Crea gráficos de los resultados de las consultas con el Análisis de registros

En este documento, se describe cómo graficar los resultados de tus consultas de Log Analytics, lo que te permite identificar patrones y tendencias en tus datos de registro. El Análisis de registros te permite buscar y agregar registros para generar estadísticas útiles mediante consultas de SQL.

Después de ejecutar una consulta, sus resultados se pueden ver en una tabla o convertirse en un gráfico, y la consulta y su visualización pueden guardarse en un panel. Por ejemplo, para ver qué tipos de gravedad generan tus registros, crea un gráfico que muestre los recuentos de registros generados en las últimas 12 horas y desglosa los registros por severity. Lo siguiente captura de pantalla ilustra los puntos de datos desglosados en diferentes tipos de gravedad:

Gráfico de ejemplo en el que se ilustra un desglose por gravedad.

Antes de comenzar

  1. Si quieres obtener los permisos que necesitas para usar el Análisis de registros y ejecutar consultas, ver registros y crear gráficos, solicita a tu administrador que te otorgue el los siguientes roles de IAM en tu proyecto:

    Para obtener más información sobre cómo otorgar roles, consulta Administra el acceso a proyectos, carpetas y organizaciones.

    También puedes obtener los permisos necesarios mediante roles personalizados o cualquier otro rol predefinido.

  2. Para las vistas de registros que deseas consultar, ve a la página Almacenamiento de registros y verificar que los buckets de registros que almacenan esas vistas de registro se actualizan para usar el Análisis de registros. Si es necesario, actualiza el bucket de registros.

    En la consola de Google Cloud, ve a la página Explorador de registros:

    Ir al Almacenamiento de registros

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.

  3. Opcional: Si quieres consultar tus datos de registro con un conjunto de datos de BigQuery y, luego, crea conjunto de datos de BigQuery vinculado.

Selecciona los datos que quieres graficar

Para configurar qué datos se mostrarán en un gráfico, crea una consulta con SQL Cuando seleccionas la pestaña Gráfico, Logging genera automáticamente un gráfico basado en tu consulta resultados. Una vez ejecutada la consulta y generado un gráfico, puedes cambiar el tipo de gráfico y seleccionar columnas para ver datos diferentes.

Para ver los resultados de tu consulta como un gráfico, ejecuta una consulta de la siguiente manera:

  1. En la consola de Google Cloud, ve a la página Análisis de registros:

    Ir a Análisis de registros

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.

  2. En el panel Consulta, ingresa una consulta y, luego, haz clic en Ejecutar.

  3. Cuando se complete la consulta, en la pestaña Resultados, selecciona cómo deseas para ver los resultados de la consulta:

    • Tabla: Solo formato tabular.

    • Gráfico: Solo en formato de gráfico

    • Ambos: Formato de gráfico y tabular.

      Luego de seleccionar cómo ver los resultados de la consulta, puedes configurar cualquier para la visualización seleccionada y, luego, guarda la consulta y los resultados a un panel personalizado. El formato guardado es tabular cuando seleccionas la opción Tabla. De lo contrario, el formato es un gráfico.

      En el caso de los gráficos, las opciones de visualización te permiten seleccionar el tipo de gráfico, y seleccionar qué filas y columnas se representarán en el gráfico. Más información sobre la configuración de los gráficos, consulta Personaliza la configuración de los gráficos.

Cómo personalizar la configuración del gráfico

Para personalizar la configuración del gráfico, cambia el tipo de gráfico, selecciona la dimensión y la medida que quieres incluir en el gráfico y aplica un desglose. La dimensión se usa para agrupar o categorizar filas y es el valor del eje X. La medida, o el valor del eje Y, es una serie de datos que se grafica en el eje Y.

Cambiar tipo de gráfico

Puedes seleccionar uno de los siguientes tipos de gráficos, según el tipo de fila y las columnas que seleccionaste como la dimensión y la medición, y cómo quieres que visualizar los datos.

  • Gráfico de barras (predeterminado) : Los gráficos de barras representan datos en dos ejes. Si tu gráfico usa una categoría o una cadena como la dimensión, puedes establecer la configuración de un gráfico de barras en horizontal o vertical, donde se intercambian los ejes de dimensión y medición.

  • Gráfico de líneas: Los gráficos de líneas se pueden usar para mostrar los cambios en los datos a lo largo del tiempo. Cuando usas una línea gráfico, cada serie temporal se muestra con una línea diferente que corresponde las mediciones que seleccionaste.

    Si el eje X se basa en el tiempo, cada dato se coloca al comienzo de un intervalo de tiempo. Cada punto de datos está conectado por interpolación lineal.

  • Gráfico de áreas apiladas: Un gráfico de áreas se basa en un gráfico de líneas, y el área debajo de cada línea es sombreada. En los gráficos de áreas, las series de datos se apilan. Por ejemplo, si tienes dos series idénticas, la serie se superpone en un gráfico de líneas, pero El área sombreada se apila en un gráfico de áreas.

  • Gráfico circular o de anillo: Un gráfico circular muestra cómo las categorías en un conjunto de datos se relacionan con todo el conjunto de datos, usando un círculo para representar todo el conjunto de datos y las cuñas en el círculo para representar las categorías del conjunto de datos. El tamaño de una cuña indica en qué medida, a menudo como porcentaje, contribuye la categoría el conjunto.

  • Tabla: En la tabla, se muestra una fila por cada fila en el resultado de la consulta. Las columnas en la están definidas por la cláusula SELECT. Si planeas mostrar datos en formato tabular en un panel y, luego, usa una cláusula LIMIT para restringir la la cantidad de filas del resultado sea inferior a algunos cientos.

  • Indicador o cuadro de evaluación: Los indicadores y cuadros de evaluación te proporcionan el valor más reciente junto con una indicación verde, ámbar o roja según cómo se compara ese valor con un conjunto de umbrales. A diferencia de los medidores, que solo muestran información sobre los valor, los cuadros de evaluación también pueden incluir información sobre valores anteriores.

    Los indicadores y cuadros de evaluación solo pueden mostrar el resultado de la consulta resultado contiene al menos una fila, y esa fila contiene una columna con una y una columna con datos numéricos. El resultado de la consulta puede contener varias filas y más de dos columnas.

    Si deseas realizar la agregación basada en el tiempo como parte de tu consulta, haz lo siguiente:

    • Configura tu consulta para que agregue datos durante un intervalo de tiempo, ordene los resultados por marcas de tiempo descendentes y limite la cantidad de filas en los resultados. Puedes usar la cláusula LIMIT o la selector de intervalo de tiempo para limitar el número de filas en el resultado de la consulta.

      Por ejemplo, la siguiente consulta agrega datos por hora, aplica un límite y ordena los resultados:

      SELECT TIMESTAMP_TRUNC(timestamp, HOUR) AS hour, severity, COUNT(*) AS count
FROM `TABLE_NAME_OF_LOG_VIEW`
WHERE severity IS NOT NULL AND severity = "DEFAULT"
GROUP BY hour,severity
ORDER BY hour DESC
LIMIT 10

    • Configura Dimensión para que coincida con la columna que informa la unidad de tiempo. Por ejemplo, si tu consulta agrega datos por una hora y crea un denominada hour y, luego, establece el menú Dimensión en hour.

    • Selecciona Inhabilitar intervalo porque tu consulta ya especifica la como el intervalo de agregación. En el ejemplo, este intervalo es de una hora.

    • Establece Medición en la columna numérica y establece la función en ninguna.

    Si deseas confiar en el Análisis de registros para realizar la agregación basada en el tiempo Luego, haz lo siguiente:

    • Configura el selector de intervalo de tiempo, que afecta la cantidad de filas en el resultado de la consulta.
    • Configura Dimensión para que coincida con la columna que informa la unidad de tiempo. Por ejemplo, puedes establecer este menú en timestamp.
    • En el menú Intervalo, establece el intervalo de agregación en un determinado durante un intervalo de tiempo determinado. Por ejemplo, establece el valor de este campo en 1 hour. Lo que no debes hacer Selecciona Intervalo automático.
    • Establece la medida en la columna numérica y selecciona una función, como sum.

Cambia la dimensión y la medición

Puedes elegir qué filas y columnas se incluyen en el gráfico seleccionando la dimensión y los campos de medición y medición.

  • Dimensión

    La dimensión debe ser una columna de marca de tiempo, numérica o de cadena. De forma predeterminada, la dimensión se establece en la primera columna basada en marca de tiempo en el esquema. Si no hay una marca de tiempo presente en la consulta, el se selecciona la primera columna de cadena como la dimensión. También puedes personalizar la dimensión el panel Visualización del gráfico. Cuando se selecciona una columna de marca de tiempo como dimensión, el gráfico muestra cómo cambian los datos con el tiempo.

    Por defecto, el intervalo para las marcas de tiempo pero también puedes seleccionar un intervalo personalizado. Cambio de intervalos automáticos valores basados en el selector de intervalo de tiempo para mantener grupos de tamaño similar.

    También puedes deshabilitar el intervalo, lo que te permite especificar agregaciones y rangos de tiempo dentro de la consulta para un análisis más complejo. Cuando se inhabilita el intervalo, se establece la función de agregación de las mediciones. a none. Solo se permiten mediciones numéricas cuando el intervalo de dimensiones está inhabilitada.

  • Medir

    Puedes seleccionar varias mediciones en el panel Chart display. Cuando seleccionas una medición, también debes seleccionar la función de agregación para realizar en sus valores agrupados, como count, sum, average y percentile-99. Por ejemplo, count-distinct muestra la cantidad de valores únicos en una columna determinada.

    Si seleccionas la casilla de verificación Inhabilitar intervalo para la dimensión, La opción de función de agregación none está disponible. Si la dimensión es un valor de cadena, no se muestra la casilla de verificación Inhabilitar intervalo. Sin embargo, si configuras las funciones de agregación de una medida en none, también se inhabilita el intervalo.

Agregar un desglose

Para dividir una sola serie de datos en varias series de datos basadas en otra columna, agrega un desglose.

Cuando selecciones un desglose, elige columnas que contengan una pequeña cantidad de etiquetas breves y significativas, como region_name, en lugar de campos que puedan contener una gran cantidad de cadenas o cadenas largas, como textPayload.

Por ejemplo, consulta la siguiente configuración de gráfico, en la que se muestra la columna Dimensión está establecido en tipo, el campo Medir se establece en Contar filas, y El campo Desglose (Breakdown) está configurado en severity (gravedad):

Ejemplo de configuración del gráfico que agrega un desglose.

El siguiente es un ejemplo de un gráfico con un desglose adicional:

Gráfico de ejemplo que contiene un desglose por gravedad.

En la captura de pantalla anterior, se muestra una serie de datos apilados, en la que el tipo de recurso k8s_container se divide en diferentes tipos de severity. Esto te permite identificar cuántos registros de cada tipo de gravedad generó un determinado recurso.

Guarda un gráfico en un panel personalizado

Después de que se genera un gráfico a partir de tu consulta, puedes guardarlo en un panel personalizado. Los paneles personalizados te permiten mostrar y organizar información que te resulte útil utilizando una variedad de tipos de widgets. Por ejemplo, puedes crear un panel que proporcione detalles sobre el uso de tus buckets de Cloud Storage:

Panel de ejemplo que muestra el uso de tus buckets de Cloud Storage.

Para guardar tu gráfico en un panel, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página Análisis de registros:

    Ir a Análisis de registros

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.

  2. Ejecuta una consulta para generar un gráfico y, luego, haz clic en Guarda el gráfico en la pestaña Gráfico.

  3. En el diálogo Guardar en panel, escribe un título para tu gráfico. selecciona el panel en el que quieres guardar el gráfico.

  4. Opcional: Para ver el panel personalizado, en el aviso, Haz clic en Ver panel.

Para ver una lista de paneles personalizados que contienen gráficos generados por Consulta en SQL del Análisis de registros, ve al botón Guardar gráfico y haz clic en Menú.

Cómo editar un gráfico guardado en un panel personalizado

Para editar los gráficos generados por consultas en SQL de Análisis de registros que se guardan en un consulta Modifica la configuración de un widget. En el diálogo Configurar widget, puedes editar la consulta que se utiliza para lo siguiente: generar un gráfico, o puedes personalizar la configuración del gráfico para visualizar diferentes datos.

Limitaciones

  • Si tu proyecto de Google Cloud está en una carpeta que usa Assured Workloads, los gráficos que generes no se podrán mostrar en un panel personalizado.

  • Los filtros a nivel del panel no se aplican a los gráficos generados a partir de un Consulta en SQL del Análisis de registros.

Consultas de muestra

En esta sección, se proporcionan consultas en SQL de muestra para graficar los resultados de tu consulta. Para obtener estadísticas más útiles de tus registros, personaliza la configuración del gráfico. Para usar las consultas de muestra, haz lo siguiente:

  1. En la consola de Google Cloud, ve a la página Análisis de registros:

    Ir a Análisis de registros

    Si usas la barra de búsqueda para encontrar esta página, selecciona el resultado cuyo subtítulo es Logging.

  2. Identifica el nombre de la tabla para la vista del registro que deseas consultar.

    Para identificar este nombre, ve a la lista Vistas de registro. ubica la vista de registro y, luego, selecciona Consulta. El panel Consulta se propaga con una consulta predeterminada, Incluye el nombre de la tabla de la vista del registro que se consulta. El nombre de la tabla tiene el formato project_ID.region.bucket_ID.view_ID.

    Para obtener más información sobre cómo acceder a la consulta predeterminada, visita Consulta una vista de registro.

  3. Reemplaza TABLE_NAME_OF_LOG_VIEW por el nombre de la tabla para la vista de registro. que deseas consultar y, a continuación, copia la consulta.

  4. Pega la consulta en el panel Consulta y, luego, haz clic en Ejecutar consulta.

Muestra un gráfico de las entradas de registro por ubicación y gravedad

La siguiente consulta selecciona location y severity con la ubicación convertirla en una cadena:

SELECT
  CAST(JSON_VALUE(resource.labels.location) AS STRING) AS location,
  severity,
FROM
  `TABLE_NAME_OF_LOG_VIEW`

A continuación, se muestra un ejemplo de un gráfico y una configuración de gráficos:

Gráfico de ejemplo en el que se grafican las entradas de registro para la ubicación y la gravedad.

En la captura de pantalla anterior, la configuración del gráfico tiene la siguiente información: configuración del gráfico:

  • Tipo de gráfico: Gráfico de barras, horizontal
  • Dimensión: location, con un límite de 10.
  • Medir: Calcula filas
  • Desglose: severity, con un límite de cinco

Gráfico de registros de auditoría de acceso a los datos de BigQuery

Los siguientes filtros de consulta para la auditoría data_access de BigQuery registros y selecciona ciertos campos, como user_email, ip, auth_permission, y job_execution_project. Por ejemplo, puedes crear un gráfico que visualice la frecuencia del uso de la API de BigQuery por parte de cada principal en el tiempo. 

SELECT 
  timestamp,
  proto_payload.audit_log.authentication_info.principal_email as user_email,
  proto_payload.audit_log.request_metadata.caller_ip as ip,
  auth.permission as auth_permission,
  auth.granted as auth_granted,
  JSON_VALUE(data_access.resource.labels.project_id) AS job_execution_project,
  SPLIT(proto_payload.audit_log.resource_name, '/')[SAFE_OFFSET(1)] AS referenced_project,
  SPLIT(proto_payload.audit_log.resource_name, '/')[SAFE_OFFSET(3)] AS referenced_dataset,
  SPLIT(proto_payload.audit_log.resource_name, '/')[SAFE_OFFSET(5)] AS referenced_table
FROM `TABLE_NAME_OF_LOG_VIEW` as data_access,
  UNNEST(proto_payload.audit_log.authorization_info) AS auth
WHERE
  log_id="cloudaudit.googleapis.com/data_access"
  AND data_access.resource.type = 'bigquery_dataset'

A continuación, se muestra un ejemplo de un gráfico con su configuración:

Gráfico de ejemplo de registros de auditoría de acceso a los datos de BigQuery

En la captura de pantalla anterior, la configuración del gráfico tiene el siguiente gráfico: actual:

  • Tipo de gráfico: Gráfico de barras, vertical
  • Dimensión: user_email, con un límite de cinco
  • Medir: Calcula filas
  • Desglose: auth_permission, con un límite de cinco

Limitaciones

  • Las columnas seleccionadas deben tener al menos una fila con un valor no nulo.

  • Si guardas una consulta y personalizas la configuración del gráfico, entonces, no se guardó la configuración del gráfico.

  • Si tu consulta ya contiene agregaciones, el gráfico generado podría ser diferentes debido a la agregación adicional que se aplica automáticamente gracias al Análisis de registros.

  • Las rutas de acceso JSON se deben transmitir a cadenas y números para que se puedan graficar.

¿Qué sigue?