Algumas ou todas as informações nesta página podem não se aplicar à Trusted Cloud by S3NS. Consulte o artigo Diferenças em relação ao Google Cloud para mais detalhes.

Esta página foi traduzida pela API Cloud Translation.

Consultas de exemplo

Este documento fornece-lhe consultas sugeridas para facilitar a localização de registos importantes através do Explorador de registos na Trusted Cloud consola. As consultas apresentadas estão escritas na linguagem de consulta de registo e podem ser usadas no Explorador de registos, na API Logging ou na interface de linha de comandos.

O Explorador de registos usa expressões booleanas para especificar um subconjunto de todas as entradas de registo no seu projeto. Pode usar estas consultas para escolher entradas de registo de registos ou serviços de registo específicos, ou que satisfaçam condições em metadados ou campos definidos pelo utilizador.

Antes de começar

Certifique-se de que tem as autorizações ou as funções de gestão de identidade e de acesso corretas para criar consultas com o Explorador de registos. Para ver detalhes sobre as autorizações de IAM necessárias, consulte o artigo Autorizações para a Trusted Cloud consola.

Começar

Na Trusted Cloud consola, aceda à página Explorador de registos:
Aceda ao Explorador de registos

Se usar a barra de pesquisa para encontrar esta página, selecione o resultado cuja legenda é Registo.
Selecione o Trusted Cloud projeto ou outro Trusted Cloud recurso adequado para o qual quer ver registos.

Use as consultas de exemplo

Para aplicar uma consulta das tabelas seguintes, clique no ícone Copiar conteúdo para a expressão e, de seguida, cole a expressão copiada no campo do editor de consultas do Logs Explorer.

Se não vir o campo do editor de consultas, ative a opção Mostrar consulta.

Depois de rever a expressão da consulta, clique em Executar consulta. Os registos que correspondem à sua consulta são apresentados em Resultados da consulta.

Algumas das consultas listadas mais adiante nesta página incluem variáveis que deve substituir por valores válidos. Por exemplo, quando uma consulta inclui logName, o PROJECT_ID que fornecer tem de se referir aoTrusted Cloud projeto selecionado; caso contrário, a consulta não funciona.

Tenha em conta o seguinte:

Se tiver uma consulta com uma indicação de tempo, o seletor de intervalo de tempo está desativado e a consulta usa a expressão de indicação de tempo como restrição de intervalo de tempo. Se uma consulta não usar uma expressão de data/hora, a consulta usa o seletor de intervalo de tempo como restrição de intervalo de tempo.
O comprimento de uma consulta não pode exceder 20 000 carateres.
A linguagem de consulta de registo não é sensível a maiúsculas e minúsculas, com exceção das expressões regulares.
Pode usar a função log_id para consultas com uma expressão log_name. Por exemplo, a expressão log_name="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access" é igual a log_id("cloudaudit.googleapis.com/data_access"). Para mais informações sobre a função log_id, consulte Linguagem de consulta de registo: funções.

Para obter instruções sobre como consultar na Trusted Cloud consola, consulte Crie consultas no Explorador de registos.

As secções seguintes agrupam as consultas por Trusted Cloud serviços.

Consultas do BigQuery

Nome da consulta/filtro	Expressão
Registos de auditoria do BigQuery	resource.type=("bigquery_dataset" OR "bigquery_project") AND logName:"cloudaudit.googleapis.com"
Registos de auditoria do BigQuery para um projeto	resource.type="bigquery_project" AND logName:"cloudaudit.googleapis.com"
Registos de auditoria do BigQuery para um conjunto de dados	resource.type="bigquery_dataset" AND logName:"cloudaudit.googleapis.com"
Registos de auditoria do BigQuery para o modelo do BI Engine	resource.type="bigquery_biengine_model" AND logName:"cloudaudit.googleapis.com"
Registos de auditoria do BigQuery para uma execução do Serviço de transferência de dados.	resource.type="bigquery_dts_run" AND logName:"cloudaudit.googleapis.com"
Registos de auditoria do BigQuery para uma configuração do Serviço de transferência de dados.	resource.type="bigquery_dts_config" AND logName:"cloudaudit.googleapis.com"
Tarefas do Serviço de transferência de dados do BigQuery	resource.type=("bigquery_project") AND protoPayload.requestMetadata.callerSuppliedUserAgent= "BigQuery Data Transfer Service" AND protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR "google.cloud.bigquery.v2.JobService.Query")
Registos de execução de transferências do BigQuery	resource.type="bigquery_dts_config" AND labels.run_id="`RUN_ID`" AND resource.labels.config_id="`CONFIG_ID`"
Atualizações do conjunto de dados do BigQuery	resource.type="bigquery_dataset" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName= "google.cloud.bigquery.v2.DatasetService.UpdateDataset"
Tarefas do BigQuery concluídas	resource.type="bigquery_project" AND log_id("cloudaudit.googleapis.com/data_access") AND protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR "google.cloud.bigquery.v2.JobService.Query")
Consultas grandes do BigQuery	resource.type="bigquery_project" AND protoPayload.metadata.jobChange.job.jobStats.queryStats.totalBilledBytes > 1073741824
Quota do BigQuery excedida	resource.type=("bigquery_dataset" OR "bigquery_project") AND protoPayload.status.code=8 AND severity>=WARNING
Consulta do BigQuery iniciada	resource.type="bigquery_project" AND protoPayload.metadata.jobInsertion.reason:*
Tarefas de carregamento/extração simultâneas do BigQuery	resource.type="bigquery_resource" AND protoPayload.methodName="jobservice.insert" AND protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query: "extract"
Registos de auditoria do BigQuery para a política de acesso ao nível da linha	protoPayload.methodName="jobservice.insert" AND protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query:"ROW ACCESS POLICY"

Consultas do Cloud SQL

Nome da consulta/filtro	Expressão
Registos de auditoria do Cloud SQL	resource.type="cloudsql_database" AND resource.labels.database_id="`DATABASE_ID`" AND log_id("cloudaudit.googleapis.com/activity")
Registos de erros do Cloud SQL MySQL	resource.type="cloudsql_database" AND log_id("cloudsql.googleapis.com/mysql.err")
Bases de dados baseadas no Cloud SQL MySQL	resource.type="cloudsql_database" AND resource.labels.database_id="`DATABASE_ID`" AND log_id("cloudsql.googleapis.com/mysql")
Bases de dados baseadas no Cloud SQL Postgres	resource.type="cloudsql_database" AND resource.labels.database_id="`DATABASE_ID`" AND log_id("cloudsql.googleapis.com/postgres.log")
Registos de erros do SQL Server do Cloud SQL	resource.type="cloudsql_database" AND log_id("cloudsql.googleapis.com/sqlserver.err")
Bases de dados baseadas no SQL Server do Cloud SQL	resource.type="cloudsql_database" AND resource.labels.database_id="`DATABASE_ID`" AND log_id("cloudsql.googleapis.com/sqlagent.out")

Consultas do Cloud Storage

Nome da consulta/filtro	Expressão
Registos do contentor do GCS	resource.type="gcs_bucket" AND resource.labels.bucket_name="`BUCKET_NAME`"
Registos de auditoria de contentores do GCS	resource.type="gcs_bucket" AND logName:"cloudaudit.googleapis.com"
Registos de criação de contentores do GCS	resource.type="gcs_bucket" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.method_name="storage.buckets.create"
Registos de eliminação de contentores do GCS	resource.type="gcs_bucket" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.method_name="storage.buckets.delete"

Consultas do Compute Engine

Nome da consulta/filtro	Expressão
Registos de atividade de administrador do Compute Engine	resource.type="gce_instance" AND log_id("cloudaudit.googleapis.com/activity")
Eliminação de regras de firewall do Compute Engine	resource.type="gce_firewall_rule" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"firewalls.delete"
Syslogs de VMs do Compute Engine	resource.type="gce_instance" AND log_id("syslog")
Authlogs de VMs do Compute Engine	resource.type="gce_instance" AND log_id("authlog")
Erro do anfitrião do Compute Engine	resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName:"compute.instances.hostError" OR operation.producer:"compute.instances.hostError") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="`INSTANCE_ID`" severity=INFO
Alerta de memória do anfitrião do Compute Engine	resource.type="gce_instance" AND protoPayload.serviceName="compute.googleapis.com" AND (jsonPayload.methodName:"compute.instances.host_event_notify" OR operation.producer:"compute.instances.host_event_notify") AND log_id("cloudaudit.googleapis.com/host_event_notify") AND resource.labels.instance_id="`INSTANCE_ID`" AND severity=CRITICAL
Anfitrião do Compute Engine migrado	resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName: "compute.instances.migrateOnHostMaintenance" OR operation.producer: "compute.instances.migrateOnHostMaintenance") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="`INSTANCE_ID`" severity=INFO
VM do Compute Engine terminada/preemptiva	resource.type="gce_instance" protoPayload.methodName=~"compute\.instances\.(guestTerminate\|preempted)" log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="`INSTANCE_ID`"
VM do Compute Engine terminada devido a falha na criação do disco temporário	resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName="compute.instances.scratchDiskCreationFailed" OR operation.producer: "compute.instances.scratchDiskCreationFailed) log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="`INSTANCE_ID`" severity=INFO
Instância de VM do Compute Engine criada	resource.type="gce_instance" protoPayload.methodName:"compute.instances.insert" log_id("cloudaudit.googleapis.com/activity") protoPayload.request.name="`INSTANCE_NAME`"
Instância de VM do Compute Engine eliminada com o nome	resource.type="gce_instance" protoPayload.methodName:"compute.instances.delete" log_id("cloudaudit.googleapis.com/activity") protoPayload.resourceName:"`INSTANCE_NAME`"
Instância de VM do Compute Engine eliminada com o ID	resource.type="gce_instance" protoPayload.methodName:"compute.instances.delete" log_id("cloudaudit.googleapis.com/activity") resource.labels.instance_id="`INSTANCE_ID`"
A instância de VM do Compute Engine foi reiniciada	resource.type="gce_instance" protoPayload.methodName=~"compute\.instances\.( stop\|reset\|automaticRestart\|guestTerminate\| instanceManagerHaltForRestart)" (log_id("cloudaudit.googleapis.com/activity") OR log_id("cloudaudit.googleapis.com/system_event")) resource.labels.instance_id="`INSTANCE_ID`"
Falha na integridade do arranque da VM protegida do Compute Engine	resource.type="gce_instance" log_id("compute.googleapis.com/shielded_vm_integrity") jsonPayload.earlyBootReportEvent.policyEvaluationPassed="false" resource.labels.instance_id="`INSTANCE_ID`"
Instância de VM do Compute Engine parada pelo SO convidado	resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName:"compute.instances.guestTerminate" OR operation.producer:"compute.instances.guestTerminate") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="`INSTANCE_ID`" severity=INFO
O ficheiro de arranque da VM protegida do Compute Engine foi bloqueado	resource.type="gce_instance" log_id("serialconsole.googleapis.com/serial_port_1_output") textPayload:("Security Violation") resource.labels.instance_id="`INSTANCE_ID`"
Persistent Disk criado	resource.type="gce_disk" AND protoPayload.methodName:"compute.disks.insert" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.resourceName: "`PERSISTENT_DISK_NAME`"
Nós adicionados no nó de inquilino único	resource.type="gce_node_group" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName=~("compute.nodeGroups.addNodes" OR "compute.nodeGroups.insert") resource.labels.node_group_id="`NODE_GROUP_ID`" severity="INFO"
Aumente ou diminua automaticamente a escala de eventos no nó de inquilino único	resource.type="gce_node_group" log_id("cloudaudit.googleapis.com/system_event") protoPayload.methodName=~("compute.nodeGroups.deleteNodes" OR "compute.nodeGroups.addNodes") resource.labels.node_group_id="`NODE_GROUP_ID`"
Instantâneo manual tirado	resource.type="gce_snapshot" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.snapshots.insert" protoPayload.resourceName:"`SNAPSHOT_NAME`"
Instantâneo agendado tirado	resource.type="gce_disk" log_id("cloudaudit.googleapis.com/system_event") protoPayload.methodName="ScheduledSnapshots" protoPayload.response.operationType="createSnapshot" protoPayload.response.targetLink="`PERSISTENT_DISK_NAME`"
Agendamento de instantâneos criado	resource.type="gce_resource_policy" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.resourcePolicies.insert" protoPayload.request.name="`SCHEDULE_NAME`"
Programação de instantâneos anexada	resource.type="gce_disk" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.disks.addResourcePolicies" protoPayload.request.resourcePolicys:"`SCHEDULE_NAME`" protoPayload.resourceName:"`PERSISTENT_DISK_NAME`"
Quota excedida	resource.type="gce_instance" protoPayload.methodName:"compute.instances.insert" protoPayload.status.message:"QUOTA_EXCEEDED" severity=ERROR
Consultar instâncias não íntegras no grupo de instâncias	resource.type="gce_instance_group" resource.labels.instance_group_name="`INSTANCE_GROUP_NAME"` jsonPayload.healthCheckProbeResult.healthState="UNHEALTHY"
Consultar membros do grupo de instâncias num período em formato de hora UTC	resource.type="gce_instance_group_manager" resource.labels.instance_group_manager_name="`INSTANCE_GROUP_NAME`" jsonPayload.@type= "type.googleapis.com/compute.InstanceGroupManagerEvent" jsonPayload.instanceHealthStateChange.detailedHealthState="HEALTHY" timestamp >= `START_TIME` timestamp <= `END_TIME`
Instâncias adicionadas ao grupo de instâncias	resource.type="gce_instance_group" protoPayload.methodName:"compute.instanceGroups.addInstances" log_id("cloudaudit.googleapis.com/activity") resource.labels.instance_group_name="`INSTANCE_GROUP_NAME`"
Instâncias removidas do grupo de instâncias	resource.type="gce_instance_group" protoPayload.methodName:"compute.instanceGroups.removeInstances" log_id("cloudaudit.googleapis.com/activity") resource.labels.instance_group_name="`INSTANCE_GROUP_NAME`"
O modelo de instância foi definido ou atualizado	resource.type="gce_instance_group_manager" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName= "v1.compute.instanceGroupManagers.setInstanceTemplate" resource.labels.instance_group_manager_name="`INSTANCE_GROUP_MANAGER`"
Regra de firewall eliminada	resource.type="gce_firewall_rule" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"firewalls.delete"
Registos da firewall	resource.type="gce_subnetwork" log_id("compute.googleapis.com/firewall") jsonPayload.instance.vm_name="`INSTANCE_NAME`"

Consultas da observabilidade do Google Cloud

Nome da consulta/filtro	Expressão
Atividades do sink de registo	resource.type="logging_sink" AND log_id("cloudaudit.googleapis.com/activity")

Consultas de gestão de identidade e de acesso

Nome da consulta/filtro	Expressão
Registos de criação de contas de serviço	resource.type="service_account" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.iam.admin.v1.CreateServiceAccount"
Registos de chaves de criação de contas de serviço	resource.type="service_account" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.iam.admin.v1.CreateServiceAccountKey"
Defina registos da política de controlo de acesso	resource.type="project" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="SetIamPolicy"
Principal externo com acesso concedido à organização	resource.type="project" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog" AND protoPayload.request.@type:"IamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:* AND NOT protoPayload.serviceData.policyDelta.bindingDeltas.member:"@`DOMAIN_NAME`.com"
Criação, modificação ou eliminação de recursos	log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:("create" OR "delete" OR "update")
Função concedida ao principal	log_id("cloudaudit.googleapis.com/activity") AND resource.type="project" AND protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.action="Add" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:"`EMAIL_ID`"
Função removida do principal	log_id("cloudaudit.googleapis.com/activity") AND resource.type="project" AND protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.action="Remove" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:"`EMAIL_ID`"
Autorização atualizada numa função personalizada	log_id("cloudaudit.googleapis.com/activity") AND resource.type="iam_role" AND protoPayload.serviceName="iam.googleapis.com" AND protoPayload.methodName:"UpdateRole" AND resource.labels.role_name:"`ROLE_ID`"

Consultas relacionadas com o Kubernetes

Para uma vista geral e exemplos de consultas de registos de auditoria da atividade do administrador, consulte os exemplos fornecidos na página de registos de auditoria do GKE.

Consultas ao nível do cluster

Nome da consulta/filtro	Expressão
Operações de cluster do Google Kubernetes Engine	resource.type="gke_cluster" AND log_id("cloudaudit.googleapis.com/activity")
Criação de clusters do Google Kubernetes Engine	resource.type="gke_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.container.v1.ClusterManager.CreateCluster"
Implementação de clusters do Kubernetes	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"deployments"
Falha na autenticação do cluster Kubernetes	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.authenticationInfo.principalEmail="system:anonymous"
Operações e eventos do cluster Kubernetes em `us-central1-b`	resource.type="k8s_cluster" AND resource.labels.location="us-central1-b"
Pedidos de pods do Kubernetes de utilizadores	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"io.k8s.core.v1.pods" AND protoPayload.authenticationInfo.principalEmail="`USER_EMAIL`"
Eventos do Kubernetes	resource.type="k8s_cluster" AND log_id("events")
Atualização dos pontos finais do Kubernetes	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.request.kind="Endpoints"
Registos do plano de controlo do Kubernetes	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.serviceName="k8s.io"
Registos do plano de controlo do Kubernetes Engine	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.serviceName="container.googleapis.com"
Eliminação de agrupamentos	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName=~"io\.k8s\.core\.v1\.pods\.(create\|delete)"
Registos de auditoria de pods do Kubernetes a partir do plano de controlo	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.resourceName="core/v1/namespaces/`POD_NAMESPACE`/pods/`POD_NAME`
Despejos de pods do Kubernetes	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="io.k8s.core.v1.pods.eviction.create"
Registos de auditoria de nós do Kubernetes a partir do plano de controlo	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"io.k8s.core.v1.nodes"
Painel de controlo do cluster Kubernetes para a atividade do gestor de suplementos	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.authenticationInfo.principalEmail="system:addon-manager"
Erros do painel de controlo do Kubernetes (excluindo `Conflict`, que é normal)	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.status.message!="Conflict" AND protoPayload.status.code!=0
Eventos do controlador de entrada	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="loadbalancer-controller"
Eventos do controlador de serviços (kube-controller-manager)	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="service-controller"
Eventos do redimensionador automático de clusters	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="cluster-autoscaler"

Consultas ao nível do pod

Nome do filtro	Expressão
Consulte o agrupamento durante a criação	resource.type="k8s_pod" AND resource.labels.pod_name="`POD_NAME`" AND log_id("events")
O pod de consulta foi terminado devido à pressão dos recursos	resource.type="k8s_pod" AND log_id("events") AND jsonPayload.reason="Evicted"
Eventos do programador	resource.type="k8s_pod" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="default-scheduler"
Eventos do programador (preempções)	resource.type="k8s_pod" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="default-scheduler" AND jsonPayload.reason="Preempted"

Consultas ao nível do nó

Nome do filtro	Expressão
Eventos de nós	resource.type="k8s_node" AND log_id("events")
Analisar registos do Kube-proxy	resource.type="k8s_node" AND log_id("kube-proxy")
Analisar registos do dockerd	resource.type="k8s_node" AND log_id("container-runtime")
Analisar erros ou falhas do kubelet	resource.type="k8s_node" AND log_id("kubelet") AND jsonPayload.MESSAGE:("error" OR "fail")
Analisar registos de nós para registos do sistema do GKE	resource.type = "k8s_node" logName:( "logs/container-runtime" OR "logs/docker" OR "logs/kube-container-runtime-monitor" OR "logs/kube-logrotate" OR "logs/kube-node-configuration" OR "logs/kube-node-installation" OR "logs/kubelet" OR "logs/kubelet-monitor" OR "logs/node-journal" OR "logs/node-problem-detector")

Consultas de espaços de nomes

Nome do filtro	Expressão
Registos de contentores e pods para registos do sistema do GKE	resource.type = ("k8s_container" OR "k8s_pod") resource.labels.namespace_name = ( "cnrm-system" OR "config-management-system" OR "gatekeeper-system" OR "gke-connect" OR "gke-system" OR "istio-system" OR "knative-serving" OR "monitoring-system" OR "kube-system")

Nome do filtro

Expressão

Registos de contentores e pods para registos do sistema do GKE

resource.type = ("k8s_container" OR "k8s_pod")
resource.labels.namespace_name = (
"cnrm-system" OR
"config-management-system" OR
"gatekeeper-system" OR
"gke-connect" OR
"gke-system" OR
"istio-system" OR
"knative-serving" OR
"monitoring-system" OR
"kube-system")

Consultas de contentores

Nome do filtro	Expressão
Registos do contentor stdout em todos os pods e contentores num cluster	resource.type="k8s_container" AND log_id("stdout")
Registos de erros do contentor em todos os pods e contentores num cluster	resource.type="k8s_container" AND log_id("stderr") AND severity=ERROR
Registos de erros do contentor para um pod com um nome específico	resource.type="k8s_container" AND resource.labels.pod_name="`POD_NAME`" AND severity=ERROR
Registos de erros do contentor para um contentor específico num pod específico	resource.type="k8s_container" AND resource.labels.pod_name="`POD_NAME`" AND resource.labels.container_name="server" AND severity=ERROR
Registos de erros do contentor para um espaço de nomes e um contentor específicos	resource.type="k8s_container" AND resource.labels.namespace_name="istio-system" AND resource.labels.container_name="egressgateway" AND severity=ERROR
Registos de contentores para um pod com uma etiqueta específica	resource.type="k8s_container" AND labels."k8s-pod/app"="loadgenerator" AND severity=ERROR
Registos de erros de contentores para pods em execução num nó específico	resource.type="k8s_container" AND labels."compute.googleapis.com/resource_name"=NODE_NAME AND severity=ERROR
Registos do contentor para um pod com uma etiqueta gerada através do Skaffold	resource.type="k8s_container" AND labels."k8s-pod/app"="loadgenerator" AND labels."k8s-pod/skaffold_dev/run-id"=`SKAFFOLD_RUN_ID` severity=ERROR
Registos de erros do contentor para um pod específico que contenha um `POST` no textPayload	resource.type="k8s_container" AND resource.labels.pod_name="`POD_NAME`" AND textPayload:"POST" AND severity=ERROR
Registos de erros do contentor para um pod específico que contenha um `GET` no JSON estruturado	resource.type="k8s_container" AND resource.labels.pod_name="`POD_NAME`" AND jsonPayload."http.req.method"="GET" AND severity=ERROR
Registos de erros de contentores no espaço de nomes kube-system	resource.type="k8s_container" AND resource.labels.namespace_name="kube-system" AND severity=ERROR
Erro do contentor no registo de estatísticas detalhadas do contentor	resource.type="k8s_container" AND log_id("clouderrorreporting.googleapis.com/insights")
Registos de contentores do Kubernetes	resource.type="k8s_container" AND resource.labels.container_name="`CONTAINER_NAME`"

Consultas do plano de controlo

Nota: os registos do plano de controlo do GKE têm de estar ativados.

Nome do filtro	Expressão
Registos do servidor da API Kubernetes	resource.type="k8s_control_plane_component" resource.labels.component_name="apiserver" resource.labels.location="`CLUSTER_LOCATION`" resource.labels.cluster_name="`CLUSTER_NAME`"
Registos do programador do Kubernetes	resource.type="k8s_control_plane_component" resource.labels.component_name="scheduler" resource.labels.location="`CLUSTER_LOCATION`" resource.labels.cluster_name="`CLUSTER_NAME`"
Registos do gestor de controladores do Kubernetes	resource.type="k8s_control_plane_component" resource.labels.component_name="controller-manager" resource.labels.location="`CLUSTER_LOCATION`" resource.labels.cluster_name="`CLUSTER_NAME`"

Nome do filtro

Expressão

Registos do servidor da API Kubernetes

resource.type="k8s_control_plane_component"
resource.labels.component_name="apiserver"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"

Registos do programador do Kubernetes

resource.type="k8s_control_plane_component"
resource.labels.component_name="scheduler"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"

Registos do gestor de controladores do Kubernetes

resource.type="k8s_control_plane_component"
resource.labels.component_name="controller-manager"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"

Consultas de cargas de trabalho da TPU

Nota: o registo do sistema e da carga de trabalho do GKE tem de estar ativado.

Nome do filtro	Expressão
Registo de contentores stdout em todos os nós da TPU com o mesmo prefixo	resource.type="k8s_container" AND labels."compute.googleapis.com/resource_name"=~"`TPU_NODE_PREFIX`.*" AND log_id("stdout")
Registos de erros do contentor em todos os nós da TPU com o mesmo prefixo	resource.type="k8s_container" AND labels."compute.googleapis.com/resource_name"=~"`TPU_NODE_PREFIX`.*" AND log_id("stderr") AND severity=ERROR
Registo de contentores stdout do mesmo trabalho do GKE	resource.type="k8s_container" AND labels."k8s-pod/batch.kubernetes.io/job-name" = "`JOB_NAME`" AND log_id("stdout")
Registos de erros de contentores do mesmo trabalho do GKE	resource.type="k8s_container" AND labels."k8s-pod/batch.kubernetes.io/job-name"="`JOB_NAME`" AND log_id("stderr") AND severity=ERROR
Registo de contentores stdout do mesmo JobSet do GKE	resource.type="k8s_container" AND labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="`JOBSET_NAME`" AND log_id("stdout")
Registos de erros de contentores do mesmo JobSet do GKE	resource.type="k8s_container" AND labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="`JOBSET_NAME`" AND log_id("stderr") AND severity=ERROR

Consultas de rede

Nome da consulta/filtro	Expressão
Firewall – Todos os registos	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall")
Registos de firewall para um determinado país	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND jsonPayload.remote_location.country=`COUNTRY_ISO_ALPHA_3`
Registos de firewall de uma VM	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND jsonPayload.instance.vm_name="`INSTANCE_NAME`"
Registos de sub-rede de firewall	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND resource.labels.subnetwork_name="`SUBNET_NAME`"
Registos de tráfego de sub-redes do Compute Engine para uma sub-rede	resource.type="gce_subnetwork" AND ip_in_net(jsonPayload.connection.dest_ip, "`SUBNET_IP`")
Registos de fluxo da VPC	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows")
Registos de fluxo de VPC para uma porta e um protocolo específicos	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND jsonPayload.connection.src_port="`PORT_ID`" AND jsonPayload.connection.protocol="`PROTOCOL`"
Registos de fluxo de VPC para uma sub-rede específica	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND resource.labels.subnetwork_name"=`SUBNET_NAME`"
Registos de fluxo de VPC para um prefixo de sub-rede específico	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND ip_in_net(jsonPayload.connection.dest_ip,`SUBNET_IP`)
Registos de fluxo da VPC para uma VM específica	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND jsonPayload.src_instance.vm_name="`VM_NAME`"
Registos do gateway de VPN	resource.type="vpn_gateway" AND resource.labels.gateway_id="`GATEWAY_ID`"
Erros 5xx do balanceador de carga HTTP	resource.type="http_load_balancer" AND httpRequest.status>=500
Pedidos do balanceador de carga HTTP para o PHPMyAdmin	resource.type="http_load_balancer" AND httpRequest.request_url:"phpmyadmin"

Consultas de segurança

Nome da consulta/filtro	Expressão
Registos de auditoria: tudo	logName:"cloudaudit.googleapis.com"
Registos de auditoria – Transparência de acesso (AXT)	log_id("cloudaudit.googleapis.com/access_transparency")
Registos de auditoria – Atividade do administrador	log_id("cloudaudit.googleapis.com/activity")
Registos de auditoria – Acesso a dados	log_id("cloudaudit.googleapis.com/data_access")
Registos de auditoria – Evento do sistema	log_id("cloudaudit.googleapis.com/system_event")

Resolução de problemas

Para obter instruções sobre a resolução de problemas comuns ao usar o Explorador de registos, consulte Usar o Explorador de registos: resolução de problemas.

O que se segue?

Para mais informações sobre a sintaxe de consulta, que pode usar para personalizar estas consultas, consulte o artigo Linguagem de consulta de registo.

Para mais informações sobre como consultar na Trusted Cloud consola, consulte Crie consultas com a linguagem de consulta do Logging.