Es posible que parte o toda la información de esta página no se aplique a Trusted Cloud by S3NS. Para obtener más información, consulta las diferencias con Google Cloud.

Esta página se ha traducido con Cloud Translation API.

Consultas de ejemplo

En este documento se sugieren consultas para que te resulte más fácil encontrar registros importantes con el Explorador de registros de la Trusted Cloud consola. Las consultas que se muestran están escritas en el lenguaje de consulta de Logging y se pueden usar en el Explorador de registros, la API Logging o la interfaz de línea de comandos.

El explorador de registros usa expresiones booleanas para especificar un subconjunto de todas las entradas de registro de tu proyecto. Puedes usar estas consultas para elegir entradas de registro de registros o servicios de registro específicos, o que cumplan condiciones en metadatos o campos definidos por el usuario.

Antes de empezar

Asegúrate de que tienes los permisos o roles de gestión de identidades y accesos correctos para crear consultas con el Explorador de registros. Para obtener información sobre los permisos de gestión de identidades y accesos necesarios, consulta Permisos de la consola Trusted Cloud .

Empezar

En la Trusted Cloud consola, ve a la página Explorador de registros:
Ve al Explorador de registros.

Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuya sección sea Registro.
Selecciona el proyecto o el recurso correspondiente para el que quieras ver los registros. Trusted Cloud Trusted Cloud

Usar las consultas de ejemplo

Para aplicar una consulta de las siguientes tablas, haz clic en el icono Copiar contenido de la expresión y, a continuación, pega la expresión copiada en el campo del editor de consultas del Explorador de registros.

Si no ves el campo del editor de consultas, habilita Mostrar consulta.

Después de revisar la expresión de la consulta, haga clic en Ejecutar consulta. Los registros que coincidan con tu consulta se mostrarán en Resultados de la consulta.

Algunas de las consultas que se indican más adelante en esta página incluyen variables que debes sustituir por valores válidos. Por ejemplo, si una consulta incluye logName, el PROJECT_ID que proporciones debe hacer referencia alTrusted Cloud proyecto seleccionado. De lo contrario, la consulta no funcionará.

Ten en cuenta lo siguiente:

Si tienes una consulta con una marca de tiempo, el selector de intervalo de tiempo se inhabilita y la consulta usa la expresión de marca de tiempo como restricción de intervalo de tiempo. Si una consulta no usa una expresión de marca de tiempo, la consulta usa el selector de periodo como restricción de periodo.
La longitud de una consulta no puede superar los 20.000 caracteres.
El lenguaje de las consultas de Logging no distingue entre mayúsculas y minúsculas, excepto en las expresiones regulares.
Puedes usar la función log_id en consultas con una expresión log_name. Por ejemplo, la expresión log_name="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access" es la misma que log_id("cloudaudit.googleapis.com/data_access"). Para obtener más información sobre la función log_id, consulta Lenguaje de consulta de registros: funciones.

Para obtener instrucciones sobre cómo hacer consultas en la consola, consulta el artículo Crear consultas en el Explorador de registros. Trusted Cloud

En las siguientes secciones se agrupan las consultas por servicios de Trusted Cloud .

Consultas de BigQuery

Nombre de la consulta o del filtro	Expresión
Registros de auditoría de BigQuery	resource.type=("bigquery_dataset" OR "bigquery_project") AND logName:"cloudaudit.googleapis.com"
Registros de auditoría de BigQuery de un proyecto	resource.type="bigquery_project" AND logName:"cloudaudit.googleapis.com"
Registros de auditoría de BigQuery de un conjunto de datos	resource.type="bigquery_dataset" AND logName:"cloudaudit.googleapis.com"
Registros de auditoría de BigQuery para el modelo de BI Engine	resource.type="bigquery_biengine_model" AND logName:"cloudaudit.googleapis.com"
Registros de auditoría de BigQuery de una ejecución de Data Transfer Service.	resource.type="bigquery_dts_run" AND logName:"cloudaudit.googleapis.com"
Registros de auditoría de BigQuery de una configuración de Data Transfer Service.	resource.type="bigquery_dts_config" AND logName:"cloudaudit.googleapis.com"
Trabajos de BigQuery Data Transfer Service	resource.type=("bigquery_project") AND protoPayload.requestMetadata.callerSuppliedUserAgent= "BigQuery Data Transfer Service" AND protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR "google.cloud.bigquery.v2.JobService.Query")
Registros de ejecuciones de transferencias de BigQuery	resource.type="bigquery_dts_config" AND labels.run_id="`RUN_ID`" AND resource.labels.config_id="`CONFIG_ID`"
Novedades de los conjuntos de datos de BigQuery	resource.type="bigquery_dataset" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName= "google.cloud.bigquery.v2.DatasetService.UpdateDataset"
Tareas de BigQuery completadas	resource.type="bigquery_project" AND log_id("cloudaudit.googleapis.com/data_access") AND protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR "google.cloud.bigquery.v2.JobService.Query")
Consultas grandes de BigQuery	resource.type="bigquery_project" AND protoPayload.metadata.jobChange.job.jobStats.queryStats.totalBilledBytes > 1073741824
Se ha superado la cuota de BigQuery	resource.type=("bigquery_dataset" OR "bigquery_project") AND protoPayload.status.code=8 AND severity>=WARNING
Consulta de BigQuery iniciada	resource.type="bigquery_project" AND protoPayload.metadata.jobInsertion.reason:*
Tareas de carga o extracción simultáneas de BigQuery	resource.type="bigquery_resource" AND protoPayload.methodName="jobservice.insert" AND protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query: "extract"
Registros de auditoría de BigQuery para la política de acceso a las filas	protoPayload.methodName="jobservice.insert" AND protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query:"ROW ACCESS POLICY"

Consultas de Cloud SQL

Nombre de la consulta o del filtro	Expresión
Registros de auditoría de Cloud SQL	resource.type="cloudsql_database" AND resource.labels.database_id="`DATABASE_ID`" AND log_id("cloudaudit.googleapis.com/activity")
Registros de errores de MySQL de Cloud SQL	resource.type="cloudsql_database" AND log_id("cloudsql.googleapis.com/mysql.err")
Bases de datos basadas en MySQL de Cloud SQL	resource.type="cloudsql_database" AND resource.labels.database_id="`DATABASE_ID`" AND log_id("cloudsql.googleapis.com/mysql")
Bases de datos basadas en Cloud SQL Postgres	resource.type="cloudsql_database" AND resource.labels.database_id="`DATABASE_ID`" AND log_id("cloudsql.googleapis.com/postgres.log")
Registros de errores de SQL Server de Cloud SQL	resource.type="cloudsql_database" AND log_id("cloudsql.googleapis.com/sqlserver.err")
Bases de datos basadas en SQL Server de Cloud SQL	resource.type="cloudsql_database" AND resource.labels.database_id="`DATABASE_ID`" AND log_id("cloudsql.googleapis.com/sqlagent.out")

Consultas de Cloud Storage

Nombre de la consulta o del filtro	Expresión
Registros de segmentos de GCS	resource.type="gcs_bucket" AND resource.labels.bucket_name="`BUCKET_NAME`"
Registros de auditoría de segmentos de GCS	resource.type="gcs_bucket" AND logName:"cloudaudit.googleapis.com"
Registros de creación de segmentos de GCS	resource.type="gcs_bucket" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.method_name="storage.buckets.create"
Registros de eliminación de segmentos de GCS	resource.type="gcs_bucket" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.method_name="storage.buckets.delete"

Consultas de Compute Engine

Nombre de la consulta o del filtro	Expresión
Registros de actividad de administración de Compute Engine	resource.type="gce_instance" AND log_id("cloudaudit.googleapis.com/activity")
Eliminación de reglas de cortafuegos de Compute Engine	resource.type="gce_firewall_rule" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"firewalls.delete"
Syslogs de VMs de Compute Engine	resource.type="gce_instance" AND log_id("syslog")
Registros de autenticación de VMs de Compute Engine	resource.type="gce_instance" AND log_id("authlog")
Error de host de Compute Engine	resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName:"compute.instances.hostError" OR operation.producer:"compute.instances.hostError") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="`INSTANCE_ID`" severity=INFO
Alerta de memoria de host de Compute Engine	resource.type="gce_instance" AND protoPayload.serviceName="compute.googleapis.com" AND (jsonPayload.methodName:"compute.instances.host_event_notify" OR operation.producer:"compute.instances.host_event_notify") AND log_id("cloudaudit.googleapis.com/host_event_notify") AND resource.labels.instance_id="`INSTANCE_ID`" AND severity=CRITICAL
Host de Compute Engine migrado	resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName: "compute.instances.migrateOnHostMaintenance" OR operation.producer: "compute.instances.migrateOnHostMaintenance") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="`INSTANCE_ID`" severity=INFO
Máquina virtual de Compute Engine finalizada o desalojada	resource.type="gce_instance" protoPayload.methodName=~"compute\.instances\.(guestTerminate\|preempted)" log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="`INSTANCE_ID`"
La VM de Compute Engine se ha terminado debido a un error al crear el disco de espacio de trabajo	resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName="compute.instances.scratchDiskCreationFailed" OR operation.producer: "compute.instances.scratchDiskCreationFailed) log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="`INSTANCE_ID`" severity=INFO
Instancia de VM de Compute Engine creada	resource.type="gce_instance" protoPayload.methodName:"compute.instances.insert" log_id("cloudaudit.googleapis.com/activity") protoPayload.request.name="`INSTANCE_NAME`"
Se ha eliminado una instancia de VM de Compute Engine con el nombre	resource.type="gce_instance" protoPayload.methodName:"compute.instances.delete" log_id("cloudaudit.googleapis.com/activity") protoPayload.resourceName:"`INSTANCE_NAME`"
Se ha eliminado la instancia de VM de Compute Engine con el ID	resource.type="gce_instance" protoPayload.methodName:"compute.instances.delete" log_id("cloudaudit.googleapis.com/activity") resource.labels.instance_id="`INSTANCE_ID`"
Se ha reiniciado la instancia de VM de Compute Engine	resource.type="gce_instance" protoPayload.methodName=~"compute\.instances\.( stop\|reset\|automaticRestart\|guestTerminate\| instanceManagerHaltForRestart)" (log_id("cloudaudit.googleapis.com/activity") OR log_id("cloudaudit.googleapis.com/system_event")) resource.labels.instance_id="`INSTANCE_ID`"
Fallo de integridad del arranque de la VM blindada de Compute Engine	resource.type="gce_instance" log_id("compute.googleapis.com/shielded_vm_integrity") jsonPayload.earlyBootReportEvent.policyEvaluationPassed="false" resource.labels.instance_id="`INSTANCE_ID`"
Instancia de VM de Compute Engine detenida por el SO invitado	resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName:"compute.instances.guestTerminate" OR operation.producer:"compute.instances.guestTerminate") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="`INSTANCE_ID`" severity=INFO
Se ha bloqueado el archivo de arranque de la VM blindada de Compute Engine	resource.type="gce_instance" log_id("serialconsole.googleapis.com/serial_port_1_output") textPayload:("Security Violation") resource.labels.instance_id="`INSTANCE_ID`"
Persistent Disk Created	resource.type="gce_disk" AND protoPayload.methodName:"compute.disks.insert" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.resourceName: "`PERSISTENT_DISK_NAME`"
Nodos añadidos en el nodo de único cliente	resource.type="gce_node_group" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName=~("compute.nodeGroups.addNodes" OR "compute.nodeGroups.insert") resource.labels.node_group_id="`NODE_GROUP_ID`" severity="INFO"
Eventos de escalado automático en nodos de único inquilino	resource.type="gce_node_group" log_id("cloudaudit.googleapis.com/system_event") protoPayload.methodName=~("compute.nodeGroups.deleteNodes" OR "compute.nodeGroups.addNodes") resource.labels.node_group_id="`NODE_GROUP_ID`"
Se ha hecho una captura manual	resource.type="gce_snapshot" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.snapshots.insert" protoPayload.resourceName:"`SNAPSHOT_NAME`"
Se ha creado una captura programada	resource.type="gce_disk" log_id("cloudaudit.googleapis.com/system_event") protoPayload.methodName="ScheduledSnapshots" protoPayload.response.operationType="createSnapshot" protoPayload.response.targetLink="`PERSISTENT_DISK_NAME`"
Programación de capturas creada	resource.type="gce_resource_policy" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.resourcePolicies.insert" protoPayload.request.name="`SCHEDULE_NAME`"
Programación de capturas adjunta	resource.type="gce_disk" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.disks.addResourcePolicies" protoPayload.request.resourcePolicys:"`SCHEDULE_NAME`" protoPayload.resourceName:"`PERSISTENT_DISK_NAME`"
Cuota superada	resource.type="gce_instance" protoPayload.methodName:"compute.instances.insert" protoPayload.status.message:"QUOTA_EXCEEDED" severity=ERROR
Consultar instancias no sanas en un grupo de instancias	resource.type="gce_instance_group" resource.labels.instance_group_name="`INSTANCE_GROUP_NAME"` jsonPayload.healthCheckProbeResult.healthState="UNHEALTHY"
Consultar los miembros de un grupo de instancias en un periodo determinado en formato de hora UTC	resource.type="gce_instance_group_manager" resource.labels.instance_group_manager_name="`INSTANCE_GROUP_NAME`" jsonPayload.@type= "type.googleapis.com/compute.InstanceGroupManagerEvent" jsonPayload.instanceHealthStateChange.detailedHealthState="HEALTHY" timestamp >= `START_TIME` timestamp <= `END_TIME`
Instancias añadidas al grupo de instancias	resource.type="gce_instance_group" protoPayload.methodName:"compute.instanceGroups.addInstances" log_id("cloudaudit.googleapis.com/activity") resource.labels.instance_group_name="`INSTANCE_GROUP_NAME`"
Instancias eliminadas del grupo de instancias	resource.type="gce_instance_group" protoPayload.methodName:"compute.instanceGroups.removeInstances" log_id("cloudaudit.googleapis.com/activity") resource.labels.instance_group_name="`INSTANCE_GROUP_NAME`"
Plantilla de instancia definida o actualizada	resource.type="gce_instance_group_manager" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName= "v1.compute.instanceGroupManagers.setInstanceTemplate" resource.labels.instance_group_manager_name="`INSTANCE_GROUP_MANAGER`"
Se ha eliminado la regla de cortafuegos	resource.type="gce_firewall_rule" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"firewalls.delete"
Registros de cortafuegos	resource.type="gce_subnetwork" log_id("compute.googleapis.com/firewall") jsonPayload.instance.vm_name="`INSTANCE_NAME`"

Consultas de Google Cloud Observability

Nombre de la consulta o del filtro	Expresión
Actividades de sumidero de registros	resource.type="logging_sink" AND log_id("cloudaudit.googleapis.com/activity")

Consultas de gestión de identidades y accesos

Nombre de la consulta o del filtro	Expresión
Registros de creación de cuentas de servicio	resource.type="service_account" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.iam.admin.v1.CreateServiceAccount"
Registros de claves de creación de cuentas de servicio	resource.type="service_account" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.iam.admin.v1.CreateServiceAccountKey"
Definir registros de políticas de control de acceso	resource.type="project" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="SetIamPolicy"
Se ha concedido acceso a la organización a un principal externo	resource.type="project" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog" AND protoPayload.request.@type:"IamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:* AND NOT protoPayload.serviceData.policyDelta.bindingDeltas.member:"@`DOMAIN_NAME`.com"
Creación, modificación o eliminación de recursos	log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:("create" OR "delete" OR "update")
Rol concedido a la cuenta principal	log_id("cloudaudit.googleapis.com/activity") AND resource.type="project" AND protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.action="Add" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:"`EMAIL_ID`"
Rol eliminado de la cuenta principal	log_id("cloudaudit.googleapis.com/activity") AND resource.type="project" AND protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.action="Remove" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:"`EMAIL_ID`"
Permiso actualizado en un rol personalizado	log_id("cloudaudit.googleapis.com/activity") AND resource.type="iam_role" AND protoPayload.serviceName="iam.googleapis.com" AND protoPayload.methodName:"UpdateRole" AND resource.labels.role_name:"`ROLE_ID`"

Consultas relacionadas con Kubernetes

Para ver una descripción general y ejemplos de consultas de registro de auditoría de actividad de administrador, consulta los que se proporcionan en la página de registro de auditoría de GKE.

Consultas a nivel de clúster

Nombre de la consulta o del filtro	Expresión
Operaciones de clúster de Google Kubernetes Engine	resource.type="gke_cluster" AND log_id("cloudaudit.googleapis.com/activity")
Creación de clústeres de Google Kubernetes Engine	resource.type="gke_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.container.v1.ClusterManager.CreateCluster"
Despliegue de clústeres de Kubernetes	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"deployments"
Error de autenticación del clúster de Kubernetes	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.authenticationInfo.principalEmail="system:anonymous"
Operaciones y eventos de clústeres de Kubernetes en `us-central1-b`	resource.type="k8s_cluster" AND resource.labels.location="us-central1-b"
Solicitudes de pods de Kubernetes de los usuarios	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"io.k8s.core.v1.pods" AND protoPayload.authenticationInfo.principalEmail="`USER_EMAIL`"
Eventos de Kubernetes	resource.type="k8s_cluster" AND log_id("events")
Actualización de endpoints de Kubernetes	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.request.kind="Endpoints"
Registros del plano de control de Kubernetes	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.serviceName="k8s.io"
Registros del plano de control de Kubernetes Engine	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.serviceName="container.googleapis.com"
Eliminación de pods	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName=~"io\.k8s\.core\.v1\.pods\.(create\|delete)"
Registros de auditoría de pods de Kubernetes del plano de control	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.resourceName="core/v1/namespaces/`POD_NAMESPACE`/pods/`POD_NAME`
Expulsiones de pods de Kubernetes	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="io.k8s.core.v1.pods.eviction.create"
Registros de auditoría de nodos de Kubernetes del plano de control	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"io.k8s.core.v1.nodes"
Plano de control del clúster de Kubernetes para la actividad del gestor de complementos	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.authenticationInfo.principalEmail="system:addon-manager"
Errores del plano de control de Kubernetes (excepto `Conflict`, que es normal)	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.status.message!="Conflict" AND protoPayload.status.code!=0
Eventos del controlador de entrada	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="loadbalancer-controller"
Eventos del controlador de servicios (kube-controller-manager)	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="service-controller"
Eventos de la herramienta de adaptación dinámica de clústeres	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="cluster-autoscaler"

Consultas a nivel de pod

Nombre de filtro	Expresión
Consultar un pod durante la creación	resource.type="k8s_pod" AND resource.labels.pod_name="`POD_NAME`" AND log_id("events")
Se ha terminado el pod de consulta debido a la presión de los recursos	resource.type="k8s_pod" AND log_id("events") AND jsonPayload.reason="Evicted"
Eventos del programador	resource.type="k8s_pod" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="default-scheduler"
Eventos del programador (prelaciones)	resource.type="k8s_pod" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="default-scheduler" AND jsonPayload.reason="Preempted"

Consultas a nivel de nodo

Nombre de filtro	Expresión
Eventos de nodo	resource.type="k8s_node" AND log_id("events")
Consultar los registros de kube-proxy	resource.type="k8s_node" AND log_id("kube-proxy")
Consultar los registros de dockerd	resource.type="k8s_node" AND log_id("container-runtime")
Consultar errores o fallos de kubelet	resource.type="k8s_node" AND log_id("kubelet") AND jsonPayload.MESSAGE:("error" OR "fail")
Consultar los registros de nodos de los registros del sistema de GKE	resource.type = "k8s_node" logName:( "logs/container-runtime" OR "logs/docker" OR "logs/kube-container-runtime-monitor" OR "logs/kube-logrotate" OR "logs/kube-node-configuration" OR "logs/kube-node-installation" OR "logs/kubelet" OR "logs/kubelet-monitor" OR "logs/node-journal" OR "logs/node-problem-detector")

Consultas de espacio de nombres

Nombre de filtro	Expresión
Registros de contenedores y pods de los registros del sistema de GKE	resource.type = ("k8s_container" OR "k8s_pod") resource.labels.namespace_name = ( "cnrm-system" OR "config-management-system" OR "gatekeeper-system" OR "gke-connect" OR "gke-system" OR "istio-system" OR "knative-serving" OR "monitoring-system" OR "kube-system")

Nombre de filtro

Expresión

Registros de contenedores y pods de los registros del sistema de GKE

resource.type = ("k8s_container" OR "k8s_pod")
resource.labels.namespace_name = (
"cnrm-system" OR
"config-management-system" OR
"gatekeeper-system" OR
"gke-connect" OR
"gke-system" OR
"istio-system" OR
"knative-serving" OR
"monitoring-system" OR
"kube-system")

Consultas de contenedor

Nombre de filtro	Expresión
Registros de contenedores de salida estándar de todos los pods y contenedores de un clúster	resource.type="k8s_container" AND log_id("stdout")
Registros de errores de contenedores de todos los pods y contenedores de un clúster	resource.type="k8s_container" AND log_id("stderr") AND severity=ERROR
Registros de errores de contenedores de un pod con un nombre específico	resource.type="k8s_container" AND resource.labels.pod_name="`POD_NAME`" AND severity=ERROR
Registros de errores de un contenedor específico de un pod concreto	resource.type="k8s_container" AND resource.labels.pod_name="`POD_NAME`" AND resource.labels.container_name="server" AND severity=ERROR
Registros de errores de contenedores de un espacio de nombres y un contenedor específicos	resource.type="k8s_container" AND resource.labels.namespace_name="istio-system" AND resource.labels.container_name="egressgateway" AND severity=ERROR
Registros de contenedores de un pod con una etiqueta específica	resource.type="k8s_container" AND labels."k8s-pod/app"="loadgenerator" AND severity=ERROR
Registros de errores de contenedores de pods que se ejecutan en un nodo específico	resource.type="k8s_container" AND labels."compute.googleapis.com/resource_name"=NODE_NAME AND severity=ERROR
Registros de contenedores de un pod con una etiqueta generada mediante Skaffold	resource.type="k8s_container" AND labels."k8s-pod/app"="loadgenerator" AND labels."k8s-pod/skaffold_dev/run-id"=`SKAFFOLD_RUN_ID` severity=ERROR
Registros de errores de contenedores de un pod específico que contiene un `POST` en textPayload	resource.type="k8s_container" AND resource.labels.pod_name="`POD_NAME`" AND textPayload:"POST" AND severity=ERROR
Registros de errores de contenedores de un pod específico que contiene un `GET` en el JSON estructurado	resource.type="k8s_container" AND resource.labels.pod_name="`POD_NAME`" AND jsonPayload."http.req.method"="GET" AND severity=ERROR
Registros de errores de contenedores en el espacio de nombres kube-system	resource.type="k8s_container" AND resource.labels.namespace_name="kube-system" AND severity=ERROR
Error de contenedor en el registro de Container Insights	resource.type="k8s_container" AND log_id("clouderrorreporting.googleapis.com/insights")
Registros de contenedores de Kubernetes	resource.type="k8s_container" AND resource.labels.container_name="`CONTAINER_NAME`"

Consultas del plano de control

Nota: Los registros del plano de control de GKE deben estar habilitados.

Nombre de filtro	Expresión
Registros del servidor de la API de Kubernetes	resource.type="k8s_control_plane_component" resource.labels.component_name="apiserver" resource.labels.location="`CLUSTER_LOCATION`" resource.labels.cluster_name="`CLUSTER_NAME`"
Registros del programador de Kubernetes	resource.type="k8s_control_plane_component" resource.labels.component_name="scheduler" resource.labels.location="`CLUSTER_LOCATION`" resource.labels.cluster_name="`CLUSTER_NAME`"
Registros de Kubernetes Controller Manager	resource.type="k8s_control_plane_component" resource.labels.component_name="controller-manager" resource.labels.location="`CLUSTER_LOCATION`" resource.labels.cluster_name="`CLUSTER_NAME`"

Nombre de filtro

Expresión

Registros del servidor de la API de Kubernetes

resource.type="k8s_control_plane_component"
resource.labels.component_name="apiserver"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"

Registros del programador de Kubernetes

resource.type="k8s_control_plane_component"
resource.labels.component_name="scheduler"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"

Registros de Kubernetes Controller Manager

resource.type="k8s_control_plane_component"
resource.labels.component_name="controller-manager"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"

Consultas de cargas de trabajo de TPU

Nota: El registro del sistema y de las cargas de trabajo de GKE debe estar habilitado.

Nombre de filtro	Expresión
Registros de contenedor de salida estándar de todos los nodos de TPU con el mismo prefijo	resource.type="k8s_container" AND labels."compute.googleapis.com/resource_name"=~"`TPU_NODE_PREFIX`.*" AND log_id("stdout")
Registros de errores de contenedores de todos los nodos de TPU con el mismo prefijo	resource.type="k8s_container" AND labels."compute.googleapis.com/resource_name"=~"`TPU_NODE_PREFIX`.*" AND log_id("stderr") AND severity=ERROR
Registros de contenedores de salida estándar del mismo trabajo de GKE	resource.type="k8s_container" AND labels."k8s-pod/batch.kubernetes.io/job-name" = "`JOB_NAME`" AND log_id("stdout")
Registros de errores de contenedores del mismo trabajo de GKE	resource.type="k8s_container" AND labels."k8s-pod/batch.kubernetes.io/job-name"="`JOB_NAME`" AND log_id("stderr") AND severity=ERROR
Registros de contenedores de salida estándar del mismo JobSet de GKE	resource.type="k8s_container" AND labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="`JOBSET_NAME`" AND log_id("stdout")
Registros de errores de contenedores del mismo JobSet de GKE	resource.type="k8s_container" AND labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="`JOBSET_NAME`" AND log_id("stderr") AND severity=ERROR

Consultas de red

Nombre de la consulta o del filtro	Expresión
Cortafuegos: todos los registros	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall")
Registros de cortafuegos de un país concreto	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND jsonPayload.remote_location.country=`COUNTRY_ISO_ALPHA_3`
Registros de cortafuegos de una VM	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND jsonPayload.instance.vm_name="`INSTANCE_NAME`"
Registros de subredes de cortafuegos	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND resource.labels.subnetwork_name="`SUBNET_NAME`"
Registros de tráfico de subred de Compute Engine en una subred	resource.type="gce_subnetwork" AND ip_in_net(jsonPayload.connection.dest_ip, "`SUBNET_IP`")
Registros de flujo de VPC	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows")
Registros de flujo de VPC de un puerto y un protocolo específicos	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND jsonPayload.connection.src_port="`PORT_ID`" AND jsonPayload.connection.protocol="`PROTOCOL`"
Registros de flujo de VPC de una subred específica	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND resource.labels.subnetwork_name"=`SUBNET_NAME`"
Registros de flujo de VPC de un prefijo de subred específico	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND ip_in_net(jsonPayload.connection.dest_ip,`SUBNET_IP`)
Registros de flujo de VPC de una VM específica	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND jsonPayload.src_instance.vm_name="`VM_NAME`"
Registros de pasarela VPN	resource.type="vpn_gateway" AND resource.labels.gateway_id="`GATEWAY_ID`"
Errores 5xx del balanceador de carga HTTP	resource.type="http_load_balancer" AND httpRequest.status>=500
Solicitudes del balanceador de carga HTTP a PHPMyAdmin	resource.type="http_load_balancer" AND httpRequest.request_url:"phpmyadmin"

Consultas de seguridad

Nombre de la consulta o del filtro	Expresión
Registros de auditoría (todos)	logName:"cloudaudit.googleapis.com"
Registros de auditoría de Transparencia de acceso (AXT)	log_id("cloudaudit.googleapis.com/access_transparency")
Registros de auditoría: actividad de administrador	log_id("cloudaudit.googleapis.com/activity")
Registros de auditoría de acceso a datos	log_id("cloudaudit.googleapis.com/data_access")
Registros de auditoría: eventos del sistema	log_id("cloudaudit.googleapis.com/system_event")

Solución de problemas

Para obtener instrucciones sobre cómo solucionar problemas habituales al usar el Explorador de registros, consulta el artículo Usar el Explorador de registros: solución de problemas.

Siguientes pasos

Para obtener más información sobre la sintaxis de las consultas, que puede usar para personalizarlas, consulte el artículo Lenguaje de consultas de registro.

Para obtener más información sobre cómo hacer consultas en la consola de Trusted Cloud , consulta el artículo Crear consultas con el lenguaje de consultas de almacenamiento de registros.