ログのクエリと表示

このページでは、Grafana ユーザー インターフェースと Log Query API の両方を使用してログをクエリして可視化し、サービス イベントとアクティビティに関する分析情報を取得する方法について詳しく説明します。

Google Distributed Cloud(GDC)エアギャップにデプロイされたワークロードとサービスからログを収集したら、分析を開始できます。ログを分析するには、有益な Grafana パネルでログを可視化してフィルタするか、プログラムによるアクセス用に HTTP または gRPC 呼び出しを使用して Log Query API から直接アクセスします。

ログには、次のいずれかの方法でアクセスできます。

  • Grafana パネル: Grafana インスタンスのログパネルを使用して、プロジェクトのアクティビティ レコードに関する分析情報を取得します。このパネルでは、特定のログをクエリして特定できるため、ニーズに合わせて調整されたきめ細かいデータ オブザーバビリティを実現できます。Grafana は、ワークロード データのフィルタリングと分析、包括的な可視化のためのカスタマイズされたダッシュボードとパネルの作成を行うためのユーザー フレンドリーなインターフェースを提供します。
  • Log Query API: プログラムでアクセスする場合は、プロジェクトの Log Query API からログを直接クエリします。ログクエリ API は、HTTP と gRPC をサポートする非 Kubernetes API であり、独自のエンドポイントを公開します。標準の API アクセス方法に沿って、Distributed Cloud の特定の組織内でのみこの API にアクセスします。

始める前に

Grafana ユーザー インターフェースでログをクエリして可視化するために必要な権限を取得するには、組織の IAM 管理者またはプロジェクトの IAM 管理者に、事前定義された組織の Grafana 閲覧者ロールまたはプロジェクトの Grafana 閲覧者ロールのいずれかを付与するよう依頼します。必要なアクセスレベルと権限に応じて、組織またはプロジェクトで Grafana ロールを取得できます。

または、Log Query API からログをクエリするために必要な権限を取得するには、プロジェクトの IAM 管理者に、プロジェクトの Namespace で Log Query API Querier ロールを付与するよう依頼します。

これらのロールの詳細については、IAM 権限を準備するをご覧ください。

ログのクエリとフィルタ

次のいずれかの方法を選択して、クエリを作成し、プロジェクト ワークロードからログをフィルタします。

Grafana ログパネル

このセクションでは、Grafana の [ログ] パネルを使用してログにアクセスする方法について説明します。

Grafana エンドポイントを特定する

次の URL は、プロジェクトの Grafana インスタンスのエンドポイントです。

  https://GDC_URL/PROJECT_NAMESPACE/grafana

次のように置き換えます。

  • GDC_URL: GDC 内の組織の URL。

  • PROJECT_NAMESPACE: プロジェクトの Namespace。

    たとえば、org-1 組織の platform-obs プロジェクトの Grafana エンドポイントは https://org-1/platform-obs/grafana です。

Grafana ユーザー インターフェースでログを表示する

Grafana ユーザー インターフェースでログをクエリします。

  1. GDC コンソールで、プロジェクトを選択します。
  2. ナビゲーション メニューで、[オペレーション] > [ロギング] を選択します。

  3. [Grafana Loki で全て表示] をクリックします。

    新しいページが開き、Grafana エンドポイントとユーザー インターフェースが表示されます。

  4. ユーザー インターフェースで、ナビゲーション メニューの [Explore] Explore をクリックして、[Explore] ページを開きます。

  5. [Explore] バーのメニューから、ユニバースのタイプに応じて、ログを取得するデータソースを選択します。

    • 単一ゾーンのユニバース: 次のいずれかのデータソースを選択して、ユニバースの単一ゾーンからロギング データを表示します。

      • オペレーション ログ: オペレーション ログを表示します。
      • 監査ログ: 監査ログを表示します。

    • マルチゾーン ユニバース: Grafana は異なるゾーンに接続し、ゾーン間のデータを表示できます。次のいずれかのデータソースを選択すると、ログインしているゾーンに関係なく、ユニバースの任意のゾーンのロギング データを表示できます。

      • オペレーション ログ ZONE_NAME: 特定のゾーンのオペレーション ログを表示します。
      • 監査ログ ZONE_NAME: 特定のゾーンの監査ログを表示します。

      また、単一のダッシュボードでゾーン間のデータ可視化を行い、クエリに複数のゾーンを追加するには、データソースとして [混合] を選択します。

  6. LogQL(ログクエリ言語)式を使用して、ログパネルからログを検索するクエリを入力します。この手順は、次のいずれかの方法で行います。

    • インタラクティブなクエリビルダー インターフェースを使用します。[クエリを実行] をクリックします。
    • テキスト フィールドにクエリを直接入力し、Shift+Enter キーを押してクエリを実行します。

    クエリに一致するログがページに表示されます。ログのクエリを実行した後、ログをエクスポートできます。[エクスポート] をクリックして、ログをプレーン テキストまたは CSV 形式でダウンロードします。ログの期間を選択することもできます。

    [監査ログ] オプションが [探索] ページで選択され、監査ログが取得されます。

    図 1: Grafana ユーザー インターフェースから監査ログをクエリするメニュー オプション。

    図 1 の [監査ログ] オプションには、Grafana からクエリを作成して監査ログを取得できるインターフェースが表示されます。

    さまざまなログをクエリするラベルと値の例については、サンプルクエリとラベルをご覧ください。

ログの期間を選択する

特定の期間のログをクエリする手順は次のとおりです。

  1. Grafana で [Time Picker] メニューをクリックします。

  2. メニューから、次のいずれかの操作を行います。

    • 相対的な時間範囲オプション(過去 30 分など)を選択します。
    • カレンダーから特定の日時を選択して [期間を適用] をクリックすると、カスタムの絶対期間を設定できます。

  3. 必要に応じて、[時間設定を変更] をクリックして、時間範囲コントロールから [タイムゾーン] と [会計年度] の設定を変更します。

    期間設定はダッシュボードごとに保存されます。一定期間のクエリの詳細については、https://grafana.com/docs/loki/latest/reference/api/#query-loki-over-a-range-of-time をご覧ください。

ログクエリ API

このセクションでは、Log Query API を使用してログにアクセスする方法について説明します。

ログクエリ API エンドポイントを特定する

ログクエリ API は、監査ログと運用ログをクエリするために次の 2 つのエンドポイントを公開します。

  • 監査ログ エンドポイント:

    audit-log-query-api.ORG_DOMAIN

  • 運用ログのエンドポイント:

    operational-log-query-api.ORG_DOMAIN

ORG_DOMAIN は、組織のドメイン名に置き換えます。このプロパティは、gdcloud config list コマンドを使用して表示できます。ドメイン名は org-name.zone.google.gdch.com 構文に従う必要があります。たとえば、zone1 ゾーンのテスト環境にある org-1 という名前の組織には、org-1.zone1.google.gdch.test のようなドメインがあります。

Log Query API には、次の 3 つのエンドポイント オプションがあります。

  • labels: プロジェクトのすべてのラベルを一覧表示します。
  • labels/labels/LABEL/values: プロジェクトの特定のラベル値を一覧表示します。
  • logs: 特定のプロジェクトのログを一覧表示します。

詳細については、API ドキュメントをご覧ください。

クエリを送信する

HTTP クライアントまたは gRPC クライアントを使用して、ログクエリ API エンドポイントにクエリを送信します。

HTTP

手順に沿って HTTP クライアントで API に直接アクセスします。kubectl に認証の管理を任せるか、自分で認証を処理できます。

curlwget などの HTTP クライアント、または作成して管理する HTTP クライアントを使用して、Log Query API をクエリします。次の例では、curl ツールを使用して API をクエリしています。wget コマンドでも同様の形式を使用できます。

  1. cURL リクエストを認証します。

    1. gdcloud CLI をダウンロードしてインストールします

    2. gdcloud の core/organization_console_url プロパティを設定します。

      gdcloud config set core/organization_console_url https://GDC_URL

      GDC_URL は、GDC の組織の URL に置き換えます。

    3. 構成済みの ID プロバイダでログインする:

      gdcloud auth login

    4. ユーザー名とパスワードを使用して認証し、ログインします。

    5. 指定したアカウントの ID トークンを環境変数にエクスポートします。

      export TOKEN="$($HOME/gdcloud auth print-identity-token --audiences=https://LOG_QUERY_API_ENDPOINT)"

      LOG_QUERY_API_ENDPOINT は、ログのクエリ元となる Log Query API エンドポイントと、接続するドメインに置き換えます。そのため、audiences フラグの値は、たとえば https://operational-log-query-api.org-1.zone1.google.gdch.test になります。

      ログインに成功すると、gdcloud auth print-identity-token コマンドを使用して cURL リクエストで認証ヘッダーを使用できます。詳細については、gdcloud auth print-identity-token をご覧ください。

  2. プロジェクトのすべてのラベルを一覧表示する場合は、次のクエリを送信します。

    curl -H "Authorization: Bearer ${TOKEN}" \
https://LOG_QUERY_API_ENDPOINT/v1/projects/PROJECT_NAMESPACE/labels \
-H "Content-Type: application/json" -v

    次のように置き換えます。

  3. プロジェクトの特定のラベル値を一覧表示する場合は、次のクエリを送信します。

    curl -H "Authorization: Bearer ${TOKEN}" \
https://LOG_QUERY_API_ENDPOINT/v1/projects/PROJECT_NAMESPACE/labels/labels/LABEL/values \
-H "Content-Type: application/json" -v

    次のように置き換えます。

    • LOG_QUERY_API_ENDPOINT: ログのクエリ元となる ログクエリ API エンドポイント
    • PROJECT_NAMESPACE: プロジェクトの Namespace。
    • LABEL: 値をクエリする特定のラベル。

  4. 特定のプロジェクトのログをクエリする場合は、logs_filter クエリを作成して、リクエストの本文に含めます。

    curl -X GET -H "Authorization: Bearer ${TOKEN}" \
https://LOG_QUERY_API_ENDPOINT/v1/projects/PROJECT_NAMESPACE/logs \
-H "Content-Type: application/json" -d \
'{"logs_filter": {"labels_equal": {"LABEL": "LABEL_VALUE"}}}' -v

    次のように置き換えます。

    • LOG_QUERY_API_ENDPOINT: ログのクエリ元となる ログクエリ API エンドポイント
    • PROJECT_NAMESPACE: プロジェクトの Namespace。
    • LABEL: ログのクエリを行う特定のラベル。
    • LABEL_VALUE: ログのクエリを行うラベル値。

    logs_filter クエリの作成に関するすべてのオプションについては、API ドキュメントをご覧ください。

gRPC

gRPC は、さまざまなプログラミング言語で広くサポートされており、HTTP クライアントよりも効率的な通信方法を提供します。

gRPC を使用してログをクエリするには、次の前提条件を満たす必要があります。

  • Google 提供のプロトコル バッファに基づいて独自のクライアント ライブラリを作成します。
  • クライアントで認証を実装します。
  • 再試行を実装します。

プロトコル バッファについては、API ドキュメントをご覧ください。

次の例は、認証されていない gRPC クライアントを使用して Go プログラムからログをクエリする方法を示しています。この例では、コードの依存関係をインポートする Bazel ビルドファイルを含む golang パッケージを作成したことを前提としています。

  1. 次のコードを client.go という名前の Go プログラムに保存します。

    package main
import (
        "context"
        "crypto/tls"
        "flag"
        "fmt"
        "google.golang.org/grpc/credentials"
        "google.golang.org/grpc/metadata"
        pb "<import path to generated log query api protos>/pkg/apis/public/logging/v1/proto"
        "google.golang.org/grpc"
)

var serverAddr = flag.String("server", "localhost:8080", "server address")

func main() {
        flag.Parse()
        tc := credentials.NewTLS(&tls.Config{InsecureSkipVerify: true})
        conn, err := grpc.Dial(*serverAddr, grpc.WithTransportCredentials(tc))

        if err != nil {
                panic(error.Error(fmt.Errorf("create client connection failed: %v", err)))
        }
        defer conn.Close()

        c := pb.NewLogsClient(conn)
        md := metadata.Pairs("clienttest", "test")
        ctx := metadata.NewOutgoingContext(context.Background(), md)

        err = listLabels(ctx, c, "project-foo")
        if err != nil {
                panic(error.Error(err))
        }

        if err := listLabelValues(ctx, c, "project-foo", "resource-bar"); err != nil {
                panic(error.Error(err))
        }

        if err := listLogs(ctx, c, "project-foo", &pb.ListLogsFilter{
                LabelsEqual:    map[string]string{"resource-bar": "resource-bar-value"},
                OrderAscending: true,
        }); err != nil {
                panic(error.Error(err))
        }
}

// List all labels for a project.

func listLabels(ctx context.Context, c pb.LogsClient, project string) error {
        lbr := &pb.ListLabelsRequest{
                Parent:   project,
                PageSize: 1000, // PageSize can be configured to limit the number of responses per page.
        }
        resp, err := c.ListLabels(ctx, lbr)
        if err != nil {
                return fmt.Errorf("list labels: %v", err)
        }
        fmt.Printf("%v", resp)
        return nil
}

// List specific label values for a project.

func listLabelValues(ctx context.Context, c pb.LogsClient, project string, label string) error {
        lbr := &pb.ListLabelValuesRequest{
                Parent:   project,
                Label:    label,
                PageSize: 1000, // PageSize can be configured to limit the number of responses per page.
        }
        resp, err := c.ListLabelValues(ctx, lbr)
        if err != nil {
                return fmt.Errorf("list label values: %v", err)
        }
        fmt.Printf("%v", resp)
        return nil
}

// List logs for a specific project.

func listLogs(ctx context.Context, c pb.LogsClient, project string, lf *pb.ListLogsFilter) error {
        lbr := &pb.ListLogsRequest{
                Parent:     project,
                LogsFilter: lf,
                PageSize:   5, // PageSize can be configured to limit the number of responses per page.
        }
        resp, err := c.ListLogs(ctx, lbr)
        if err != nil {
                return fmt.Errorf("list logs: %v", err)
        }
        fmt.Printf("logs: %v", resp)
        return nil
}

  2. Go プログラムを実行します。

    go run PATH_TO_API/client.go -server=LOG_QUERY_API_ENDPOINT:443

    次のように置き換えます。

    サーバーフラグが指定されていない場合、デフォルトのリクエストは localhost に到達します。

サンプルクエリとラベル

ログのクエリに使用できるデフォルトのラベルを次に示します。

  • cluster: クラスタの名前。
  • namespace: プロジェクトの Namespace。
  • node: ノード名。
  • pod: Pod 名。
  • container: コンテナ名。

次のコードサンプルは、ラベルと値を使用してさまざまなログをクエリする方法を示しています。

  • サーバーログを選択します。

    {cluster="admin", namespace="kube-system", resources="k8s_container", container="kube-apiserver"}

  • クラスタ監査ログを選択します。

    {cluster="admin", resources="k8s_audit"}