Resultados de consultas de SQL de gráficos

En este documento se describe cómo representar gráficamente los resultados de las consultas de Log Analytics, lo que te permite identificar patrones y tendencias en tus datos de registro. Analíticas de registros te permite buscar y agregar registros para generar estadísticas útiles mediante consultas SQL.

Después de ejecutar una consulta, los resultados se pueden ver en una tabla o convertir en un gráfico. Además, la consulta y su visualización se pueden guardar en un panel de control. Por ejemplo, para ver qué tipos de gravedad generan tus registros, crea un gráfico que muestre el número de registros generados en las últimas 12 horas y desglosa los registros por severity. En la siguiente captura de pantalla se muestran los puntos de datos desglosados en diferentes tipos de gravedad:

Antes de empezar

En esta sección se describen los pasos que debe completar para poder usar Log Analytics.

Configurar segmentos de registros

Comprueba que tus contenedores de registros se hayan actualizado para usar Analíticas de registros:

1. En la Google Cloud consola, ve a la página Almacenamiento de registros:

   Ve a Almacenamiento de registros.

   Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuya sección sea Registro.

2. En cada contenedor de registros que tenga una vista de registro que quieras consultar, comprueba que en la columna Analíticas de registros disponibles se muestre Abrir. Si se muestra Cambiar a plan superior, haz clic en Cambiar a plan superior y completa el cuadro de diálogo.

Configurar roles y permisos de gestión de identidades y accesos

En esta sección se describen los roles o permisos de gestión de identidades y accesos que se necesitan para usar Log Analytics:

• Para obtener los permisos que necesitas para usar Log Analytics y consultar vistas de registro, pide a tu administrador que te conceda los siguientes roles de gestión de identidades y accesos en tu proyecto:

  • Para consultar los segmentos de registros _Required y _Default, sigue estos pasos: Visualizador de registros (roles/logging.viewer)
  • Para consultar todas las vistas de registro de un proyecto, sigue estos pasos: Usuario con permiso para ver registros (roles/logging.viewAccessor)

  Puede restringir un principal a una vista de registro específica añadiendo una condición de IAM a la concesión del rol de acceso a la vista de registros que se haya hecho a nivel de proyecto o añadiendo un enlace de IAM al archivo de política de la vista de registro. Para obtener más información, consulta Controlar el acceso a una vista de registro.

  Estos son los mismos permisos que necesitas para ver las entradas de registro en la página Explorador de registros. Para obtener información sobre los roles adicionales que necesitas para consultar vistas en segmentos definidos por el usuario o para consultar la vista _AllLogs del segmento de registro _Default, consulta Roles de Cloud Logging.

• Para obtener los permisos que necesitas para consultar vistas de analíticas, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Usuario de Observabilidad Analytics (roles/observability.analyticsUser) en tu proyecto.

• Para obtener los permisos que necesitas para crear gráficos, pide a tu administrador que te conceda el rol de gestión de identidades y accesos Editor de Monitoring (roles/monitoring.editor) en tu proyecto.

Selecciona los datos que quieras representar en el gráfico.

Para configurar los datos que se mostrarán en un gráfico, crea una consulta con SQL. Cuando seleccionas la pestaña Gráfico, se muestra un gráfico con los resultados de tu consulta. Una vez que se haya ejecutado la consulta y se haya generado un gráfico, puede personalizar su configuración cambiando el tipo de gráfico y seleccionando columnas para ver datos diferentes.

Para ver los resultados de una consulta en forma de gráfico, ejecútala siguiendo estos pasos:

1. En la Google Cloud consola, ve a la página Analíticas de registros:

   Vaya a Analíticas de registros.

   Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuya sección sea Registro.

2. En el panel Consulta, introduce una consulta y haz clic en Ejecutar.

3. Una vez que se haya completado la consulta, en la pestaña Resultados, selecciona cómo quieres ver los resultados de la consulta:

   • Tabla: solo formato tabular.

   • Gráfico: solo formato del gráfico

   • Ambos: gráfico y tabla.

     Después de seleccionar cómo quieres ver los resultados de la consulta, puedes configurar los campos de la visualización seleccionada y, a continuación, guardar la consulta y los resultados en un panel de control personalizado. El formato guardado es tabular cuando has seleccionado la opción Tabla. De lo contrario, el formato es un gráfico.

     En el caso de los gráficos, las opciones de visualización te permiten seleccionar el tipo de gráfico y las filas y columnas que se representarán. Para obtener más información sobre la configuración de los gráficos, consulta Personalizar la configuración de los gráficos.

Personalizar la configuración de un gráfico

Puede personalizar la configuración del gráfico cambiando el tipo de gráfico, seleccionando la dimensión y la medida que quiera representar, y aplicando un desglose. La dimensión se usa para agrupar o categorizar filas y es el valor del eje X. La métrica, o el valor del eje Y, es una serie de datos que se representa en el eje Y.

Cambiar el tipo de gráfico

Puede elegir entre los siguientes tipos de gráficos, en función de las filas y columnas que haya seleccionado como dimensión y medida, y de cómo quiera que se visualicen los datos.

• Gráfico de barras (opción predeterminada): los gráficos de barras representan los datos en dos ejes. Si el gráfico usa una categoría o una cadena como dimensión, puedes configurar el gráfico de barras para que sea horizontal o vertical, de forma que se intercambien los ejes de dimensión y de medida.

• Gráfico de líneas: los gráficos de líneas se pueden usar para mostrar los cambios en los datos a lo largo del tiempo. Cuando usas un gráfico de líneas, cada serie temporal se muestra con una línea diferente que corresponde a las métricas que has seleccionado.

  Si el eje X se basa en el tiempo, cada punto de datos se coloca al principio de un intervalo de tiempo. Cada punto de datos está conectado mediante interpolación lineal.

• Gráfico de áreas apiladas: Un gráfico de áreas se basa en un gráfico de líneas, y el área situada debajo de cada línea se sombrea. En los gráficos de áreas, las series de datos se apilan. Por ejemplo, si tienes dos series idénticas, las series se superponen en un gráfico de líneas, pero el área sombreada se apila en un gráfico de áreas.

• Gráfico circular o de anillo: Un gráfico circular muestra cómo se relacionan las categorías de un conjunto de datos con el conjunto de datos completo. Para ello, se usa un círculo que representa el conjunto de datos completo y cuñas en el círculo que representan las categorías del conjunto de datos. El tamaño de una porción indica cuánto contribuye la categoría al total, a menudo en forma de porcentaje.

• Tabla: una tabla muestra una fila por cada fila del resultado de la consulta. Las columnas de la tabla se definen mediante la cláusula SELECT. Si tienes previsto mostrar datos en formato tabular en un panel de control, usa una cláusula LIMIT para limitar el número de filas del resultado a unas pocas centenas.

• Gráfico de indicador o cuadro de resultados: los gráficos de indicador y los cuadros de resultados te proporcionan el valor más reciente junto con una indicación verde, naranja o roja en función de cómo se compare ese valor con un conjunto de umbrales. A diferencia de los indicadores, que solo muestran información sobre el valor más reciente, las tarjetas de resultados también pueden incluir información sobre valores anteriores.

  Los gráficos de velocímetro y de resultados solo pueden mostrar el resultado de la consulta cuando este contiene al menos una fila y esa fila contiene una columna con una marca de tiempo y otra con datos numéricos. El resultado de la consulta puede contener varias filas y más de dos columnas.

  Si quieres realizar la agregación basada en el tiempo como parte de tu consulta, sigue estos pasos:

  • Configure su consulta para agregar datos en un intervalo de tiempo, ordenar los resultados por marcas de tiempo descendentes y limitar el número de filas de los resultados. Puedes usar la cláusula LIMIT o el selector de periodo para limitar el número de filas del resultado de la consulta.

    Por ejemplo, la siguiente consulta una vista de registro y agrega datos por hora, aplica un límite y ordena los resultados:

    SELECT TIMESTAMP_TRUNC(timestamp, HOUR) AS hour, severity, COUNT(*) AS count
    FROM `TABLE_NAME_OF_LOG_VIEW`
    WHERE severity IS NOT NULL AND severity = "DEFAULT"
    GROUP BY hour,severity
    ORDER BY hour DESC
    LIMIT 10
    

  • Defina la Dimensión para que coincida con la columna que indica la unidad de tiempo. Por ejemplo, si tu consulta agrega datos por hora y crea una columna llamada hour, selecciona hour en el menú Dimensión.

  • Selecciona Inhabilitar intervalo porque tu consulta ya especifica el intervalo de agregación. En el ejemplo, este intervalo es de una hora.

  • En Medida, elija la columna numérica y, en la función, seleccione Ninguna.

  Si quiere usar Log Analytics para realizar la agregación basada en tiempo, haga lo siguiente:

  • Configura el selector de periodo, que afecta al número de filas de los resultados de la consulta.
  • Defina la Dimensión para que coincida con la columna que indica la unidad de tiempo. Por ejemplo, puedes configurar este menú como timestamp.
  • En el menú Intervalo, selecciona el intervalo de agregación que quieras. Por ejemplo, asigne el valor 1 hour a este campo. No selecciones Intervalo automático.
  • Asigna la Métrica a la columna numérica y selecciona una función, como suma.

Cambiar dimensiones y métricas

Para elegir las filas y las columnas que se representan en el gráfico, selecciona los campos de dimensión y medida.

• Dimensión

  La dimensión debe ser una columna de marca de tiempo, numérica o de cadena. De forma predeterminada, la dimensión se define como la primera columna basada en la marca de tiempo del esquema. Si no hay ninguna marca de tiempo en la consulta, se selecciona la primera columna de cadena como dimensión. También puedes personalizar la dimensión en el panel Visualización del gráfico. Si se selecciona una columna de marca de tiempo como dimensión, el gráfico muestra cómo cambian los datos a lo largo del tiempo. Cuando se selecciona una columna de cadena como dimensión de un gráfico de barras, puede ordenar los datos de forma ascendente o descendente, lo que ordena la dimensión por orden léxico. También puede mantener el orden de clasificación `predeterminado`, que ordena la dimensión en función de los valores de la medida correspondiente en orden descendente.

  De forma predeterminada, el intervalo de las marcas de tiempo se define automáticamente, pero también puedes seleccionar un intervalo personalizado. Los intervalos automáticos cambian los valores en función del selector de periodo para mantener grupos de tamaño similar.

  También puedes inhabilitar el intervalo, lo que te permite especificar tus propias agregaciones e intervalos de tiempo en la consulta para realizar análisis más complejos. Si se inhabilita el intervalo, la función de agregación de las medidas se define como none. Solo se permiten medidas numéricas cuando el intervalo de la dimensión está inhabilitado.

• Medir

  Puedes seleccionar varias métricas en el panel Visualización del gráfico. Cuando seleccionas una medida, también debes seleccionar la función de agregación que se aplicará a sus valores agrupados, como count, sum, average y percentile-99. Por ejemplo, count-distinct devuelve el número de valores únicos de una columna determinada.

  Si selecciona la casilla Inhabilitar intervalo de la dimensión, estará disponible la opción de función de agregación none. Si la dimensión es un valor de cadena, no se muestra la casilla Inhabilitar intervalo. Sin embargo, si asignas el valor none a las funciones de agregación de una medida, también se inhabilitará el intervalo.

Añadir un desglose

Para dividir una serie de datos en varias series de datos en función de otra columna, añade un desglose.

Cuando selecciones un desglose, elige columnas que contengan un número reducido de etiquetas cortas y significativas, como region_name, en lugar de campos que puedan contener un gran número de cadenas o cadenas largas, como textPayload.

Por ejemplo, consulte la siguiente configuración de gráfico, donde el campo Dimensión se ha definido como tipo, el campo Métrica se ha definido como Número de filas y el campo Desglose se ha definido como gravedad:

En la captura de pantalla anterior, se muestra una serie de datos apilada en la que el tipo de recurso k8s_container se divide en diferentes tipos severity. De esta forma, puede identificar cuántos registros de cada tipo de gravedad ha generado un recurso concreto.

Guardar un gráfico en un panel de control personalizado

Una vez que se haya generado un gráfico a partir de tu consulta, podrás guardarlo en un panel de control personalizado. Los paneles de control personalizados te permiten mostrar y organizar la información que te resulta útil mediante una variedad de tipos de widgets. Estos paneles también te permiten definir variables, que son filtros a nivel de panel que solo se aplican a widgets específicos. Para aplicar una variable a un widget, debes modificar la consulta. Para obtener más información, consulta Aplicar una variable a un widget.

Por ejemplo, puedes crear un panel de control que proporcione detalles sobre el uso de tus segmentos de Cloud Storage:

Para guardar un gráfico en un panel de control, sigue estos pasos:

1. En la Google Cloud consola, ve a la página Analíticas de registros:

   Vaya a Analíticas de registros.

   Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuya sección sea Registro.

2. Ejecuta una consulta para generar un gráfico y, a continuación, haz clic en Guardar gráfico en la pestaña Gráfico.

3. En el cuadro de diálogo Guardar en el panel de control, introduce un título para el gráfico y selecciona el panel de control en el que quieras guardarlo.

4. Opcional: Para ver el panel de control personalizado, haz clic en Ver panel de control en el mensaje.

Para ver una lista de los paneles de control personalizados que contienen gráficos generados por consultas SQL, vaya al botón Guardar gráfico y haga clic en arrow_drop_down Menú.

Editar un gráfico guardado en un panel personalizado

Puedes modificar un gráfico después de guardarlo en un panel de control. Para obtener más información, consulta Modificar la configuración de un widget. En el cuadro de diálogo Configurar widget, puedes hacer lo siguiente:

• Cambia los datos que consultas.
• Edita la consulta que se usa para generar un gráfico.
• Personaliza la configuración del gráfico para visualizar datos diferentes.

Limitaciones

• Si tu Google Cloud proyecto está en una carpeta que usa Assured Workloads, los gráficos que generes no se podrán mostrar en un panel de control personalizado.

• Los filtros a nivel de panel no se aplican a los gráficos generados a partir de una consulta SQL.

Consultas de ejemplo

En esta sección se proporcionan consultas de SQL de ejemplo para representar los resultados de las consultas en gráficos. Para obtener estadísticas más útiles de tus registros, personaliza la configuración del gráfico. Para usar las consultas de ejemplo, siga estos pasos:

1. En la Google Cloud consola, ve a la página Analíticas de registros:

   Vaya a Analíticas de registros.

   Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuya sección sea Registro.

2. Identifica el nombre de la tabla de la vista de registro que quieres consultar.

   Para identificar este nombre, ve a la lista Vistas de registro, busca la vista de registro y selecciona Consulta. El panel Consulta se rellena con una consulta predeterminada que incluye el nombre de la tabla de la vista de registro consultada. El nombre de la tabla tiene el formato project_ID.region.bucket_ID.view_ID.

   Para obtener más información sobre cómo acceder a la consulta predeterminada, consulta Consultar una vista de registro.

3. Sustituye TABLE_NAME_OF_LOG_VIEW por el nombre de la tabla de la vista de registro que quieras consultar y, a continuación, copia la consulta.

4. Pega la consulta en el panel Consulta y, a continuación, haz clic en Ejecutar consulta.

Representar gráficamente las entradas de registro por ubicación y gravedad

La siguiente consulta selecciona location y severity, con la ubicación convertida en una cadena:

SELECT
  CAST(JSON_VALUE(resource.labels.location) AS STRING) AS location,
  severity,
FROM
  `TABLE_NAME_OF_LOG_VIEW`
WHERE resource.labels.location IS NOT NULL

Un gráfico y una configuración de gráfico de ejemplo tienen el siguiente aspecto:

En la captura de pantalla anterior, la configuración del gráfico es la siguiente:

• Tipo de gráfico: de barras horizontales
• Dimensión: location, con un límite de 10
• Medida: recuento de filas
• Desglose: severity, con un límite de cinco

Crear gráficos con registros de auditoría de acceso a datos de BigQuery

La siguiente consulta filtra los registros de auditoría de data_access de BigQuery y selecciona determinados campos, como user_email, ip, auth_permission y job_execution_project. Por ejemplo, puedes crear un gráfico que visualice la frecuencia de uso de la API de BigQuery de cada principal a lo largo del tiempo.

SELECT
  timestamp,
  proto_payload.audit_log.authentication_info.principal_email as user_email,
  proto_payload.audit_log.request_metadata.caller_ip as ip,
  auth.permission as auth_permission,
  auth.granted as auth_granted,
  JSON_VALUE(data_access.resource.labels.project_id) AS job_execution_project,
  SPLIT(proto_payload.audit_log.resource_name, '/')[SAFE_OFFSET(1)] AS referenced_project,
  SPLIT(proto_payload.audit_log.resource_name, '/')[SAFE_OFFSET(3)] AS referenced_dataset,
  SPLIT(proto_payload.audit_log.resource_name, '/')[SAFE_OFFSET(5)] AS referenced_table
FROM `TABLE_NAME_OF_LOG_VIEW` as data_access,
  UNNEST(proto_payload.audit_log.authorization_info) AS auth
WHERE
  log_id="cloudaudit.googleapis.com/data_access"
  AND data_access.resource.type = 'bigquery_dataset'

Un gráfico y una configuración de gráfico de ejemplo tienen el siguiente aspecto:

En la captura de pantalla anterior, la configuración del gráfico es la siguiente:

• Tipo de gráfico: de barras verticales
• Dimensión: user_email, con un límite de cinco
• Medida: recuento de filas
• Desglose: auth_permission, con un límite de cinco

Limitaciones

• Las columnas seleccionadas deben tener al menos una fila con un valor no nulo.

• Si guarda una consulta y personaliza la configuración del gráfico, esta no se guardará.

• Si tu consulta ya contiene agregaciones, el gráfico generado puede ser diferente debido a la agregación adicional que aplica automáticamente Log Analytics.

• Las rutas JSON deben convertirse en cadenas y números para poder representarse en gráficos.

Siguientes pasos

• Para obtener una descripción general de Analíticas de registros, consulta el artículo Descripción general de las consultas y el análisis de registros.

• Para ver consultas de ejemplo, consulta Ejemplos de consultas de SQL.

• Para saber cómo analizar los registros de auditoría con Analíticas de registros, consulta Consultas de SQL para obtener estadísticas de seguridad.