro
Expressão
Registros de erros de contêiner de todos os pods
e contêineres em um cluster

resource.type="k8s_container" AND
log_name="projects/[PROJECT_ID]/logs/stderr" AND
severity=ERROR
Registros de contêiner stdout de todos os
pods e contêineres em um cluster

resource.type="k8s_container" AND
log_name="projects/[PROJECT_ID]/logs/stdout"
Registros de erros de contêiner de um
um pod com nome específico

resource.type="k8s_container" AND
resource.labels.pod_name="[POD_NAME]" AND
severity=ERROR
Registros de erros de contêiner de
um container e um pod específico

resource.type="k8s_container" AND
resource.labels.pod_name="[POD_NAME]" AND
resource.labels.container_name="server" AND
severity=ERROR
Registros de erros de contêiner de um
container e um namespace específico

resource.type="k8s_container" AND
resource.labels.namespace_name="istio-system" AND
resource.labels.container_name="egressgateway" AND
severity=ERROR
Registros de contêiner de um pod com um
rótulo específico

resource.type="k8s_container" AND
labels."k8s-pod/app"="loadgenerator" AND
severity=ERROR
Registros de contêiner de um pod com um rótulo
gerado usando skaffold

resource.type="k8s_container" AND
labels."k8s-pod/app"="loadgenerator" AND
labels."k8s-pod/skaffold_dev/run-id"=[SKAFFOLD_RUN_ID] AND
severity=ERROR
Registros de erros de contêiner de um pod específico
que contém um POST no textPayload

resource.type="k8s_container" AND
resource.labels.pod_name="[POD_NAME]" AND
textPayload:"POST" AND
severity=ERROR
Registros de erros de contêiner de um pod específico
que contém um GET no JSON estruturado

resource.type="k8s_container" AND
resource.labels.pod_name="[POD_NAME]" AND
jsonPayload."http.req.method"="GET" AND
severity=ERROR
Registros de erros de contêiner no
namespace kube-system

resource.type="k8s_container" AND
resource.labels.namespace_name="kube-system" AND
severity=ERROR
Erros de contêiner no
registro de insights
do contêiner

resource.type="k8s_container" AND
log_name="projects/[PROJECT_ID]/logs/clouderrorreporting.googleapis.com%2Finsights"

Consultas do aplicativo do agente do Logging

Nome do filtro Expressão
Registros do Apache

resource.type="gce_instance" AND
(log_name:"/apache-access" OR log_name:"/apache-error")
Registros do Cassandra

resource.type="gce_instance" AND
log_name="projects/[PROJECT_ID]/logs/cassandra"
Registros do Chef

resource.type="gce_instance" AND
log_name:"projects/[PROJECT_ID]/logs/chef-"
Registros do gitlab

resource.type="gce_instance"
log_name:"projects/[PROJECT_ID]/logs/gitlab-" 
Registros do Jenkins

resource.type="gce_instance" AND
log_name="projects/[PROJECT_ID]/logs/jenkins"
Registros do Jetty

resource.type="gce_instance" AND
log_name:"projects/[PROJECT_ID]/logs/jetty-"
Registros do Joomla

resource.type="gce_instance" AND
log_name="projects/[PROJECT_ID]/logs/joomla"
Syslogs do Linux

resource.type="gce_instance" AND
log_name="projects/[PROJECT_ID]/logs/syslog"
Registros do Magneto

resource.type="gce_instance" AND
log_name:"projects/[PROJECT_ID]/logs/magneto-"
Registros do Mediawiki

resource.type="gce_instance" AND
log_name="projects/[PROJECT_ID]/logs/mediawiki"
Registros do memcached

resource.type="gce_instance" AND
log_name="projects/[PROJECT_ID]/logs/memcached"
Registros do MongoDB

resource.type="gce_instance" AND
log_name="projects/[PROJECT_ID]/logs/mongodb"
Registros do MySQL

resource.type="gce_instance" AND
log_name="projects/[PROJECT_ID]/logs/mysql"
Registros do Nginx

resource.type="gce_instance" AND
log_name:"projects/[PROJECT_ID]/logs/nginx-"
Registros do PostgreSQL

resource.type="gce_instance" AND
log_name="projects/[PROJECT_ID]/logs/postgresql"
Registros do Puppet

resource.type="gce_instance" AND
log_name:"projects/[PROJECT_ID]/logs/puppet-"
Registros do RabbitMQ

resource.type="gce_instance" AND
log_name:"projects/[PROJECT_ID]/logs/rabbitmq-"
Registros do Redmine

resource.type="gce_instance" AND
log_name="projects/[PROJECT_ID]/logs/redmine"
Registros do Salt

resource.type="gce_instance" AND
log_name:"projects/[PROJECT_ID]/logs/salt-"
Consultas lentas do MySQL

resource.type="gce_instance" AND
log_name="projects/[PROJECT_ID]/logs/mysql-slow"
Registros do Solr

resource.type="gce_instance" AND
log_name="projects/[PROJECT_ID]/logs/solr"
Registros do SugarCRM

resource.type="gce_instance" AND
log_name="projects/[PROJECT_ID]/logs/sugarcrm"
Registros do Tomcat

resource.type="gce_instance" AND
log_name="projects/[PROJECT_ID]/logs/tomcat"
Registros do Zookeeper

resource.type="gce_instance" AND
log_name="projects/[PROJECT_ID]/logs/zookeeper"

Consultas de rede

Nome do filtro Expressão
Firewall: todos os registros

resource.type="gce_subnetwork" AND
log_name="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Ffirewall"
Registros de firewall por país

resource.type="gce_subnetwork" AND
log_name="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Ffirewall" AND
json_payload.remote_location.country=[COUNTRY_ISO_ALPHA_3]
Registros do firewall por VM

resource.type="gce_subnetwork" AND
log_name="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Ffirewall" AND
json_payload.instance.vm_name="[INSTANCE_NAME]"
Registros de sub-rede de firewall

resource.type="gce_subnetwork" AND
log_name="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Ffirewall" AND
resource.labels.subnetwork_name="[SUBNET_NAME]"
Registros de tráfego de sub-rede do Compute Engine para uma sub-rede

resource.type="gce_subnetwork" AND
ip_in_net(json_payload.connection.dest_ip, "[SUBNET_IP]")
Registros de fluxo de VPC

resource.type="gce_subnetwork" AND
log_name="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Fvpc_flows"
Registros de fluxo VPC para porta e protocolo específicos

resource.type="gce_subnetwork" AND
log_name="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Fvpc_flows" AND
json_payload.connection.src_port="[PORT_ID]" AND
json_payload.connection.protocol="[PROTOCOL]"
Registros de fluxo de VPC para sub-rede específica

resource.type="gce_subnetwork" AND
log_name="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Fvpc_flows" AND
resource.labels.subnetwork_name"=[SUBNET_NAME]"
Registros de fluxo de VPC para prefixo de sub-rede específico

resource.type="gce_subnetwork" AND
log_name="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Fvpc_flows" AND
ip_in_net(json_payload.connection.dest_ip,[SUBNET_IP])
Registros de fluxo de VPC para VMs específicas

resource.type="gce_subnetwork" AND
log_name="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Fvpc_flows" AND
json_payload.src_instance.vm_name="[VM_NAME]"
Registros de gateway de VPN

resource.type="vpn_gateway" AND
resource.labels.gateway_id="[GATEWAY_ID]"
Erros do Balanceador de carga HTTP 5xx

resource.type="http_load_balancer" AND
http_request.status>=500
Solicitações do balanceador de carga HTTP para o PHPMyAdmin

resource.type="http_load_balancer" AND
http_request.request_url:"phpmyadmin"

Consultas de geração de registro de segurança

Nome do filtro Expressão
Registros de auditoria: todos

log_name:"projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com"
Registros de auditoria: transparência de acesso (AXT)

log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Faccess_transparency"
Registros de auditoria: atividade do administrador

log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity"
Registros de auditoria: acesso a dados

log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access"
Registros de auditoria: evento do sistema

log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_event"

Consultas do pacote de operações do Google Cloud

Nome do filtro Expressão
Atividades de afundamento de registro

resource.type="logging_sink" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity"
Atividades de criação ou atualização de métricas baseadas em registros

resource.type="metric" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
proto_payload.method_name:(UpdateLogMetric OR CreateLogMetric)
Verificações de URL de disponibilidade para um host

resource.type="uptime_url" AND
resource.labels.host="[URL]"

Solução de problemas

Para detalhes sobre a sintaxe de consulta avançada e as instruções de como solucionar problemas, acesse Consultas avançadas de registros.

A seguir

Para informações detalhadas sobre a sintaxe da consulta, que pode ser usada para personalizar essas consultas, leia esta página.