Este documento fornece-lhe consultas sugeridas para facilitar a localização de registos importantes através do Explorador de registos na Google Cloud consola. As consultas apresentadas estão escritas na linguagem de consulta de registo e podem ser usadas no Explorador de registos, na API Logging ou na interface de linha de comandos.
O Explorador de registos usa expressões booleanas para especificar um subconjunto de todas as entradas de registo no seu projeto. Pode usar estas consultas para escolher entradas de registo de registos ou serviços de registo específicos, ou que satisfaçam condições em metadados ou campos definidos pelo utilizador.
Antes de começar
Certifique-se de que tem as autorizações ou as funções de gestão de identidade e de acesso corretas para criar consultas com o Explorador de registos. Para ver detalhes sobre as autorizações de IAM necessárias, consulte o artigo Autorizações para a Google Cloud consola.
Começar
-
Na Google Cloud consola, aceda à página Explorador de registos:
Aceda ao Explorador de registos
Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cuja legenda é Registo.
Selecione o Google Cloud projeto ou outro Google Cloud recurso adequado para o qual quer ver registos.
Use as consultas de exemplo
Para aplicar uma consulta das tabelas seguintes, clique no ícone content_copy Copiar conteúdo para a expressão e, de seguida, cole a expressão copiada no campo do editor de consultas do Logs Explorer.
A captura de ecrã seguinte ilustra o painel de consulta:
Se não vir o campo do editor de consultas, ative a opção Mostrar consulta.
Depois de rever a expressão da consulta, clique em Executar consulta. Os registos que correspondem à sua consulta são apresentados em Resultados da consulta.
Algumas das consultas listadas mais adiante nesta página incluem variáveis que deve substituir por valores válidos. Por exemplo, quando uma consulta inclui logName, o PROJECT_ID que fornecer tem de se referir aoGoogle Cloud projeto selecionado; caso contrário, a consulta não funciona.
Tenha em conta o seguinte:
Se tiver uma consulta com uma indicação de tempo, o seletor de intervalo de tempo está desativado e a consulta usa a expressão de indicação de tempo como restrição de intervalo de tempo. Se uma consulta não usar uma expressão de data/hora, a consulta usa o seletor de intervalo de tempo como restrição de intervalo de tempo.
O comprimento de uma consulta não pode exceder 20 000 carateres.
A linguagem de consulta de registo não é sensível a maiúsculas e minúsculas, com exceção das expressões regulares.
Pode usar a função
log_idpara consultas com uma expressãolog_name. Por exemplo, a expressãolog_name="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access"é igual alog_id("cloudaudit.googleapis.com/data_access"). Para mais informações sobre a funçãolog_id, consulte Linguagem de consulta de registo: funções.
Para obter instruções sobre como consultar na Google Cloud consola, consulte Crie consultas no Explorador de registos.
As secções seguintes agrupam as consultas por Google Cloud serviços.
Consultas do App Engine
| Nome da consulta/filtro | Expressão |
|---|---|
| Registos do App Engine da passagem de ano (em tempo UTC) | resource.type="gae_app" AND severity>=ERROR AND timestamp>="2018-12-31T00:00:00Z" AND timestamp<="2019-01-01T00:00:00Z" |
| Registos de pedidos do App Engine com erros do servidor | resource.type="gae_app" AND log_id("appengine.googleapis.com/request_log") AND httpRequest.status>=500 |
| Registos de erros HTTP com amostragem | resource.type="gae_app" AND protoPayload.status >= 400 AND sample(insertId, 0.1) |
| Pesquise o ID de rastreio do App Engine | resource.type="gae_app" AND trace="projects/PROJECT_ID/traces/TRACE_ID" |
| Registos do App Engine | resource.type="gae_app" AND resource.labels.module_id="MODULE_ID" AND resource.labels.version_id="VERSION_ID" |
| Implementações recentes do App Engine | resource.type="gae_app" AND protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog" AND protoPayload.serviceName="appengine.googleapis.com" |
Consultas de ativação e desativação da API
| Nome da consulta/filtro | Expressão |
|---|---|
| Registos de ativação da API de auditoria | protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.EnableService" |
| Registos de desativação da API Audit | protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.DisableService" |
Consultas do BigQuery
| Nome da consulta/filtro | Expressão |
|---|---|
| Registos de auditoria do BigQuery | resource.type=("bigquery_dataset" OR "bigquery_project") AND logName:"cloudaudit.googleapis.com" |
| Registos de auditoria do BigQuery para um projeto | resource.type="bigquery_project" AND logName:"cloudaudit.googleapis.com" |
| Registos de auditoria do BigQuery para um conjunto de dados | resource.type="bigquery_dataset" AND logName:"cloudaudit.googleapis.com" |
| Registos de auditoria do BigQuery para o modelo do BI Engine | resource.type="bigquery_biengine_model" AND logName:"cloudaudit.googleapis.com" |
| Registos de auditoria do BigQuery para uma execução do Serviço de transferência de dados. | resource.type="bigquery_dts_run" AND logName:"cloudaudit.googleapis.com" |
| Registos de auditoria do BigQuery para uma configuração do Serviço de transferência de dados. | resource.type="bigquery_dts_config" AND logName:"cloudaudit.googleapis.com" |
| Tarefas do Serviço de transferência de dados do BigQuery | resource.type=("bigquery_project") AND protoPayload.requestMetadata.callerSuppliedUserAgent= "BigQuery Data Transfer Service" AND protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR "google.cloud.bigquery.v2.JobService.Query") |
| Registos de execução de transferências do BigQuery | resource.type="bigquery_dts_config" AND labels.run_id="RUN_ID" AND resource.labels.config_id="CONFIG_ID" |
| Atualizações do conjunto de dados do BigQuery | resource.type="bigquery_dataset" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName= "google.cloud.bigquery.v2.DatasetService.UpdateDataset" |
| Tarefas do BigQuery concluídas | resource.type="bigquery_project" AND log_id("cloudaudit.googleapis.com/data_access") AND protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR "google.cloud.bigquery.v2.JobService.Query") |
| Consultas grandes do BigQuery | resource.type="bigquery_project" AND protoPayload.metadata.jobChange.job.jobStats.queryStats.totalBilledBytes > 1073741824 |
| Quota do BigQuery excedida | resource.type=("bigquery_dataset" OR "bigquery_project") AND protoPayload.status.code=8 AND severity>=WARNING |
| Consulta do BigQuery iniciada | resource.type="bigquery_project" AND protoPayload.metadata.jobInsertion.reason:* |
| Tarefas de carregamento/extração simultâneas do BigQuery | resource.type="bigquery_resource" AND protoPayload.methodName="jobservice.insert" AND protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query: "extract" |
| Registos de auditoria do BigQuery para a política de acesso ao nível da linha | protoPayload.methodName="jobservice.insert" AND protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query:"ROW ACCESS POLICY" |
Consultas do Dataflow
| Nome da consulta/filtro | Expressão |
|---|---|
| Erros e avisos nos trabalhadores do Dataflow | resource.type="dataflow_step" AND log_id("dataflow.googleapis.com/worker") AND severity>=WARNING |
Consultas do Dataproc
| Nome da consulta/filtro | Expressão |
|---|---|
| Registos do Apache Hadoop do Dataproc | resource.type="cloud_dataproc_cluster" AND jsonPayload.class:"org.apache.hadoop.mapreduce" |
Cloud Deployment Manager
| Nome da consulta/filtro | Expressão |
|---|---|
| Erros do Deployment Manager | resource.type="deployment" AND severity>=ERROR |
Consultas de funções do Cloud Run
| Nome da consulta/filtro | Expressão |
|---|---|
| Erros de funções do Cloud | resource.type="cloud_function" AND log_id("cloudfunctions.googleapis.com/cloud-functions") AND severity>=ERROR |
Consultas do Cloud Monitoring
| Nome da consulta/filtro | Expressão |
|---|---|
| Mostrar todos os erros do canal de notificações |
resource.type="stackdriver_notification_channel" AND severity>=ERROR |
| Mostrar erros do canal de notificações devido à limitação |
resource.type="stackdriver_notification_channel" AND severity>=ERROR AND jsonPayload.summary="Notification delivery throttled." |
| Mostrar registos escritos pelo recurso de tempo de atividade |
resource.type="uptime_url" |
| Mostrar pedidos recebidos do serviço de verificação de tempo de atividade |
"GoogleStackdriverMonitoring-UptimeChecks" |
Consultas do Cloud Run
| Nome da consulta/filtro | Expressão |
|---|---|
| Registos do Cloud Run para uma tarefa específica | resource.type="cloud_run_job" AND resource.labels.service_name="JOB_NAME" |
| Registos do Cloud Run para uma revisão e um serviço específicos | resource.type="cloud_run_revision" AND resource.labels.service_name="SERVICE_NAME" |
Consultas dos Cloud Source Repositories
| Nome da consulta/filtro | Expressão |
|---|---|
| Registos do Cloud Source Repository | resource.type="csr_repository" AND resource.labels.name="REPOSITORY_NAME" |
Consultas do Spanner
| Nome da consulta/filtro | Expressão |
|---|---|
| Registos do Cloud Spanner para uma instância do Spanner específica | resource.type="spanner_instance" AND resource.labels.instance_id="SPANNER_INSTANCE" |
Consultas do Cloud SQL
| Nome da consulta/filtro | Expressão |
|---|---|
| Registos de auditoria do Cloud SQL | resource.type="cloudsql_database" AND resource.labels.database_id="DATABASE_ID" AND log_id("cloudaudit.googleapis.com/activity") |
| Registos de erros do Cloud SQL MySQL | resource.type="cloudsql_database" AND log_id("cloudsql.googleapis.com/mysql.err") |
| Bases de dados baseadas no Cloud SQL MySQL | resource.type="cloudsql_database" AND resource.labels.database_id="DATABASE_ID" AND log_id("cloudsql.googleapis.com/mysql") |
| Bases de dados baseadas no Cloud SQL Postgres | resource.type="cloudsql_database" AND resource.labels.database_id="DATABASE_ID" AND log_id("cloudsql.googleapis.com/postgres.log") |
| Registos de erros do SQL Server do Cloud SQL | resource.type="cloudsql_database" AND log_id("cloudsql.googleapis.com/sqlserver.err") |
| Bases de dados baseadas no SQL Server do Cloud SQL | resource.type="cloudsql_database" AND resource.labels.database_id="DATABASE_ID" AND log_id("cloudsql.googleapis.com/sqlagent.out") |
Consultas do Cloud Storage
| Nome da consulta/filtro | Expressão |
|---|---|
| Registos do contentor do GCS | resource.type="gcs_bucket" AND resource.labels.bucket_name="BUCKET_NAME" |
| Registos de auditoria de contentores do GCS | resource.type="gcs_bucket" AND logName:"cloudaudit.googleapis.com" |
| Registos de criação de contentores do GCS | resource.type="gcs_bucket" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.method_name="storage.buckets.create" |
| Registos de eliminação de contentores do GCS | resource.type="gcs_bucket" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.method_name="storage.buckets.delete" |
Consultas do Cloud Tasks
| Nome da consulta/filtro | Expressão |
|---|---|
| Registos da fila do Cloud Tasks | resource.type="cloud_tasks_queue" AND resource.labels.queue_id="QUEUE_ID" |
Consultas do Compute Engine
| Nome da consulta/filtro | Expressão |
|---|---|
| Registos de atividade de administrador do Compute Engine | resource.type="gce_instance" AND log_id("cloudaudit.googleapis.com/activity") |
| Eliminação de regras de firewall do Compute Engine | resource.type="gce_firewall_rule" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"firewalls.delete" |
| Syslogs de VMs do Compute Engine | resource.type="gce_instance" AND log_id("syslog") |
| Authlogs de VMs do Compute Engine | resource.type="gce_instance" AND log_id("authlog") |
| Erro do anfitrião do Compute Engine | resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName:"compute.instances.hostError" OR operation.producer:"compute.instances.hostError") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="INSTANCE_ID" severity=INFO |
| Alerta de memória do anfitrião do Compute Engine | resource.type="gce_instance" AND protoPayload.serviceName="compute.googleapis.com" AND (jsonPayload.methodName:"compute.instances.host_event_notify" OR operation.producer:"compute.instances.host_event_notify") AND log_id("cloudaudit.googleapis.com/host_event_notify") AND resource.labels.instance_id="INSTANCE_ID" AND severity=CRITICAL |
| Anfitrião do Compute Engine migrado | resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName: "compute.instances.migrateOnHostMaintenance" OR operation.producer: "compute.instances.migrateOnHostMaintenance") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="INSTANCE_ID" severity=INFO |
| VM do Compute Engine terminada/preemptiva | resource.type="gce_instance" protoPayload.methodName=~"compute\.instances\.(guestTerminate|preempted)" log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="INSTANCE_ID" |
| VM do Compute Engine terminada devido a falha na criação do disco temporário | resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName="compute.instances.scratchDiskCreationFailed" OR operation.producer: "compute.instances.scratchDiskCreationFailed) log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="INSTANCE_ID" severity=INFO |
| Instância de VM do Compute Engine criada | resource.type="gce_instance" protoPayload.methodName:"compute.instances.insert" log_id("cloudaudit.googleapis.com/activity") protoPayload.request.name="INSTANCE_NAME" |
| Instância de VM do Compute Engine eliminada com o nome | resource.type="gce_instance" protoPayload.methodName:"compute.instances.delete" log_id("cloudaudit.googleapis.com/activity") protoPayload.resourceName:"INSTANCE_NAME" |
| Instância de VM do Compute Engine eliminada com o ID | resource.type="gce_instance" protoPayload.methodName:"compute.instances.delete" log_id("cloudaudit.googleapis.com/activity") resource.labels.instance_id="INSTANCE_ID" |
| A instância de VM do Compute Engine foi reiniciada | resource.type="gce_instance" protoPayload.methodName=~"compute\.instances\.( stop|reset|automaticRestart|guestTerminate| instanceManagerHaltForRestart)" (log_id("cloudaudit.googleapis.com/activity") OR log_id("cloudaudit.googleapis.com/system_event")) resource.labels.instance_id="INSTANCE_ID" |
| Falha na integridade do arranque da VM protegida do Compute Engine | resource.type="gce_instance" log_id("compute.googleapis.com/shielded_vm_integrity") jsonPayload.earlyBootReportEvent.policyEvaluationPassed="false" resource.labels.instance_id="INSTANCE_ID" |
| Instância de VM do Compute Engine parada pelo SO convidado | resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName:"compute.instances.guestTerminate" OR operation.producer:"compute.instances.guestTerminate") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="INSTANCE_ID" severity=INFO |
| O ficheiro de arranque da VM protegida do Compute Engine foi bloqueado | resource.type="gce_instance" log_id("serialconsole.googleapis.com/serial_port_1_output") textPayload:("Security Violation") resource.labels.instance_id="INSTANCE_ID" |
| Persistent Disk criado | resource.type="gce_disk" AND protoPayload.methodName:"compute.disks.insert" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.resourceName: "PERSISTENT_DISK_NAME" |
| Nós adicionados no nó de inquilino único | resource.type="gce_node_group" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName=~("compute.nodeGroups.addNodes" OR "compute.nodeGroups.insert") resource.labels.node_group_id="NODE_GROUP_ID" severity="INFO" |
| Aumente ou diminua automaticamente a escala de eventos no nó de inquilino único | resource.type="gce_node_group" log_id("cloudaudit.googleapis.com/system_event") protoPayload.methodName=~("compute.nodeGroups.deleteNodes" OR "compute.nodeGroups.addNodes") resource.labels.node_group_id="NODE_GROUP_ID" |
| Instantâneo manual tirado | resource.type="gce_snapshot" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.snapshots.insert" protoPayload.resourceName:"SNAPSHOT_NAME" |
| Instantâneo agendado tirado | resource.type="gce_disk" log_id("cloudaudit.googleapis.com/system_event") protoPayload.methodName="ScheduledSnapshots" protoPayload.response.operationType="createSnapshot" protoPayload.response.targetLink="PERSISTENT_DISK_NAME" |
| Agendamento de instantâneos criado | resource.type="gce_resource_policy" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.resourcePolicies.insert" protoPayload.request.name="SCHEDULE_NAME" |
| Programação de instantâneos anexada | resource.type="gce_disk" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.disks.addResourcePolicies" protoPayload.request.resourcePolicys:"SCHEDULE_NAME" protoPayload.resourceName:"PERSISTENT_DISK_NAME" |
| Quota excedida | resource.type="gce_instance" protoPayload.methodName:"compute.instances.insert" protoPayload.status.message:"QUOTA_EXCEEDED" severity=ERROR |
| Consultar instâncias não íntegras no grupo de instâncias | resource.type="gce_instance_group" resource.labels.instance_group_name="INSTANCE_GROUP_NAME" jsonPayload.healthCheckProbeResult.healthState="UNHEALTHY" |
| Consultar membros do grupo de instâncias num período em formato de hora UTC |
resource.type="gce_instance_group_manager" resource.labels.instance_group_manager_name="INSTANCE_GROUP_NAME" jsonPayload.@type= "type.googleapis.com/compute.InstanceGroupManagerEvent" jsonPayload.instanceHealthStateChange.detailedHealthState="HEALTHY" timestamp >= START_TIME timestamp <= END_TIME |
| Instâncias adicionadas ao grupo de instâncias | resource.type="gce_instance_group" protoPayload.methodName:"compute.instanceGroups.addInstances" log_id("cloudaudit.googleapis.com/activity") resource.labels.instance_group_name="INSTANCE_GROUP_NAME" |
| Instâncias removidas do grupo de instâncias | resource.type="gce_instance_group" protoPayload.methodName:"compute.instanceGroups.removeInstances" log_id("cloudaudit.googleapis.com/activity") resource.labels.instance_group_name="INSTANCE_GROUP_NAME" |
| O modelo de instância foi definido ou atualizado | resource.type="gce_instance_group_manager" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName= "v1.compute.instanceGroupManagers.setInstanceTemplate" resource.labels.instance_group_manager_name="INSTANCE_GROUP_MANAGER" |
| Regra de firewall eliminada | resource.type="gce_firewall_rule" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"firewalls.delete" |
| Registos da firewall | resource.type="gce_subnetwork" log_id("compute.googleapis.com/firewall") jsonPayload.instance.vm_name="INSTANCE_NAME" |
Consultas da observabilidade do Google Cloud
| Nome da consulta/filtro | Expressão |
|---|---|
| Atividades do sink de registo | resource.type="logging_sink" AND log_id("cloudaudit.googleapis.com/activity") |
| Atividades de criação ou atualização de métricas baseadas em registos | resource.type="metric" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:(UpdateLogMetric OR CreateLogMetric) |
| Verificações de URLs de tempo de atividade para um anfitrião | resource.type="uptime_url" AND resource.labels.host="URL" |
Consultas de gestão de identidade e de acesso
| Nome da consulta/filtro | Expressão |
|---|---|
| Registos de criação de contas de serviço | resource.type="service_account" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.iam.admin.v1.CreateServiceAccount" |
| Registos de chaves de criação de contas de serviço | resource.type="service_account" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.iam.admin.v1.CreateServiceAccountKey" |
| Defina registos da política de controlo de acesso | resource.type="project" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="SetIamPolicy" |
| Principal externo com acesso concedido à organização | resource.type="project" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog" AND protoPayload.request.@type:"IamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:* AND NOT protoPayload.serviceData.policyDelta.bindingDeltas.member:"@DOMAIN_NAME.com" |
| Criação, modificação ou eliminação de recursos | log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:("create" OR "delete" OR "update") |
| Função concedida ao principal | log_id("cloudaudit.googleapis.com/activity") AND resource.type="project" AND protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.action="Add" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID" |
| Função removida do principal | log_id("cloudaudit.googleapis.com/activity") AND resource.type="project" AND protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.action="Remove" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID" |
| Autorização atualizada numa função personalizada | log_id("cloudaudit.googleapis.com/activity") AND resource.type="iam_role" AND protoPayload.serviceName="iam.googleapis.com" AND protoPayload.methodName:"UpdateRole" AND resource.labels.role_name:"ROLE_ID" |
Consultas relacionadas com o Kubernetes
Para uma vista geral e exemplos de consultas de registos de auditoria da atividade do administrador, consulte os exemplos fornecidos na página de registos de auditoria do GKE.Consultas ao nível do cluster
| Nome da consulta/filtro | Expressão |
|---|---|
| Operações de cluster do Google Kubernetes Engine | resource.type="gke_cluster" AND log_id("cloudaudit.googleapis.com/activity") |
| Criação de clusters do Google Kubernetes Engine |
resource.type="gke_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.container.v1.ClusterManager.CreateCluster" |
| Implementação de clusters do Kubernetes |
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"deployments" |
| Falha na autenticação do cluster Kubernetes |
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.authenticationInfo.principalEmail="system:anonymous" |
Operações e eventos do cluster Kubernetes em us-central1-b |
resource.type="k8s_cluster" AND resource.labels.location="us-central1-b" |
| Pedidos de pods do Kubernetes de utilizadores |
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"io.k8s.core.v1.pods" AND protoPayload.authenticationInfo.principalEmail="USER_EMAIL" |
| Eventos do Kubernetes |
resource.type="k8s_cluster" AND log_id("events") |
| Atualização dos pontos finais do Kubernetes |
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.request.kind="Endpoints" |
| Registos do plano de controlo do Kubernetes |
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.serviceName="k8s.io" |
| Registos do plano de controlo do Kubernetes Engine |
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.serviceName="container.googleapis.com" |
| Eliminação de agrupamentos |
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName=~"io\.k8s\.core\.v1\.pods\.(create|delete)" |
| Registos de auditoria de pods do Kubernetes a partir do plano de controlo |
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.resourceName="core/v1/namespaces/POD_NAMESPACE/pods/POD_NAME |
| Despejos de pods do Kubernetes |
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="io.k8s.core.v1.pods.eviction.create" |
| Registos de auditoria de nós do Kubernetes a partir do plano de controlo |
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"io.k8s.core.v1.nodes" |
| Painel de controlo do cluster Kubernetes para a atividade do gestor de suplementos |
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.authenticationInfo.principalEmail="system:addon-manager" |
Erros do painel de controlo do Kubernetes (excluindo Conflict, que é normal) |
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.status.message!="Conflict" AND protoPayload.status.code!=0 |
| Eventos do controlador de entrada |
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("events") AND jsonPayload.source.component="loadbalancer-controller" |
| Eventos do controlador de serviços (kube-controller-manager) |
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("events") AND jsonPayload.source.component="service-controller" |
| Eventos do redimensionador automático de clusters |
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("events") AND jsonPayload.source.component="cluster-autoscaler" |
Consultas ao nível do pod
| Nome do filtro | Expressão |
|---|---|
| Consulte o agrupamento durante a criação |
resource.type="k8s_pod" AND resource.labels.pod_name="POD_NAME" AND log_id("events") |
| O pod de consulta foi terminado devido à pressão dos recursos |
resource.type="k8s_pod" AND log_id("events") AND jsonPayload.reason="Evicted" |
| Eventos do programador |
resource.type="k8s_pod" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("events") AND jsonPayload.source.component="default-scheduler" |
| Eventos do programador (preempções) |
resource.type="k8s_pod" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("events") AND jsonPayload.source.component="default-scheduler" AND jsonPayload.reason="Preempted" |
Consultas ao nível do nó
| Nome do filtro | Expressão |
|---|---|
| Eventos de nós |
resource.type="k8s_node" AND log_id("events") |
| Analisar registos do Kube-proxy |
resource.type="k8s_node" AND log_id("kube-proxy") |
| Analisar registos do dockerd |
resource.type="k8s_node" AND log_id("container-runtime") |
| Analisar erros ou falhas do kubelet |
resource.type="k8s_node" AND log_id("kubelet") AND jsonPayload.MESSAGE:("error" OR "fail") |
| Analisar registos de nós para registos do sistema do GKE |
resource.type = "k8s_node" logName:( "logs/container-runtime" OR "logs/docker" OR "logs/kube-container-runtime-monitor" OR "logs/kube-logrotate" OR "logs/kube-node-configuration" OR "logs/kube-node-installation" OR "logs/kubelet" OR "logs/kubelet-monitor" OR "logs/node-journal" OR "logs/node-problem-detector") |
Consultas de espaços de nomes
| Nome do filtro | Expressão |
|---|---|
| Registos de contentores e pods para registos do sistema do GKE |
resource.type = ("k8s_container" OR "k8s_pod") resource.labels.namespace_name = ( "cnrm-system" OR "config-management-system" OR "gatekeeper-system" OR "gke-connect" OR "gke-system" OR "istio-system" OR "knative-serving" OR "monitoring-system" OR "kube-system") |
Consultas de contentores
| Nome do filtro | Expressão |
|---|---|
| Registos do contentor stdout em todos os pods e contentores num cluster |
resource.type="k8s_container" AND log_id("stdout") |
| Registos de erros do contentor em todos os pods e contentores num cluster |
resource.type="k8s_container" AND log_id("stderr") AND severity=ERROR |
| Registos de erros do contentor para um pod com um nome específico |
resource.type="k8s_container" AND resource.labels.pod_name="POD_NAME" AND severity=ERROR |
| Registos de erros do contentor para um contentor específico num pod específico |
resource.type="k8s_container" AND resource.labels.pod_name="POD_NAME" AND resource.labels.container_name="server" AND severity=ERROR |
| Registos de erros do contentor para um espaço de nomes e um contentor específicos |
resource.type="k8s_container" AND resource.labels.namespace_name="istio-system" AND resource.labels.container_name="egressgateway" AND severity=ERROR |
| Registos de contentores para um pod com uma etiqueta específica |
resource.type="k8s_container" AND labels."k8s-pod/app"="loadgenerator" AND severity=ERROR |
| Registos de erros de contentores para pods em execução num nó específico |
resource.type="k8s_container" AND labels."compute.googleapis.com/resource_name"=NODE_NAME AND severity=ERROR |
| Registos do contentor para um pod com uma etiqueta gerada através do Skaffold |
resource.type="k8s_container" AND labels."k8s-pod/app"="loadgenerator" AND labels."k8s-pod/skaffold_dev/run-id"=SKAFFOLD_RUN_ID severity=ERROR |
Registos de erros do contentor para um pod específico que contenha um POST no textPayload |
resource.type="k8s_container" AND resource.labels.pod_name="POD_NAME" AND textPayload:"POST" AND severity=ERROR |
Registos de erros do contentor para um pod específico que contenha um GET no JSON estruturado |
resource.type="k8s_container" AND resource.labels.pod_name="POD_NAME" AND jsonPayload."http.req.method"="GET" AND severity=ERROR |
| Registos de erros de contentores no espaço de nomes kube-system |
resource.type="k8s_container" AND resource.labels.namespace_name="kube-system" AND severity=ERROR |
| Erro do contentor no registo de estatísticas detalhadas do contentor |
resource.type="k8s_container" AND log_id("clouderrorreporting.googleapis.com/insights") |
| Registos de contentores do Kubernetes |
resource.type="k8s_container" AND resource.labels.container_name="CONTAINER_NAME" |
Consultas do plano de controlo
Nota: os registos do plano de controlo do GKE têm de estar ativados.| Nome do filtro | Expressão |
|---|---|
| Registos do servidor da API Kubernetes |
resource.type="k8s_control_plane_component" resource.labels.component_name="apiserver" resource.labels.location="CLUSTER_LOCATION" resource.labels.cluster_name="CLUSTER_NAME" |
| Registos do programador do Kubernetes |
resource.type="k8s_control_plane_component" resource.labels.component_name="scheduler" resource.labels.location="CLUSTER_LOCATION" resource.labels.cluster_name="CLUSTER_NAME" |
| Registos do gestor de controladores do Kubernetes |
resource.type="k8s_control_plane_component" resource.labels.component_name="controller-manager" resource.labels.location="CLUSTER_LOCATION" resource.labels.cluster_name="CLUSTER_NAME" |
Consultas de cargas de trabalho da TPU
Nota: o registo do sistema e da carga de trabalho do GKE tem de estar ativado.| Nome do filtro | Expressão |
|---|---|
| Registo de contentores stdout em todos os nós da TPU com o mesmo prefixo |
resource.type="k8s_container" AND labels."compute.googleapis.com/resource_name"=~"TPU_NODE_PREFIX.*" AND log_id("stdout") |
| Registos de erros do contentor em todos os nós da TPU com o mesmo prefixo |
resource.type="k8s_container" AND labels."compute.googleapis.com/resource_name"=~"TPU_NODE_PREFIX.*" AND log_id("stderr") AND severity=ERROR |
| Registo de contentores stdout do mesmo trabalho do GKE |
resource.type="k8s_container" AND labels."k8s-pod/batch.kubernetes.io/job-name" = "JOB_NAME" AND log_id("stdout") |
| Registos de erros de contentores do mesmo trabalho do GKE |
resource.type="k8s_container" AND labels."k8s-pod/batch.kubernetes.io/job-name"="JOB_NAME" AND log_id("stderr") AND severity=ERROR |
| Registo de contentores stdout do mesmo JobSet do GKE |
resource.type="k8s_container" AND labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="JOBSET_NAME" AND log_id("stdout") |
| Registos de erros de contentores do mesmo JobSet do GKE |
resource.type="k8s_container" AND labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="JOBSET_NAME" AND log_id("stderr") AND severity=ERROR |
Consultas de aplicações de terceiros
As seguintes consultas usam os IDs dos registos predefinidos para os registos recolhidos pelo agente de registo antigo. Se estiver a recolher registos através do agente de operações, os nomes dos registos podem estar configurados de forma diferente. Para mais informações sobre o agente de operações e os registos de aplicações, consulte Recolha registos de aplicações de terceiros.
| Nome da consulta/filtro | Expressão |
|---|---|
| Registos do Apache | resource.type="gce_instance" AND (logName:"/apache-access" OR logName:"/apache-error") |
| Registos do Cassandra | resource.type="gce_instance" AND log_id("cassandra") |
| Registos de chefs | resource.type="gce_instance" AND logName:"projects/PROJECT_ID/logs/chef-" |
| Registos do Gitlab | resource.type="gce_instance" logName:"projects/PROJECT_ID/logs/gitlab-" |
| Registos do Jenkins | resource.type="gce_instance" AND log_id("jenkins") |
| Registos do Jetty | resource.type="gce_instance" AND logName:"projects/PROJECT_ID/logs/jetty-" |
| Registos do Joomla | resource.type="gce_instance" AND log_id("joomla") |
| Syslogs do Linux | resource.type="gce_instance" AND log_id("syslog") |
| Registos do Magneto | resource.type="gce_instance" AND logName:"projects/PROJECT_ID/logs/magneto-" |
| Registos do MediaWiki | resource.type="gce_instance" AND log_id("mediawiki") |
| Registos do memcached | resource.type="gce_instance" AND log_id("memcached") |
| Registos do MongoDB | resource.type="gce_instance" AND log_id("mongodb") |
| Registos do MySQL | resource.type="gce_instance" AND log_id("mysql") |
| Registos do Nginx | resource.type="gce_instance" AND logName:"projects/PROJECT_ID/logs/nginx-" |
| Registos do PostgreSQL | resource.type="gce_instance" AND log_id("postgresql") |
| Registos do Puppet | resource.type="gce_instance" AND logName:"projects/PROJECT_ID/logs/puppet-" |
| Registos do RabbitMQ | resource.type="gce_instance" AND logName:"projects/PROJECT_ID/logs/rabbitmq-" |
| Registos do Redmine | resource.type="gce_instance" AND log_id("redmine") |
| Registos de sal | resource.type="gce_instance" AND logName:"projects/PROJECT_ID/logs/salt-" |
| Consultas lentas do MySQL | resource.type="gce_instance" AND log_id("mysql-slow") |
| Registos do Solr | resource.type="gce_instance" AND log_id("solr") |
| Registos do SugarCRM | resource.type="gce_instance" AND log_id("sugarcrm") |
| Registos do Tomcat | resource.type="gce_instance" AND log_id("tomcat") |
| Registos do Zookeeper | resource.type="gce_instance" AND log_id("zookeeper") |
Consultas de rede
| Nome da consulta/filtro | Expressão |
|---|---|
| Firewall – Todos os registos | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") |
| Registos de firewall para um determinado país | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND jsonPayload.remote_location.country=COUNTRY_ISO_ALPHA_3 |
| Registos de firewall de uma VM | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND jsonPayload.instance.vm_name="INSTANCE_NAME" |
| Registos de sub-rede de firewall | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND resource.labels.subnetwork_name="SUBNET_NAME" |
| Registos de tráfego de sub-redes do Compute Engine para uma sub-rede | resource.type="gce_subnetwork" AND ip_in_net(jsonPayload.connection.dest_ip, "SUBNET_IP") |
| Registos de fluxo da VPC | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") |
| Registos de fluxo de VPC para uma porta e um protocolo específicos | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND jsonPayload.connection.src_port="PORT_ID" AND jsonPayload.connection.protocol="PROTOCOL" |
| Registos de fluxo de VPC para uma sub-rede específica | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND resource.labels.subnetwork_name"=SUBNET_NAME" |
| Registos de fluxo de VPC para um prefixo de sub-rede específico | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND ip_in_net(jsonPayload.connection.dest_ip,SUBNET_IP) |
| Registos de fluxo da VPC para uma VM específica | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND jsonPayload.src_instance.vm_name="VM_NAME" |
| Registos do gateway de VPN | resource.type="vpn_gateway" AND resource.labels.gateway_id="GATEWAY_ID" |
| Erros 5xx do balanceador de carga HTTP | resource.type="http_load_balancer" AND httpRequest.status>=500 |
| Pedidos do balanceador de carga HTTP para o PHPMyAdmin | resource.type="http_load_balancer" AND httpRequest.request_url:"phpmyadmin" |
Consultas de segurança
| Nome da consulta/filtro | Expressão |
|---|---|
| Registos de auditoria: tudo | logName:"cloudaudit.googleapis.com" |
| Registos de auditoria – Transparência de acesso (AXT) | log_id("cloudaudit.googleapis.com/access_transparency") |
| Registos de auditoria – Atividade do administrador | log_id("cloudaudit.googleapis.com/activity") |
| Registos de auditoria – Acesso a dados | log_id("cloudaudit.googleapis.com/data_access") |
| Registos de auditoria – Evento do sistema | log_id("cloudaudit.googleapis.com/system_event") |
Resolução de problemas
Para obter instruções sobre a resolução de problemas comuns ao usar o Explorador de registos, consulte Usar o Explorador de registos: resolução de problemas.
O que se segue?
Para mais informações sobre a sintaxe de consulta, que pode usar para personalizar estas consultas, consulte o artigo Linguagem de consulta de registo.
Para mais informações sobre como consultar na Google Cloud consola, consulte Crie consultas com a linguagem de consulta do Logging.