GCP日志查询问题

Question

我试图收集日志作为事件/ SCC审计来处理，以防任何篡改防火墙规则的记录。

发现这样的东西或多或少地起了作用：

resource.type=gce_firewall_rule AND protoPayload.methodName=v1.compute.firewalls.patch OR protoPayload.methodName=v1.compute.firewalls.insert OR protoPayload.methodName=v1.compute.firewalls.update

然而，这只是部分地解决了这个问题，因为GCP上的方法可能有所不同。过去添加的规则和将来将添加的规则可能使用不同的版本后缀：

v1，β，α，v2.等。

不幸的是，我找不到任何文档来帮助查找可以包含methodName值的所有内容的条件。

类似于：

protoPayload.methodName="*.compute.firewalls.update“或"%compute.firewalls.update”

谢谢!

Answer 1

云日志记录有一个全面的查询语言。

你有多种选择：

• 如果您有明确的列表，OR：protoPayload.methodName = ("v1" OR "v1beta1" OR ...)
• 如果您想使用正则表达式
• 如果你想要什么，protoPayload.methodName:*