Es posible que parte o toda la información de esta página no se aplique a Trusted Cloud de S3NS.

Se usó la API de Cloud Translation para traducir esta página.

Consultas de muestra

En este documento, se proporcionan sugerencias de consultas para facilitar la búsqueda de registros importantes mediante el Explorador de registros en la consola de Trusted Cloud . Las consultas enumeradas están escritas en el lenguaje de consulta de Logging y se pueden usar en el Explorador de registros, la API de Logging o la interfaz de línea de comandos.

El visor de registros heredado usa expresiones booleanas para especificar un subconjunto de todas las entradas de registro en tu proyecto. Puedes usar estas consultas para elegir entradas de registro de servicios o registros específicos, o que satisfagan condiciones de metadatos o campos definidos por el usuario.

Antes de comenzar

Asegúrate de tener los permisos o roles de Identity and Access Management correctos para crear consultas con el Explorador de registros. Para obtener detalles sobre los permisos de IAM necesarios, consulta Permisos de la Trusted Cloud consola.

Comenzar

En la consola de Trusted Cloud , ve a la página Explorador de registros.
Ir al Explorador de registros

Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.
Selecciona el Trusted Cloud proyecto o el otro Trusted Cloud recurso apropiado para el que deseas ver los registros.

Usa las consultas de muestra

Para aplicar una consulta de las siguientes tablas, haz clic en el ícono Copiar contenido de la expresión y, luego, pégala en el campo del editor de consultas del Explorador de registros.

Si no ves el campo del editor de consultas, habilita Mostrar consulta.

Después de revisar la expresión de consulta, haz clic en Ejecutar consulta. Los registros que coincidan con la consulta se enumerarán en Resultados de la consulta.

Algunas de las consultas que se enumeran más adelante en esta página incluyen variables que debes reemplazar por valores válidos. Por ejemplo, cuando una consulta incluye logName, el PROJECT_ID que proporcionas debe hacer referencia al proyectoTrusted Cloud seleccionado; de lo contrario, la consulta no funcionará.

Ten en cuenta lo siguiente:

Si tienes una consulta con una marca de tiempo, el selector de intervalos de tiempo se inhabilita y la consulta usa la expresión de marca de tiempo como su restricción de intervalo de tiempo. Si una consulta no usa una expresión de marca de tiempo, usará el selector de intervalos de tiempo como su restricción de intervalo de tiempo.
La longitud de una consulta no puede superar los 20,000 caracteres.
El lenguaje de consulta de Logging no distingue mayúsculas de minúsculas, a excepción de las expresiones regulares.
Puedes usar la función log_id para consultas con una expresión log_name. Por ejemplo, la expresión log_name="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access" es igual a log_id("cloudaudit.googleapis.com/data_access"). Para obtener más información sobre la función log_id, consulta Lenguaje de consulta de Logging: Funciones.

Para obtener instrucciones sobre cómo realizar consultas en la consola de Trusted Cloud , consulta Crea consultas en el Explorador de registros.

En las siguientes secciones, se agrupan las consultas por Trusted Cloud servicios.

Consultas de BigQuery

Nombre de la consulta o del filtro	Expresión
Registros de auditoría de BigQuery	resource.type=("bigquery_dataset" OR "bigquery_project") AND logName:"cloudaudit.googleapis.com"
Registros de auditoría de BigQuery de un proyecto	resource.type="bigquery_project" AND logName:"cloudaudit.googleapis.com"
Registros de auditoría de BigQuery para un conjunto de datos	resource.type="bigquery_dataset" AND logName:"cloudaudit.googleapis.com"
Registros de auditoría de BigQuery para el modelo de BI Engine	resource.type="bigquery_biengine_model" AND logName:"cloudaudit.googleapis.com"
Registros de auditoría de BigQuery de una ejecución del Servicio de transferencia de datos	resource.type="bigquery_dts_run" AND logName:"cloudaudit.googleapis.com"
Registros de auditoría de BigQuery de una configuración del Servicio de transferencia de datos	resource.type="bigquery_dts_config" AND logName:"cloudaudit.googleapis.com"
Trabajos del Servicio de transferencia de datos de BigQuery	resource.type=("bigquery_project") AND protoPayload.requestMetadata.callerSuppliedUserAgent= "BigQuery Data Transfer Service" AND protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR "google.cloud.bigquery.v2.JobService.Query")
Registros de ejecución de transferencia de BigQuery	resource.type="bigquery_dts_config" AND labels.run_id="`RUN_ID`" AND resource.labels.config_id="`CONFIG_ID`"
Actualizaciones de conjuntos de datos de BigQuery	resource.type="bigquery_dataset" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName= "google.cloud.bigquery.v2.DatasetService.UpdateDataset"
Trabajos de BigQuery finalizados	resource.type="bigquery_project" AND log_id("cloudaudit.googleapis.com/data_access") AND protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR "google.cloud.bigquery.v2.JobService.Query")
Búsquedas grandes de BigQuery	resource.type="bigquery_project" AND protoPayload.metadata.jobChange.job.jobStats.queryStats.totalBilledBytes > 1073741824
Se superó la cuota de BigQuery	resource.type=("bigquery_dataset" OR "bigquery_project") AND protoPayload.status.code=8 AND severity>=WARNING
Se inició la búsqueda de BigQuery	resource.type="bigquery_project" AND protoPayload.metadata.jobInsertion.reason:*
Trabajos de carga o extracción simultáneos de BigQuery	resource.type="bigquery_resource" AND protoPayload.methodName="jobservice.insert" AND protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query: "extract"
Registros de auditoría de BigQuery para la política de acceso de filas	protoPayload.methodName="jobservice.insert" AND protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query:"ROW ACCESS POLICY"

Consultas de Cloud SQL

Nombre de la consulta o del filtro	Expresión
Registros de auditoría de Cloud SQL	resource.type="cloudsql_database" AND resource.labels.database_id="`DATABASE_ID`" AND log_id("cloudaudit.googleapis.com/activity")
Registros de errores de MySQL de Cloud SQL	resource.type="cloudsql_database" AND log_id("cloudsql.googleapis.com/mysql.err")
Bases de datos basadas en MySQL de Cloud SQL	resource.type="cloudsql_database" AND resource.labels.database_id="`DATABASE_ID`" AND log_id("cloudsql.googleapis.com/mysql")
Bases de datos basadas en Postgre de Cloud SQL	resource.type="cloudsql_database" AND resource.labels.database_id="`DATABASE_ID`" AND log_id("cloudsql.googleapis.com/postgres.log")
Registros de error de SQL Server de Cloud SQL	resource.type="cloudsql_database" AND log_id("cloudsql.googleapis.com/sqlserver.err")
Bases de datos basadas en SQL Server de Cloud SQL	resource.type="cloudsql_database" AND resource.labels.database_id="`DATABASE_ID`" AND log_id("cloudsql.googleapis.com/sqlagent.out")

Consultas de Cloud Storage

Nombre de la consulta o del filtro	Expresión
Registros de depósitos de GCS	resource.type="gcs_bucket" AND resource.labels.bucket_name="`BUCKET_NAME`"
Registros de auditoría de depósitos de GCS	resource.type="gcs_bucket" AND logName:"cloudaudit.googleapis.com"
Registros de creación de depósitos de GCS	resource.type="gcs_bucket" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.method_name="storage.buckets.create"
Registros de eliminación de depósitos de GCS	resource.type="gcs_bucket" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.method_name="storage.buckets.delete"

Consultas de Compute Engine

Nombre de la consulta o del filtro	Expresión
Registros de actividad del administrador de Compute Engine	resource.type="gce_instance" AND log_id("cloudaudit.googleapis.com/activity")
Eliminación de reglas de firewall de Compute Engine	resource.type="gce_firewall_rule" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"firewalls.delete"
Syslogs de VM de Compute Engine	resource.type="gce_instance" AND log_id("syslog")
Authlogs de VM de Compute Engine	resource.type="gce_instance" AND log_id("authlog")
Error de host de Compute Engine	resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName:"compute.instances.hostError" OR operation.producer:"compute.instances.hostError") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="`INSTANCE_ID`" severity=INFO
Alerta de memoria del host de Compute Engine	resource.type="gce_instance" AND protoPayload.serviceName="compute.googleapis.com" AND (jsonPayload.methodName:"compute.instances.host_event_notify" OR operation.producer:"compute.instances.host_event_notify") AND log_id("cloudaudit.googleapis.com/host_event_notify") AND resource.labels.instance_id="`INSTANCE_ID`" AND severity=CRITICAL
Se migró el host de Compute Engine	resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName: "compute.instances.migrateOnHostMaintenance" OR operation.producer: "compute.instances.migrateOnHostMaintenance") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="`INSTANCE_ID`" severity=INFO
VM de Compute Engine cancelada o interrumpida	resource.type="gce_instance" protoPayload.methodName=~"compute\.instances\.(guestTerminate\|preempted)" log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="`INSTANCE_ID`"
La VM de Compute Engine se cerró debido a un error de creación del disco de almacenamiento en caché	resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName="compute.instances.scratchDiskCreationFailed" OR operation.producer: "compute.instances.scratchDiskCreationFailed) log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="`INSTANCE_ID`" severity=INFO
Se creó la instancia de VM de Compute Engine	resource.type="gce_instance" protoPayload.methodName:"compute.instances.insert" log_id("cloudaudit.googleapis.com/activity") protoPayload.request.name="`INSTANCE_NAME`"
Se borró la instancia de VM de Compute Engine con el nombre	resource.type="gce_instance" protoPayload.methodName:"compute.instances.delete" log_id("cloudaudit.googleapis.com/activity") protoPayload.resourceName:"`INSTANCE_NAME`"
Se borró la instancia de VM de Compute Engine con el ID	resource.type="gce_instance" protoPayload.methodName:"compute.instances.delete" log_id("cloudaudit.googleapis.com/activity") resource.labels.instance_id="`INSTANCE_ID`"
Se reinició la instancia de VM de Compute Engine	resource.type="gce_instance" protoPayload.methodName=~"compute\.instances\.( stop\|reset\|automaticRestart\|guestTerminate\| instanceManagerHaltForRestart)" (log_id("cloudaudit.googleapis.com/activity") OR log_id("cloudaudit.googleapis.com/system_event")) resource.labels.instance_id="`INSTANCE_ID`"
Falla de integridad del inicio de la VM protegida de Compute Engine	resource.type="gce_instance" log_id("compute.googleapis.com/shielded_vm_integrity") jsonPayload.earlyBootReportEvent.policyEvaluationPassed="false" resource.labels.instance_id="`INSTANCE_ID`"
El SO invitado detuvo la instancia de VM de Compute Engine	resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName:"compute.instances.guestTerminate" OR operation.producer:"compute.instances.guestTerminate") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="`INSTANCE_ID`" severity=INFO
Se bloqueó el archivo de inicio de la VM protegida de Compute Engine	resource.type="gce_instance" log_id("serialconsole.googleapis.com/serial_port_1_output") textPayload:("Security Violation") resource.labels.instance_id="`INSTANCE_ID`"
Se creó el disco persistente	resource.type="gce_disk" AND protoPayload.methodName:"compute.disks.insert" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.resourceName: "`PERSISTENT_DISK_NAME`"
Nodos agregados en el nodo de usuario único	resource.type="gce_node_group" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName=~("compute.nodeGroups.addNodes" OR "compute.nodeGroups.insert") resource.labels.node_group_id="`NODE_GROUP_ID`" severity="INFO"
Eventos de ajuste de escala automático en el nodo de usuario único	resource.type="gce_node_group" log_id("cloudaudit.googleapis.com/system_event") protoPayload.methodName=~("compute.nodeGroups.deleteNodes" OR "compute.nodeGroups.addNodes") resource.labels.node_group_id="`NODE_GROUP_ID`"
Se tomó una instantánea manual	resource.type="gce_snapshot" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.snapshots.insert" protoPayload.resourceName:"`SNAPSHOT_NAME`"
Se tomó la instantánea programada	resource.type="gce_disk" log_id("cloudaudit.googleapis.com/system_event") protoPayload.methodName="ScheduledSnapshots" protoPayload.response.operationType="createSnapshot" protoPayload.response.targetLink="`PERSISTENT_DISK_NAME`"
Se creó la programación de instantáneas	resource.type="gce_resource_policy" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.resourcePolicies.insert" protoPayload.request.name="`SCHEDULE_NAME`"
Se adjuntó la programación de instantáneas	resource.type="gce_disk" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.disks.addResourcePolicies" protoPayload.request.resourcePolicys:"`SCHEDULE_NAME`" protoPayload.resourceName:"`PERSISTENT_DISK_NAME`"
Se superó la cuota	resource.type="gce_instance" protoPayload.methodName:"compute.instances.insert" protoPayload.status.message:"QUOTA_EXCEEDED" severity=ERROR
Cómo consultar instancias en mal estado en un grupo de instancias	resource.type="gce_instance_group" resource.labels.instance_group_name="`INSTANCE_GROUP_NAME"` jsonPayload.healthCheckProbeResult.healthState="UNHEALTHY"
Consulta los miembros del grupo de instancias en un período en formato de hora UTC	resource.type="gce_instance_group_manager" resource.labels.instance_group_manager_name="`INSTANCE_GROUP_NAME`" jsonPayload.@type= "type.googleapis.com/compute.InstanceGroupManagerEvent" jsonPayload.instanceHealthStateChange.detailedHealthState="HEALTHY" timestamp >= `START_TIME` timestamp <= `END_TIME`
Instancias agregadas al grupo de instancias	resource.type="gce_instance_group" protoPayload.methodName:"compute.instanceGroups.addInstances" log_id("cloudaudit.googleapis.com/activity") resource.labels.instance_group_name="`INSTANCE_GROUP_NAME`"
Instancias quitadas del grupo de instancias	resource.type="gce_instance_group" protoPayload.methodName:"compute.instanceGroups.removeInstances" log_id("cloudaudit.googleapis.com/activity") resource.labels.instance_group_name="`INSTANCE_GROUP_NAME`"
Se estableció o se actualizó la plantilla de instancias	resource.type="gce_instance_group_manager" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName= "v1.compute.instanceGroupManagers.setInstanceTemplate" resource.labels.instance_group_manager_name="`INSTANCE_GROUP_MANAGER`"
Se borró la regla de firewall	resource.type="gce_firewall_rule" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"firewalls.delete"
Registros de firewall	resource.type="gce_subnetwork" log_id("compute.googleapis.com/firewall") jsonPayload.instance.vm_name="`INSTANCE_NAME`"

Consultas de Google Cloud Observability

Nombre de la consulta o del filtro	Expresión
Actividades del receptor de registros	resource.type="logging_sink" AND log_id("cloudaudit.googleapis.com/activity")

Consultas de la administración de identidades y accesos

Nombre de la consulta o del filtro	Expresión
Registros de creación de cuentas de servicio	resource.type="service_account" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.iam.admin.v1.CreateServiceAccount"
Registros de claves de creación de cuentas de servicio	resource.type="service_account" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.iam.admin.v1.CreateServiceAccountKey"
Configurar registros de política de control de acceso	resource.type="project" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="SetIamPolicy"
Principal externo con acceso a la organización	resource.type="project" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog" AND protoPayload.request.@type:"IamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:* AND NOT protoPayload.serviceData.policyDelta.bindingDeltas.member:"@`DOMAIN_NAME`.com"
Creación, modificación o eliminación de recursos	log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:("create" OR "delete" OR "update")
Rol otorgado a la principal	log_id("cloudaudit.googleapis.com/activity") AND resource.type="project" AND protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.action="Add" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:"`EMAIL_ID`"
Se quitó el rol de la principal	log_id("cloudaudit.googleapis.com/activity") AND resource.type="project" AND protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.action="Remove" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:"`EMAIL_ID`"
Se actualizó el permiso en un rol personalizado	log_id("cloudaudit.googleapis.com/activity") AND resource.type="iam_role" AND protoPayload.serviceName="iam.googleapis.com" AND protoPayload.methodName:"UpdateRole" AND resource.labels.role_name:"`ROLE_ID`"

Consultas relacionadas con Kubernetes

Para obtener una descripción general y ejemplos de consultas de registro de auditoría de actividad del administrador, consulta las proporcionadas en la página de registro de auditoría de GKE.

Consultas a nivel de clúster

Nombre de la consulta o del filtro	Expresión
Operaciones del clúster de Google Kubernetes Engine	resource.type="gke_cluster" AND log_id("cloudaudit.googleapis.com/activity")
Creacióndel clúster de Google Kubernetes Engine	resource.type="gke_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.container.v1.ClusterManager.CreateCluster"
Implementación del clúster de Kubernetes	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"deployments"
Error de autenticación del clúster de Kubernetes	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.authenticationInfo.principalEmail="system:anonymous"
Operaciones y eventos de clúster de Kubernetes en `us-central1-b`	resource.type="k8s_cluster" AND resource.labels.location="us-central1-b"
Solicitudes del pod de Kubernetes de parte de los usuarios	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"io.k8s.core.v1.pods" AND protoPayload.authenticationInfo.principalEmail="`USER_EMAIL`"
Eventos de Kubernetes	resource.type="k8s_cluster" AND log_id("events")
Actualización de los extremos de Kubernetes	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.request.kind="Endpoints"
Registros del plano de control de Kubernetes	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.serviceName="k8s.io"
Registros del plano de control de Kubernetes Engine	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.serviceName="container.googleapis.com"
Eliminación de pods	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName=~"io\.k8s\.core\.v1\.pods\.(create\|delete)"
Registros de auditoría de Pods de Kubernetes desde el plano de control	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.resourceName="core/v1/namespaces/`POD_NAMESPACE`/pods/`POD_NAME`
Expulsiones de Pods de Kubernetes	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="io.k8s.core.v1.pods.eviction.create"
Registros de auditoría de nodos de Kubernetes del plano de control	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"io.k8s.core.v1.nodes"
Plano de control del clúster de Kubernetes para la actividad del administrador de complementos	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.authenticationInfo.principalEmail="system:addon-manager"
Errores del plano de control de Kubernetes (sin incluir `Conflict`, que es normal)	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.status.message!="Conflict" AND protoPayload.status.code!=0
Eventos del controlador de Ingress	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="loadbalancer-controller"
Eventos del controlador de servicio (kube-controller-manager)	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="service-controller"
Eventos del escalador automático de clúster	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="cluster-autoscaler"

Consultas a nivel del pod

Nombre del filtro	Expresión
Pod de consulta durante la creación	resource.type="k8s_pod" AND resource.labels.pod_name="`POD_NAME`" AND log_id("events")
Se cerró el pod de consulta debido a la presión de recursos	resource.type="k8s_pod" AND log_id("events") AND jsonPayload.reason="Evicted"
Eventos de programador	resource.type="k8s_pod" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="default-scheduler"
Eventos de programador (interrupciones)	resource.type="k8s_pod" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="default-scheduler" AND jsonPayload.reason="Preempted"

Consultas a nivel de nodo

Nombre del filtro	Expresión
Eventos de nodos	resource.type="k8s_node" AND log_id("events")
Observa registros del proxy de Kubernetes	resource.type="k8s_node" AND log_id("kube-proxy")
Observa registros de Docker	resource.type="k8s_node" AND log_id("container-runtime")
Observa errores o fallas de kubelet	resource.type="k8s_node" AND log_id("kubelet") AND jsonPayload.MESSAGE:("error" OR "fail")
Observa registros de nodos para los registros del sistema de GKE	resource.type = "k8s_node" logName:( "logs/container-runtime" OR "logs/docker" OR "logs/kube-container-runtime-monitor" OR "logs/kube-logrotate" OR "logs/kube-node-configuration" OR "logs/kube-node-installation" OR "logs/kubelet" OR "logs/kubelet-monitor" OR "logs/node-journal" OR "logs/node-problem-detector")

Consultas de espacio de nombres

Nombre del filtro	Expresión
Registros de contenedores y Pods para los registros del sistema de GKE	resource.type = ("k8s_container" OR "k8s_pod") resource.labels.namespace_name = ( "cnrm-system" OR "config-management-system" OR "gatekeeper-system" OR "gke-connect" OR "gke-system" OR "istio-system" OR "knative-serving" OR "monitoring-system" OR "kube-system")

Nombre del filtro

Expresión

Registros de contenedores y Pods para los registros del sistema de GKE

resource.type = ("k8s_container" OR "k8s_pod")
resource.labels.namespace_name = (
"cnrm-system" OR
"config-management-system" OR
"gatekeeper-system" OR
"gke-connect" OR
"gke-system" OR
"istio-system" OR
"knative-serving" OR
"monitoring-system" OR
"kube-system")

Consultas de contenedores

Nombre del filtro	Expresión
Registros del contenedor de stdout en todos los pods y los contenedores de un clúster	resource.type="k8s_container" AND log_id("stdout")
Registros de errores del contenedor en todos los pods y los contenedores de un clúster	resource.type="k8s_container" AND log_id("stderr") AND severity=ERROR
Registros de errores del contenedor de un pod con un nombre específico	resource.type="k8s_container" AND resource.labels.pod_name="`POD_NAME`" AND severity=ERROR
Registros de errores de un contenedor específico en un pod específico	resource.type="k8s_container" AND resource.labels.pod_name="`POD_NAME`" AND resource.labels.container_name="server" AND severity=ERROR
Registros de errores del contenedor de un espacio de nombres y un contenedor específicos	resource.type="k8s_container" AND resource.labels.namespace_name="istio-system" AND resource.labels.container_name="egressgateway" AND severity=ERROR
Registros del contenedor de un pod con una etiqueta específica	resource.type="k8s_container" AND labels."k8s-pod/app"="loadgenerator" AND severity=ERROR
Registros de errores del contenedor para los Pods que se ejecutan en un nodo específico	resource.type="k8s_container" AND labels."compute.googleapis.com/resource_name"=NODE_NAME AND severity=ERROR
Registros del contenedor de un pod con una etiqueta generada mediante Skaffold	resource.type="k8s_container" AND labels."k8s-pod/app"="loadgenerator" AND labels."k8s-pod/skaffold_dev/run-id"=`SKAFFOLD_RUN_ID` severity=ERROR
Registros de errores del contenedor de un pod específico que contiene un `POST` en el textPayload	resource.type="k8s_container" AND resource.labels.pod_name="`POD_NAME`" AND textPayload:"POST" AND severity=ERROR
Registros de errores del contenedor de un pod específico que contiene un `GET` en el JSON estructurado	resource.type="k8s_container" AND resource.labels.pod_name="`POD_NAME`" AND jsonPayload."http.req.method"="GET" AND severity=ERROR
Registros de errores del contenedor en el espacio de nombres del sistema de Kubernetes	resource.type="k8s_container" AND resource.labels.namespace_name="kube-system" AND severity=ERROR
Error del contenedor en el registro de estadísticas del contenedor	resource.type="k8s_container" AND log_id("clouderrorreporting.googleapis.com/insights")
Registros de contenedores de Kubernetes	resource.type="k8s_container" AND resource.labels.container_name="`CONTAINER_NAME`"

Consultas del plano de control

Nota: Se deben habilitar los registros del plano de control de GKE.

Nombre del filtro	Expresión
Registros del servidor de la API de Kubernetes	resource.type="k8s_control_plane_component" resource.labels.component_name="apiserver" resource.labels.location="`CLUSTER_LOCATION`" resource.labels.cluster_name="`CLUSTER_NAME`"
Registros de Kubernetes Scheduler	resource.type="k8s_control_plane_component" resource.labels.component_name="scheduler" resource.labels.location="`CLUSTER_LOCATION`" resource.labels.cluster_name="`CLUSTER_NAME`"
Registros del administrador del controlador de Kubernetes	resource.type="k8s_control_plane_component" resource.labels.component_name="controller-manager" resource.labels.location="`CLUSTER_LOCATION`" resource.labels.cluster_name="`CLUSTER_NAME`"

Nombre del filtro

Expresión

Registros del servidor de la API de Kubernetes

resource.type="k8s_control_plane_component"
resource.labels.component_name="apiserver"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"

Registros de Kubernetes Scheduler

resource.type="k8s_control_plane_component"
resource.labels.component_name="scheduler"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"

Registros del administrador del controlador de Kubernetes

resource.type="k8s_control_plane_component"
resource.labels.component_name="controller-manager"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"

Consultas de cargas de trabajo de TPU

Nota: Se deben habilitar el registro del sistema y de las cargas de trabajo de GKE.

Nombre del filtro	Expresión
Registros del contenedor de stdout en todos los nodos de TPU con el mismo prefijo	resource.type="k8s_container" AND labels."compute.googleapis.com/resource_name"=~"`TPU_NODE_PREFIX`.*" AND log_id("stdout")
Registros de errores del contenedor en todos los nodos de TPU con el mismo prefijo	resource.type="k8s_container" AND labels."compute.googleapis.com/resource_name"=~"`TPU_NODE_PREFIX`.*" AND log_id("stderr") AND severity=ERROR
Registros del contenedor de stdout del mismo trabajo de GKE	resource.type="k8s_container" AND labels."k8s-pod/batch.kubernetes.io/job-name" = "`JOB_NAME`" AND log_id("stdout")
Registros de errores del contenedor del mismo trabajo de GKE	resource.type="k8s_container" AND labels."k8s-pod/batch.kubernetes.io/job-name"="`JOB_NAME`" AND log_id("stderr") AND severity=ERROR
Registros del contenedor de stdout del mismo JobSet de GKE	resource.type="k8s_container" AND labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="`JOBSET_NAME`" AND log_id("stdout")
Registros de errores del contenedor del mismo JobSet de GKE	resource.type="k8s_container" AND labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="`JOBSET_NAME`" AND log_id("stderr") AND severity=ERROR

Consultas de Herramientas de redes

Nombre de la consulta o del filtro	Expresión
Firewall: todos los registros	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall")
Registros de firewall para un país determinado	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND jsonPayload.remote_location.country=`COUNTRY_ISO_ALPHA_3`
Registros de firewall de una VM	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND jsonPayload.instance.vm_name="`INSTANCE_NAME`"
Registros de subred de firewall	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND resource.labels.subnetwork_name="`SUBNET_NAME`"
Registros de tráfico de subred de Compute Engine a una subred	resource.type="gce_subnetwork" AND ip_in_net(jsonPayload.connection.dest_ip, "`SUBNET_IP`")
Registros de flujo de VPC	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows")
Registros de flujo de VPC para un puerto y protocolo específicos	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND jsonPayload.connection.src_port="`PORT_ID`" AND jsonPayload.connection.protocol="`PROTOCOL`"
Registros de flujo de VPC para una subred específica	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND resource.labels.subnetwork_name"=`SUBNET_NAME`"
Registros de flujo de VPC para el prefijo de subred específico	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND ip_in_net(jsonPayload.connection.dest_ip,`SUBNET_IP`)
Registros de flujo de VPC para una VM específica	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND jsonPayload.src_instance.vm_name="`VM_NAME`"
Registros de puerta de enlace de VPN	resource.type="vpn_gateway" AND resource.labels.gateway_id="`GATEWAY_ID`"
Errores 5xx del balanceador de cargas HTTP	resource.type="http_load_balancer" AND httpRequest.status>=500
Solicitudes del balanceador de cargas HTTP a PHPMyAdmin	resource.type="http_load_balancer" AND httpRequest.request_url:"phpmyadmin"

Consultas de seguridad

Nombre de la consulta o del filtro	Expresión
Registros de auditoría: todo	logName:"cloudaudit.googleapis.com"
Registros de auditoría: Transparencia de acceso (AXT)	log_id("cloudaudit.googleapis.com/access_transparency")
Registros de auditoría: Actividad del administrador	log_id("cloudaudit.googleapis.com/activity")
Registros de auditoría: Acceso a los datos	log_id("cloudaudit.googleapis.com/data_access")
Registros de auditoría: Evento del sistema	log_id("cloudaudit.googleapis.com/system_event")

Soluciona problemas

Para obtener instrucciones sobre cómo solucionar problemas habituales cuando se usa el Explorador de registros, consulta Cómo usar el Explorador de registros: Solución de problemas.

¿Qué sigue?

Para obtener más información sobre la sintaxis de la consulta, que puedes usar para personalizar estas consultas, consulta Lenguaje de consulta de Logging.

Para obtener más información sobre cómo realizar consultas en la Trusted Cloud consola, consulta Crea consultas con el lenguaje de consulta de Logging.