Solucionar problemas de Pub/Sub con registros de auditoría
Organízate con las colecciones
Guarda y clasifica el contenido según tus preferencias.
Pub/Sub genera registros de auditoría que recogen las actividades administrativas y de acceso de los recursos de Pub/Sub. Algunos ejemplos de estas actividades son crear un tema, actualizar una suscripción o eliminar una instantánea. Puedes usar estos registros para solucionar problemas y garantizar la seguridad de tu infraestructura de mensajería.
A continuación, se indican algunos puntos importantes que debes tener en cuenta sobre los registros de auditoría en Pub/Sub:
Los registros de auditoría de Pub/Sub usan el nombre de servicio pubsub.googleapis.com.
Pub/Sub tiene diferentes tipos de registros. Entre ellas, se incluyen las siguientes:
Los registros de actividad de administrador registran acciones como crear, eliminar o actualizar temas y suscripciones.
Los registros de acceso a datos registran acciones como recuperar un tema o enumerar suscripciones.
Los registros de eventos del sistema registran eventos como la eliminación de suscripciones inactivas.
Pub/Sub no registra operaciones de mensajes, como la publicación, la suscripción o la confirmación de mensajes.
Para obtener más información sobre los registros de auditoría de Pub/Sub, consulta Registro de auditoría.
Ver registros de auditoría de Pub/Sub
El Explorador de registros proporciona una ubicación centralizada para acceder a todos los datos de registro de Google Cloud. Puedes usar el Explorador de registros para ver los registros de Pub/Sub.
Obtén los permisos necesarios para ver el explorador de registros.
Para obtener más información, consulta la sección Antes de empezar.
En la Google Cloud consola, ve a la página Explorador de registros.
Selecciona un proyecto, una carpeta o una organización Google Cloud .
Para mostrar todos los registros de auditoría relacionados con Pub/Sub, introduce la siguiente consulta en el campo del editor de consultas:
protoPayload.serviceName="pubsub.googleapis.com"
Imagen 1: introduce una consulta.
Haz clic en Realizar una consulta.
Para mostrar los registros de auditoría de un recurso y un tipo de registro de auditoría específicos, haz lo siguiente en el panel Generador de consultas:
En Todos los recursos, selecciona el Google Cloud recurso cuyos registros de auditoría quieras ver. Por ejemplo, selecciona Tema de Cloud Pub/Sub y, a continuación, el nombre del tema.
En Todos los nombres de registro, selecciona el tipo de registro de auditoría que quieras ver.
Por ejemplo:
En el caso de los registros de auditoría de actividad de administración, introduce activity.
En Registros de auditoría de los eventos del sistema, selecciona system_event.
La consulta se ejecuta automáticamente.
Cómo usar los registros de auditoría para solucionar problemas de Pub/Sub
Determina el problema específico que estás investigando. A continuación, se incluye una lista de posibles problemas:
Identificar quién ha creado, eliminado o modificado temas, suscripciones, instantáneas o esquemas.
Hacer un seguimiento de los cambios en la configuración de temas o suscripciones.
Verifica si existe un tema o una suscripción y cuál es su estado actual.
Sin embargo, no puedes usar los registros de auditoría para solucionar problemas relacionados con la publicación y la entrega de mensajes. No encontrarás registros de fallos en la entrega de mensajes, duplicación de mensajes ni problemas de orden de los mensajes. Los registros de auditoría tampoco te ayudarán a identificar suscriptores lentos ni problemas con las confirmaciones de mensajes.
Para solucionar problemas a nivel de mensaje, tendrás que usar otras herramientas, como métricas de monitorización, colas de mensajes fallidos y registros de aplicaciones.
En función del problema, crea una consulta para filtrar los registros de auditoría.
Por ejemplo, para saber quién ha eliminado una suscripción, filtra por
protoPayload.methodName="google.pubsub.v1.Publisher.DeleteSubscription".
Para investigar un posible error al crear una suscripción, filtra por protoPayload.methodName="google.pubsub.v1.Subscriber.CreateSubscription".
Examina las marcas de tiempo, las entidades principales y los nombres de recursos de las entradas de registro para comprender la secuencia de eventos e identificar cualquier anomalía.
Para obtener más información sobre cómo crear una consulta de registro de auditoría para Pub/Sub, consulta Registro de auditoría.
[[["Es fácil de entender","easyToUnderstand","thumb-up"],["Me ofreció una solución al problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Es difícil de entender","hardToUnderstand","thumb-down"],["La información o el código de muestra no son correctos","incorrectInformationOrSampleCode","thumb-down"],["Me faltan las muestras o la información que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-11 (UTC)."],[],[],null,["Pub/Sub generates audit logs that capture administrative\nand access activities of Pub/Sub resources. Some examples of\nthese activities include creating a topic, updating a subscription, or\ndeleting a snapshot. You can use these logs for troubleshooting issues\nand ensuring the security of your messaging infrastructure.\n\nHere are some important points to remember regarding audit logs in\nPub/Sub:\n\n- Pub/Sub audit logs use the service name `pubsub.googleapis.com`.\n\n- Pub/Sub has different types of logs. These include the following:\n\n - Admin activity logs record actions like creating, deleting, or updating\n topics and subscriptions.\n\n - Data access logs record actions like retrieving a topic or listing\n subscriptions.\n\n - System event logs record events like removing inactive\n subscriptions.\n\n- Pub/Sub does not log message operations like publishing,\n subscribing, or acknowledging messages.\n\nFor more information about audit logs for\nPub/Sub, see [Audit logging](/pubsub/docs/audit-logging).\n\nView Pub/Sub audit logs\n\n**Logs Explorer** provides a centralized location to access all your log data\nwithin Google Cloud. You can use **Logs Explorer** to view Pub/Sub logs.\n\n1. Get the required permissions to view **Logs Explorer**.\n\n For more information, see [Before you begin](/logging/docs/view/logs-explorer-interface#before-you-begin).\n2. In the Google Cloud console, go to the **Logs Explorer** page.\n\n [Go to Logs Explorer](https://console.cloud.google.com/logs)\n3. Select an existing Google Cloud project, folder, or organization.\n\n4. To display all audit logs related to Pub/Sub, enter the\n following query into the query-editor field:\n\n protoPayload.serviceName=\"pubsub.googleapis.com\"\n\n **Figure 1** Enter a query.\n5. Click **Run query**.\n\n6. To display the audit logs for a specific resource and audit log type,\n in the Query builder pane, do the following:\n\n 1. For **All resources** , select the Google Cloud resource whose\n audit logs you want to see. For example, select **Cloud Pub/Sub Topic** and then\n select the topic name.\n\n 2. For **All log names**, select the audit log type that you want to see.\n\n For example:\n - For Admin activity audit logs, select enter `activity`.\n\n - For System event audit logs, select `system_event`.\n\nThe query runs automatically.\n\nHow to use audit logs to troubleshoot Pub/Sub issues\n\n1. Determine the specific problem that you're investigating. Here is a list of\n potential issues:\n\n - Identify who created, deleted, or modified topics, subscriptions, snapshots,\n or schemas.\n\n - Track changes to topic or subscription settings.\n\n - Verify if a topic or subscription exists and its current status.\n\n However, you cannot use audit logs to troubleshoot issues related to message\n publishing and delivery. You won't find logs for message delivery failures,\n message duplication, or message ordering problems. Audit logs also won't help\n you identify slow subscribers or issues with message acknowledgments.\n For troubleshooting message-level issues, you'll need to rely on other tools\n like monitoring metrics, dead-letter queues, and application logs.\n2. Based on the issue, construct a query to filter the audit logs.\n For example, to find out who deleted a subscription, filter by\n `protoPayload.methodName=\"google.pubsub.v1.Publisher.DeleteSubscription\"`.\n\n To investigate a potential error with creating a subscription, filter by\n `protoPayload.methodName=\"google.pubsub.v1.Subscriber.CreateSubscription\"`.\n3. Examine the timestamps, principals, and resource names in the log entries\n to understand the sequence of events and identify any anomalies.\n\nFor more information on how to construct an audit log query for\nPub/Sub, see [Audit logging](/pubsub/docs/audit-logging)."]]
