Neste documento, você encontra sugestões de consultas para facilitar a localização de registros importantes usando a Análise de registros no console Google Cloud .
As consultas listadas são escritas na
linguagem de consulta do Logging
e podem ser usadas na
Análise de registros, na
API Logging
ou na
interface de linha de comando.
O Explorador de registros usa expressões booleanas para especificar um
subconjunto de todas as entradas de registro no projeto. É possível usar essas consultas para escolher entradas de registros específicos ou de serviços ou que satisfaçam condições em metadados ou campos definidos pelo usuário.
Antes de começar
Verifique se você tem as permissões ou os papéis corretos do Identity and Access Management para criar consultas usando a Análise de registros. Para detalhes sobre as permissões de IAM necessárias, consulte Permissões para o console Google Cloud .
Primeiros passos
-
No console Google Cloud , acesse a página
segment
Análise de registros:
Acessar a Análise de registros
Se você usar a barra de pesquisa para encontrar essa página, selecione o resultado com o subtítulo Logging.
Selecione o projeto Google Cloud ou outro recurso Google Cloudpara o qual você quer ver os registros.
Usar os exemplos de consultas
Para aplicar uma consulta das tabelas a seguir, clique no ícone content_copy Copiar conteúdo da expressão e cole-a no campo do editor de consultas da Análise de registros.
A captura de tela a seguir ilustra o painel de consulta:
Se o campo do editor de consultas não aparecer, ative Mostrar consulta.
Depois de analisar a expressão de consulta, clique em Executar consulta. Os registros que correspondem à consulta estão listados em Resultados da consulta.
Algumas das consultas listadas mais adiante nesta página incluem variáveis que precisam ser substituídas por valores válidos. Por exemplo, quando uma consulta inclui logName, o PROJECT_ID fornecido precisa se referir ao projetoGoogle Cloud selecionado. Caso contrário, a consulta não vai funcionar.
Observe o seguinte:
Se você tiver uma consulta com carimbo de data/hora, o
seletor de intervalo de tempo
será desativado, e a consulta usará a expressão de carimbo de data/hora como a restrição de intervalo
de tempo. Se uma consulta não usar uma expressão de carimbo de data/hora, ela
usará o seletor de intervalo de tempo como a restrição de intervalo de tempo.
O tamanho de uma consulta não pode exceder 20.000 caracteres.
A linguagem de consulta do Logging não diferencia maiúsculas de minúsculas, exceto no caso de expressões regulares.
É possível usar a função log_id para consultas com uma expressão log_name. Por exemplo, a expressão
log_name="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access"
é a mesma que log_id("cloudaudit.googleapis.com/data_access").
Para mais informações sobre a função log_id, consulte
Linguagem de consulta do Logging: funções.
Para instruções sobre como consultar no console do Google Cloud , consulte
Criar consultas na Análise de registros.
As seções a seguir agrupam consultas por serviços do Google Cloud .
Consultas do App Engine
| Nome da consulta/filtro |
Expressão |
| Registros do App Engine na véspera de Ano Novo (no horário UTC) |
resource.type="gae_app" AND
severity>=ERROR AND
timestamp>="2018-12-31T00:00:00Z" AND timestamp<="2019-01-01T00:00:00Z" |
| Registros de solicitação do App Engine com erros do servidor |
resource.type="gae_app" AND
log_id("appengine.googleapis.com/request_log") AND
httpRequest.status>=500 |
| Registros de erro HTTP amostrados |
resource.type="gae_app" AND
protoPayload.status >= 400 AND
sample(insertId, 0.1)
|
| Pesquisar o ID de rastreamento do App Engine |
resource.type="gae_app" AND
trace="projects/PROJECT_ID/traces/TRACE_ID" |
| Registros do App Engine |
resource.type="gae_app" AND
resource.labels.module_id="MODULE_ID" AND
resource.labels.version_id="VERSION_ID" |
| Implantações recentes do App Engine |
resource.type="gae_app" AND
protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog" AND
protoPayload.serviceName="appengine.googleapis.com" |
Consultas para ativar e desativar APIs
| Nome da consulta/filtro |
Expressão |
| Registros de ativação da API Audit |
protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.EnableService" |
| Auditar registros de desativação da API |
protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.DisableService" |
Consultas do BigQuery
| Nome da consulta/filtro |
Expressão |
| Registros de auditoria do BigQuery |
resource.type=("bigquery_dataset" OR "bigquery_project") AND
logName:"cloudaudit.googleapis.com" |
| Registros de auditoria do BigQuery para um projeto |
resource.type="bigquery_project" AND
logName:"cloudaudit.googleapis.com" |
| Registros de auditoria do BigQuery para um conjunto de dados |
resource.type="bigquery_dataset" AND
logName:"cloudaudit.googleapis.com" |
| Registros de auditoria do BigQuery para o modelo do BI Engine |
resource.type="bigquery_biengine_model" AND
logName:"cloudaudit.googleapis.com" |
| Registros de auditoria do BigQuery para uma execução do serviço de transferência de dados. |
resource.type="bigquery_dts_run" AND
logName:"cloudaudit.googleapis.com" |
| Registros de auditoria do BigQuery para uma configuração do serviço de transferência de dados. |
resource.type="bigquery_dts_config" AND
logName:"cloudaudit.googleapis.com" |
| Jobs do serviço de transferência de dados do BigQuery |
resource.type=("bigquery_project") AND
protoPayload.requestMetadata.callerSuppliedUserAgent=
"BigQuery Data Transfer Service" AND
protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR
"google.cloud.bigquery.v2.JobService.Query") |
| Registros de execução de transferência do BigQuery |
resource.type="bigquery_dts_config" AND
labels.run_id="RUN_ID" AND
resource.labels.config_id="CONFIG_ID" |
| Atualizações do conjunto de dados do BigQuery |
resource.type="bigquery_dataset" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName=
"google.cloud.bigquery.v2.DatasetService.UpdateDataset" |
| Jobs do BigQuery concluídos |
resource.type="bigquery_project" AND
log_id("cloudaudit.googleapis.com/data_access") AND
protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob"
OR "google.cloud.bigquery.v2.JobService.Query") |
| Consultas grandes do BigQuery |
resource.type="bigquery_project" AND
protoPayload.metadata.jobChange.job.jobStats.queryStats.totalBilledBytes
> 1073741824 |
| Cota do BigQuery excedida |
resource.type=("bigquery_dataset" OR "bigquery_project")
AND
protoPayload.status.code=8 AND
severity>=WARNING |
| Consulta do BigQuery iniciada |
resource.type="bigquery_project" AND
protoPayload.metadata.jobInsertion.reason:* |
| Jobs simultâneos de carregamento/extração do BigQuery |
resource.type="bigquery_resource" AND
protoPayload.methodName="jobservice.insert" AND
protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query:
"extract" |
| Registros de auditoria do BigQuery para a política de acesso a linhas |
protoPayload.methodName="jobservice.insert" AND
protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query:"ROW ACCESS POLICY" |
Consultas do Dataflow
| Nome da consulta/filtro |
Expressão |
| Erros e avisos nos workers do Dataflow |
resource.type="dataflow_step" AND
log_id("dataflow.googleapis.com/worker") AND
severity>=WARNING |
Consultas do Dataproc
| Nome da consulta/filtro |
Expressão |
| Registros do Dataproc Apache Hadoop |
resource.type="cloud_dataproc_cluster" AND
jsonPayload.class:"org.apache.hadoop.mapreduce" |
Cloud Deployment Manager
| Nome da consulta/filtro |
Expressão |
| Erros do Deployment Manager |
resource.type="deployment" AND
severity>=ERROR |
Consultas do Cloud Run functions
| Nome da consulta/filtro |
Expressão |
| Erros do Cloud Functions |
resource.type="cloud_function" AND
log_id("cloudfunctions.googleapis.com/cloud-functions") AND
severity>=ERROR |
Consultas do Cloud Monitoring
| Nome da consulta/filtro |
Expressão |
|---|
Mostrar todos os erros de canal de notificação
|
resource.type="stackdriver_notification_channel" AND
severity>=ERROR |
Mostrar erros de canal de notificação
devido a limitação |
resource.type="stackdriver_notification_channel" AND
severity>=ERROR AND
jsonPayload.summary="Notification delivery throttled." |
Mostrar registros gravados pelo recurso
de tempo de atividade |
resource.type="uptime_url" |
Mostrar solicitações recebidas do serviço de verificação de tempo de atividade
|
"GoogleStackdriverMonitoring-UptimeChecks" |
Consultas do Cloud Run
| Nome da consulta/filtro |
Expressão |
| Registros do Cloud Run para um job específico |
resource.type="cloud_run_job" AND
resource.labels.service_name="JOB_NAME"
|
| Registros do Cloud Run para uma revisão e um serviço específicos |
resource.type="cloud_run_revision" AND
resource.labels.service_name="SERVICE_NAME" |
Consultas do Cloud Source Repositories
| Nome da consulta/filtro |
Expressão |
| Registros do Cloud Source Repositories |
resource.type="csr_repository" AND
resource.labels.name="REPOSITORY_NAME" |
Consultas do Spanner
| Nome da consulta/filtro |
Expressão |
| Registros do Cloud Spanner para uma instância de spanner específica |
resource.type="spanner_instance" AND
resource.labels.instance_id="SPANNER_INSTANCE" |
Consultas do Cloud SQL
| Nome da consulta/filtro |
Expressão |
| Registros de auditoria do Cloud SQL |
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudaudit.googleapis.com/activity") |
| Registros de erro do Cloud SQL MySQL |
resource.type="cloudsql_database" AND
log_id("cloudsql.googleapis.com/mysql.err") |
| Bancos de dados baseados em Cloud SQL MySQL |
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/mysql") |
| Bancos de dados baseados em Postgres do Cloud SQL |
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/postgres.log") |
| Registros de erro do Cloud SQL SQL Server |
resource.type="cloudsql_database" AND
log_id("cloudsql.googleapis.com/sqlserver.err") |
| Bancos de dados baseados no Cloud SQL SQL Server |
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/sqlagent.out") |
Consultas do Cloud Storage
| Nome da consulta/filtro |
Expressão |
| Registros de intervalos do GCS |
resource.type="gcs_bucket" AND
resource.labels.bucket_name="BUCKET_NAME" |
| Registros de auditoria de intervalos do GCS |
resource.type="gcs_bucket" AND
logName:"cloudaudit.googleapis.com" |
| Registros de criação de intervalos do GCS |
resource.type="gcs_bucket" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.method_name="storage.buckets.create" |
| Registros de exclusão de intervalos do GCS |
resource.type="gcs_bucket" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.method_name="storage.buckets.delete" |
Consultas do Cloud Tasks
| Nome da consulta/filtro |
Expressão |
| Registros de consulta do Cloud Tasks |
resource.type="cloud_tasks_queue" AND
resource.labels.queue_id="QUEUE_ID" |
Consultas do Compute Engine
| Nome da consulta/filtro |
Expressão |
| Registros de atividade de administração do Compute Engine |
resource.type="gce_instance" AND
log_id("cloudaudit.googleapis.com/activity") |
| Exclusão da regra de firewall do Compute Engine |
resource.type="gce_firewall_rule" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"firewalls.delete" |
| Syslogs da VM do Compute Engine |
resource.type="gce_instance" AND
log_id("syslog") |
| Authlogs de VMs do Compute Engine |
resource.type="gce_instance" AND
log_id("authlog") |
| Erro de host do Compute Engine |
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:"compute.instances.hostError"
OR
operation.producer:"compute.instances.hostError")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO
|
| Alerta de memória do host do Compute Engine |
resource.type="gce_instance" AND
protoPayload.serviceName="compute.googleapis.com" AND
(jsonPayload.methodName:"compute.instances.host_event_notify"
OR
operation.producer:"compute.instances.host_event_notify") AND
log_id("cloudaudit.googleapis.com/host_event_notify") AND
resource.labels.instance_id="INSTANCE_ID" AND
severity=CRITICAL
|
| Host do Compute Engine migrado |
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:
"compute.instances.migrateOnHostMaintenance"
OR
operation.producer:
"compute.instances.migrateOnHostMaintenance")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO |
| VM do Compute Engine encerrada/interrompida |
resource.type="gce_instance"
protoPayload.methodName=~"compute\.instances\.(guestTerminate|preempted)"
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID" |
| A VM do Compute Engine foi encerrada devido a uma falha na criação do disco de trabalho |
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName="compute.instances.scratchDiskCreationFailed"
OR
operation.producer:
"compute.instances.scratchDiskCreationFailed)
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO |
| Instância de VM do Compute Engine criada |
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.insert"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.request.name="INSTANCE_NAME" |
| Instância de VM do Compute Engine excluída com nome |
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.delete"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.resourceName:"INSTANCE_NAME" |
| Instância de VM do Compute Engine excluída com ID |
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.delete"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.instance_id="INSTANCE_ID" |
| A instância de VM do Compute Engine foi reiniciada |
resource.type="gce_instance"
protoPayload.methodName=~"compute\.instances\.(
stop|reset|automaticRestart|guestTerminate|
instanceManagerHaltForRestart)"
(log_id("cloudaudit.googleapis.com/activity")
OR log_id("cloudaudit.googleapis.com/system_event"))
resource.labels.instance_id="INSTANCE_ID" |
| Falha na integridade de inicialização da VM protegida do Compute Engine |
resource.type="gce_instance"
log_id("compute.googleapis.com/shielded_vm_integrity")
jsonPayload.earlyBootReportEvent.policyEvaluationPassed="false"
resource.labels.instance_id="INSTANCE_ID" |
| Instância de VM do Compute Engine interrompida pelo SO convidado |
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:"compute.instances.guestTerminate" OR
operation.producer:"compute.instances.guestTerminate")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO |
| O arquivo de inicialização da VM protegida do Compute Engine foi bloqueado |
resource.type="gce_instance"
log_id("serialconsole.googleapis.com/serial_port_1_output")
textPayload:("Security Violation")
resource.labels.instance_id="INSTANCE_ID" |
| Disco permanente criado |
resource.type="gce_disk" AND
protoPayload.methodName:"compute.disks.insert" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.resourceName: "PERSISTENT_DISK_NAME" |
| Nós adicionados em nós de locatário individual |
resource.type="gce_node_group"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName=~("compute.nodeGroups.addNodes"
OR "compute.nodeGroups.insert")
resource.labels.node_group_id="NODE_GROUP_ID"
severity="INFO" |
| Eventos de escalonamento automático em nós de locatário individual |
resource.type="gce_node_group"
log_id("cloudaudit.googleapis.com/system_event")
protoPayload.methodName=~("compute.nodeGroups.deleteNodes"
OR "compute.nodeGroups.addNodes")
resource.labels.node_group_id="NODE_GROUP_ID" |
| Snapshot manual criado |
resource.type="gce_snapshot"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.snapshots.insert"
protoPayload.resourceName:"SNAPSHOT_NAME" |
| Snapshot programado tirado |
resource.type="gce_disk"
log_id("cloudaudit.googleapis.com/system_event")
protoPayload.methodName="ScheduledSnapshots"
protoPayload.response.operationType="createSnapshot"
protoPayload.response.targetLink="PERSISTENT_DISK_NAME" |
| Programação de snapshot criada |
resource.type="gce_resource_policy"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.resourcePolicies.insert"
protoPayload.request.name="SCHEDULE_NAME" |
| Programação de snapshot anexada |
resource.type="gce_disk"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.disks.addResourcePolicies"
protoPayload.request.resourcePolicys:"SCHEDULE_NAME"
protoPayload.resourceName:"PERSISTENT_DISK_NAME" |
| Cota excedida |
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.insert"
protoPayload.status.message:"QUOTA_EXCEEDED"
severity=ERROR |
| Consultar instâncias não íntegras em um grupo de instâncias |
resource.type="gce_instance_group"
resource.labels.instance_group_name="INSTANCE_GROUP_NAME"
jsonPayload.healthCheckProbeResult.healthState="UNHEALTHY" |
| Consultar membros do grupo de instâncias em um período no formato de hora UTC |
resource.type="gce_instance_group_manager"
resource.labels.instance_group_manager_name="INSTANCE_GROUP_NAME"
jsonPayload.@type=
"type.googleapis.com/compute.InstanceGroupManagerEvent"
jsonPayload.instanceHealthStateChange.detailedHealthState="HEALTHY"
timestamp >= START_TIME timestamp <= END_TIME |
| Instâncias adicionadas ao grupo de instâncias |
resource.type="gce_instance_group"
protoPayload.methodName:"compute.instanceGroups.addInstances"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.instance_group_name="INSTANCE_GROUP_NAME" |
| Instâncias removidas do grupo de instâncias |
resource.type="gce_instance_group"
protoPayload.methodName:"compute.instanceGroups.removeInstances"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.instance_group_name="INSTANCE_GROUP_NAME" |
| Modelo de instância definido ou atualizado |
resource.type="gce_instance_group_manager"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName=
"v1.compute.instanceGroupManagers.setInstanceTemplate"
resource.labels.instance_group_manager_name="INSTANCE_GROUP_MANAGER" |
| Regra de firewall excluída |
resource.type="gce_firewall_rule"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"firewalls.delete" |
| Registros do firewall |
resource.type="gce_subnetwork"
log_id("compute.googleapis.com/firewall")
jsonPayload.instance.vm_name="INSTANCE_NAME" |
Consultas do Google Cloud Observability
| Nome da consulta/filtro |
Expressão |
| Atividades de afundamento de registro |
resource.type="logging_sink" AND
log_id("cloudaudit.googleapis.com/activity") |
| Atividades de criação ou atualização de métricas baseadas em registros |
resource.type="metric" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:(UpdateLogMetric OR CreateLogMetric) |
| Verificações de URL de disponibilidade para um host |
resource.type="uptime_url" AND
resource.labels.host="URL" |
Consultas de gerenciamento de identidade e acesso
| Nome da consulta/filtro |
Expressão |
| Registros de criação de conta de serviço |
resource.type="service_account" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.iam.admin.v1.CreateServiceAccount" |
| Registros de chave de criação de conta de serviço |
resource.type="service_account" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.iam.admin.v1.CreateServiceAccountKey" |
| Configurar registros de política de controle de acesso |
resource.type="project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="SetIamPolicy" |
| O diretor externo concedeu acesso à organização |
resource.type="project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog" AND
protoPayload.request.@type:"IamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:* AND
NOT protoPayload.serviceData.policyDelta.bindingDeltas.member:"@DOMAIN_NAME.com" |
| Criação, modificação ou exclusão de recursos |
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:("create" OR "delete" OR "update") |
| Papel concedido ao principal |
log_id("cloudaudit.googleapis.com/activity") AND
resource.type="project" AND
protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND
protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.action="Add" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID" |
| Função removida da principal |
log_id("cloudaudit.googleapis.com/activity") AND
resource.type="project" AND
protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND
protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.action="Remove" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID" |
| Permissão atualizada em uma função personalizada |
log_id("cloudaudit.googleapis.com/activity") AND
resource.type="iam_role" AND
protoPayload.serviceName="iam.googleapis.com" AND
protoPayload.methodName:"UpdateRole" AND
resource.labels.role_name:"ROLE_ID" |
Consultas relacionadas ao Kubernetes
Para uma visão geral e exemplos de consultas de registro de auditoria de atividade do administrador, consulte as consultas fornecidas na
página de geração de registros de auditoria do GKE.
Consultas no nível do cluster
| Nome da consulta/filtro |
Expressão |
| Operações do cluster do Google Kubernetes Engine |
resource.type="gke_cluster" AND
log_id("cloudaudit.googleapis.com/activity") |
| Criação do cluster do Google Kubernetes Engine |
resource.type="gke_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.container.v1.ClusterManager.CreateCluster"
|
| Implantação do cluster do Kubernetes |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"deployments"
|
| Falha de autenticação do cluster do Kubernetes |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.authenticationInfo.principalEmail="system:anonymous"
|
Operações e eventos do cluster do Kubernetes em us-central1-b |
resource.type="k8s_cluster" AND
resource.labels.location="us-central1-b"
|
| Solicitações de pod do Kubernetes dos usuários |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"io.k8s.core.v1.pods" AND
protoPayload.authenticationInfo.principalEmail="USER_EMAIL"
|
| Eventos do Kubernetes |
resource.type="k8s_cluster" AND
log_id("events")
|
| Atualização dos endpoints do Kubernetes |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.request.kind="Endpoints"
|
| Registros do plano de controle do Kubernetes |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.serviceName="k8s.io"
|
| Registros do plano de controle do Kubernetes Engine |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.serviceName="container.googleapis.com"
|
| Exclusão de pods |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName=~"io\.k8s\.core\.v1\.pods\.(create|delete)"
|
| Registros de auditoria de pod do Kubernetes do plano de controle |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.resourceName="core/v1/namespaces/POD_NAMESPACE/pods/POD_NAME
|
| Remoção de pods do Kubernetes |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="io.k8s.core.v1.pods.eviction.create"
|
| Registros de auditoria do nó do Kubernetes no plano de controle |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"io.k8s.core.v1.nodes"
|
| Plano de controle de cluster do Kubernetes para a atividade do gerenciador de complementos |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.authenticationInfo.principalEmail="system:addon-manager"
|
Erros do plano de controle do Kubernetes (excluindo Conflict, que é normal) |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.status.message!="Conflict" AND
protoPayload.status.code!=0
|
| Eventos do controlador de entrada |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="loadbalancer-controller"
|
| Eventos do controlador de serviços (kube-controller-manager) |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="service-controller"
|
| Eventos de escalonamento automático de cluster |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="cluster-autoscaler"
|
Consultas no nível do pod
| Nome do filtro |
Expressão |
| Consulta em pods durante a criação |
resource.type="k8s_pod" AND
resource.labels.pod_name="POD_NAME" AND
log_id("events")
|
| O pod de consulta foi encerrado devido à pressão de recursos |
resource.type="k8s_pod" AND
log_id("events") AND
jsonPayload.reason="Evicted"
|
| Eventos do programador |
resource.type="k8s_pod" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="default-scheduler"
|
| Eventos do programador (preempções) |
resource.type="k8s_pod" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="default-scheduler" AND
jsonPayload.reason="Preempted"
|
Consultas no nível do nó
| Nome do filtro |
Expressão |
| Eventos de nó |
resource.type="k8s_node" AND
log_id("events")
|
| Visualizar os registros do Kube-proxy |
resource.type="k8s_node" AND
log_id("kube-proxy")
|
| Visualizar os registros do dockerd |
resource.type="k8s_node" AND
log_id("container-runtime")
|
| Visualizar os erros ou falhas do kubelet |
resource.type="k8s_node" AND
log_id("kubelet") AND
jsonPayload.MESSAGE:("error" OR "fail")
|
| Como analisar registros de nós para registros do sistema do GKE |
resource.type = "k8s_node"
logName:( "logs/container-runtime" OR
"logs/docker" OR
"logs/kube-container-runtime-monitor" OR
"logs/kube-logrotate" OR
"logs/kube-node-configuration" OR
"logs/kube-node-installation" OR
"logs/kubelet" OR
"logs/kubelet-monitor" OR
"logs/node-journal" OR
"logs/node-problem-detector")
|
Consultas de namespace
| Nome do filtro |
Expressão |
| Registros de contêiner e pod para registros do sistema do GKE |
resource.type = ("k8s_container" OR "k8s_pod")
resource.labels.namespace_name = (
"cnrm-system" OR
"config-management-system" OR
"gatekeeper-system" OR
"gke-connect" OR
"gke-system" OR
"istio-system" OR
"knative-serving" OR
"monitoring-system" OR
"kube-system")
|
Consultas em contêiner
| Nome do filtro |
Expressão |
| Registros de contêiner stdout de todos os pods e contêineres em um cluster |
resource.type="k8s_container" AND
log_id("stdout")
|
| Registros de erros de contêiner de todos os pods e contêineres em um cluster |
resource.type="k8s_container" AND
log_id("stderr") AND
severity=ERROR
|
| Registros de erros de contêiner de um pod com nome específico |
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
severity=ERROR
|
| Registros de erros de contêiner de um container e um pod específico |
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
resource.labels.container_name="server" AND
severity=ERROR
|
| Registros de erros de contêiner de um container e um namespace específico |
resource.type="k8s_container" AND
resource.labels.namespace_name="istio-system" AND
resource.labels.container_name="egressgateway" AND
severity=ERROR
|
| Registros de contêiner de um pod com um rótulo específico |
resource.type="k8s_container" AND
labels."k8s-pod/app"="loadgenerator" AND
severity=ERROR
|
| Registros de erro de contêiner para pods em execução em um nó específico |
resource.type="k8s_container" AND
labels."compute.googleapis.com/resource_name"=NODE_NAME AND
severity=ERROR
|
| Registros de contêiner de um pod com um rótulo gerado usando skaffold |
resource.type="k8s_container" AND
labels."k8s-pod/app"="loadgenerator" AND
labels."k8s-pod/skaffold_dev/run-id"=SKAFFOLD_RUN_ID
severity=ERROR
|
Registros de erro de contêiner para um pod específico que contém um POST no textPayload |
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
textPayload:"POST" AND
severity=ERROR
|
Registros de erro de contêiner para um pod específico que contém um GET no JSON estruturado |
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
jsonPayload."http.req.method"="GET" AND
severity=ERROR
|
| Registros de erros de contêiner no namespace kube-system |
resource.type="k8s_container" AND
resource.labels.namespace_name="kube-system" AND
severity=ERROR
|
| Erros de contêiner no registro de insightsdo contêiner |
resource.type="k8s_container" AND
log_id("clouderrorreporting.googleapis.com/insights")
|
| Registros de contêiner do Kubernetes |
resource.type="k8s_container" AND
resource.labels.container_name="CONTAINER_NAME"
|
Consultas do plano de controle
Observação: os registros do plano de controle do GKE precisam estar ativados.
| Nome do filtro |
Expressão |
| Registros do servidor da API Kubernetes |
resource.type="k8s_control_plane_component"
resource.labels.component_name="apiserver"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
|
| Registros do programador do Kubernetes |
resource.type="k8s_control_plane_component"
resource.labels.component_name="scheduler"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
|
| Registros do Controller Manager do Kubernetes |
resource.type="k8s_control_plane_component"
resource.labels.component_name="controller-manager"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
|
Consultas de carga de trabalho da TPU
Observação: a geração de registros do sistema e de cargas de trabalho do GKE precisa estar ativada.
| Nome do filtro |
Expressão |
| Registros de contêiner stdout em todos os nós da TPU com o mesmo prefixo
|
resource.type="k8s_container" AND
labels."compute.googleapis.com/resource_name"=~"TPU_NODE_PREFIX.*" AND
log_id("stdout")
|
| Registros de erros de contêiner em todos os nós de TPU com o mesmo prefixo
|
resource.type="k8s_container" AND
labels."compute.googleapis.com/resource_name"=~"TPU_NODE_PREFIX.*" AND
log_id("stderr") AND
severity=ERROR
|
| Registros de contêiner stdout do mesmo job do GKE
|
resource.type="k8s_container" AND
labels."k8s-pod/batch.kubernetes.io/job-name" = "JOB_NAME" AND
log_id("stdout")
|
| Registros de erros de contêiner do mesmo job do GKE
|
resource.type="k8s_container" AND
labels."k8s-pod/batch.kubernetes.io/job-name"="JOB_NAME" AND
log_id("stderr") AND
severity=ERROR
|
| Registros de contêiner stdout do mesmo JobSet do GKE
|
resource.type="k8s_container" AND
labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="JOBSET_NAME" AND
log_id("stdout")
|
| Registros de erros de contêiner do mesmo JobSet do GKE
|
resource.type="k8s_container" AND
labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="JOBSET_NAME" AND
log_id("stderr") AND
severity=ERROR
|
Consultas de aplicativos de terceiros
As consultas a seguir usam os IDs de registro padrão para registros coletados pelo agente do Logging legada. Se você estiver
coletando registros usando o Agente de operações,
os nomes dos registros podem ser configurados de maneira diferente. Para mais informações
sobre o agente de operações e os registros de aplicativos, consulte
Coletar registros de
aplicativos de terceiros.
| Nome da consulta/filtro |
Expressão |
| Registros do Apache |
resource.type="gce_instance" AND
(logName:"/apache-access" OR logName:"/apache-error") |
| Registros do Cassandra |
resource.type="gce_instance" AND
log_id("cassandra") |
| Registros do Chef |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/chef-" |
| Registros do gitlab |
resource.type="gce_instance"
logName:"projects/PROJECT_ID/logs/gitlab-" |
| Registros do Jenkins |
resource.type="gce_instance" AND
log_id("jenkins") |
| Registros do Jetty |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/jetty-" |
| Registros do Joomla |
resource.type="gce_instance" AND
log_id("joomla") |
| Syslogs do Linux |
resource.type="gce_instance" AND
log_id("syslog") |
| Registros do Magneto |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/magneto-" |
| Registros do Mediawiki |
resource.type="gce_instance" AND
log_id("mediawiki") |
| Registros do memcached |
resource.type="gce_instance" AND
log_id("memcached") |
| Registros do MongoDB |
resource.type="gce_instance" AND
log_id("mongodb") |
| Registros do MySQL |
resource.type="gce_instance" AND
log_id("mysql") |
| Registros do Nginx |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/nginx-" |
| Registros do PostgreSQL |
resource.type="gce_instance" AND
log_id("postgresql") |
| Registros do Puppet |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/puppet-" |
| Registros do RabbitMQ |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/rabbitmq-" |
| Registros do Redmine |
resource.type="gce_instance" AND
log_id("redmine") |
| Registros do Salt |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/salt-" |
| Consultas lentas do MySQL |
resource.type="gce_instance" AND
log_id("mysql-slow") |
| Registros do Solr |
resource.type="gce_instance" AND
log_id("solr") |
| Registros do SugarCRM |
resource.type="gce_instance" AND
log_id("sugarcrm") |
| Registros do Tomcat |
resource.type="gce_instance" AND
log_id("tomcat") |
| Registros do Zookeeper |
resource.type="gce_instance" AND
log_id("zookeeper") |
Consultas de rede
| Nome da consulta/filtro |
Expressão |
| Firewall: todos os registros |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") |
| Registros de firewall para um determinado país |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
jsonPayload.remote_location.country=COUNTRY_ISO_ALPHA_3 |
| Registros de firewall de uma VM |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
jsonPayload.instance.vm_name="INSTANCE_NAME" |
| Registros de sub-rede de firewall |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
resource.labels.subnetwork_name="SUBNET_NAME" |
| Registros de tráfego de sub-rede do Compute Engine para uma sub-rede |
resource.type="gce_subnetwork" AND
ip_in_net(jsonPayload.connection.dest_ip, "SUBNET_IP") |
| Registros de fluxo de VPC |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") |
| Registros de fluxo VPC para porta e protocolo específicos |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
jsonPayload.connection.src_port="PORT_ID" AND
jsonPayload.connection.protocol="PROTOCOL" |
| Registros de fluxo de VPC para sub-rede específica |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
resource.labels.subnetwork_name"=SUBNET_NAME" |
| Registros de fluxo de VPC para prefixo de sub-rede específico |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
ip_in_net(jsonPayload.connection.dest_ip,SUBNET_IP) |
| Registros de fluxo de VPC para uma VM específica |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
jsonPayload.src_instance.vm_name="VM_NAME" |
| Registros de gateway de VPN |
resource.type="vpn_gateway" AND
resource.labels.gateway_id="GATEWAY_ID" |
| Erros do Balanceador de carga HTTP 5xx |
resource.type="http_load_balancer" AND
httpRequest.status>=500 |
| Solicitações do balanceador de carga HTTP para o PHPMyAdmin |
resource.type="http_load_balancer" AND
httpRequest.request_url:"phpmyadmin" |
Consultas de segurança
| Nome da consulta/filtro |
Expressão |
| Registros de auditoria: todos |
logName:"cloudaudit.googleapis.com" |
| Registros de auditoria: transparência de acesso (AXT) |
log_id("cloudaudit.googleapis.com/access_transparency") |
| Registros de auditoria: atividade do administrador |
log_id("cloudaudit.googleapis.com/activity") |
| Registros de auditoria: acesso a dados |
log_id("cloudaudit.googleapis.com/data_access") |
| Registros de auditoria: evento do sistema |
log_id("cloudaudit.googleapis.com/system_event") |
Solução de problemas
Para instruções sobre como resolver problemas comuns ao usar a
Análise de registros, consulte
Como usar a Análise de registros: solução de problemas.
A seguir
Para mais informações sobre a sintaxe da consulta, que pode ser usada para personalizar essas consultas, consulte
Linguagem de consulta do Logging.
Para mais informações sobre como fazer consultas no console do Google Cloud , consulte
Criar consultas usando a linguagem de consulta do Logging.
