Abfrageergebnisse mit Loganalysen in Diagrammen darstellen

In diesem Dokument wird beschrieben, wie Sie Ihre Log Analytics-Abfrageergebnisse grafisch darstellen lassen, um Muster und Trends in Ihren Logdaten zu erkennen. Mit Log Analytics können Sie Logs suchen und aggregieren, um mithilfe von SQL-Abfragen nützliche Informationen zu generieren.

Nachdem Sie eine Abfrage ausgeführt haben, können die Abfrageergebnisse in einer Tabelle angezeigt oder in ein Diagramm konvertiert werden. Wenn Sie beispielsweise sehen möchten, welche Schweregradtypen Ihre Logs generieren, erstellen Sie ein Diagramm, in dem die Anzahl der Logs angezeigt wird, die in den letzten 12 Stunden generiert wurden, und schlüsseln Sie die Logs nach severity auf. Der folgende Screenshot zeigt Datenpunkte, die nach verschiedenen Schweregradtypen aufgeschlüsselt sind:

Beispieldiagramm, das eine Aufschlüsselung nach Schweregrad veranschaulicht

Hinweise

Achten Sie darauf, dass Sie einen Log-Bucket haben, der für die Verwendung von Log Analytics aktualisiert wurde. Auf der Seite Logspeicher werden Ihre Log-Buckets und die zugehörigen Konfigurationsinformationen aufgelistet.

Wählen Sie im Navigationsbereich der Google Cloud Console Logging und anschließend Log-Speicher aus:
Zum Log-Speicher

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Loganzeige (roles/logging.viewer) für Cloud Logging zu gewähren, um die Berechtigungen zu erhalten, die Sie zum Laden der Seite Loganalysen und zum Ausführen von Abfragen benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Möglicherweise können Sie die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Zum Ansehen von Logeinträgen und Ausführen von Abfragen auf der Seite Loganalysen benötigen Sie dieselben Berechtigungen wie zum Ansehen von Logs auf der Seite Log-Explorer. Informationen zu zusätzlichen Rollen, die Sie zum Abfragen von Ansichten von benutzerdefinierten Buckets oder zum Abfragen der Ansicht _AllLogs des Log-Buckets _Default benötigen, finden Sie unter Cloud Logging-Rollen.

Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Monitoring Editor (roles/monitoring.editor) für Ihr Projekt zu gewähren, damit Sie die Berechtigungen erhalten, die Sie zum Erstellen und Verwalten von Dashboards mit der Google Cloud Console benötigen. Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Möglicherweise können Sie die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Daten für das Diagramm auswählen

Erstellen Sie mit SQL eine Abfrage, um zu konfigurieren, welche Daten in einem Diagramm angezeigt werden sollen. Wenn Sie den Tab Diagramm auswählen, erstellt Logging automatisch ein Diagramm anhand Ihrer Abfrageergebnisse. Nachdem die Abfrage ausgeführt und ein Diagramm generiert wurde, können Sie die Diagrammkonfiguration anpassen, indem Sie den Diagrammtyp ändern und Spalten auswählen, um verschiedene Daten anzuzeigen.

Um die Abfrageergebnisse als Diagramm anzusehen, führen Sie eine Abfrage aus. Gehen Sie dazu so vor:

Wählen Sie im Navigationsbereich der Google Cloud Console Logging und dann Loganalysen aus:
Gehen Sie zu Log Analytics.
Geben Sie im Bereich Abfrage eine Abfrage ein und klicken Sie auf Ausführen.
Wählen Sie nach Abschluss der Abfrage auf dem Tab Ergebnisse aus, wie die Abfrageergebnisse angezeigt werden sollen:
- Tabelle: Zeigt nur eine Tabelle mit Abfrageergebnissen an.
- Diagramm: Hier sehen Sie nur ein Diagramm der Abfrageergebnisse.
- Beide: Sie können eine Tabelle und ein Diagramm nebeneinander anzeigen lassen.
Wenn Sie den Tab Diagramm oder Beide ausgewählt haben, können Sie die Diagrammkonfiguration anpassen. Ändern Sie dazu den Diagrammtyp und legen Sie fest, welche Zeilen und Spalten im Diagramm dargestellt werden. Weitere Informationen zur Diagrammkonfiguration finden Sie unter Diagrammkonfiguration anpassen.

Diagrammkonfiguration anpassen

Sie können die Diagrammkonfiguration anpassen, indem Sie den Diagrammtyp ändern, die Dimension und den Messwert für das Diagramm auswählen und eine Aufschlüsselung anwenden. Die Dimension wird zum Gruppieren oder Kategorisieren von Zeilen verwendet und ist der Wert für die X-Achse. Die Messung oder der Wert der Y-Achse ist eine Datenreihe, die auf der Y-Achse dargestellt wird.

Diagrammtyp ändern

Sie können einen der folgenden Diagrammtypen auswählen, je nachdem, welche Art von Zeilen und Spalten Sie als Dimension und Messung ausgewählt haben und wie diese Daten visualisiert werden sollen.

Balkendiagramm (Standard)

Bei Balkendiagrammen werden Daten auf zwei Achsen dargestellt. Wenn in Ihrem Diagramm eine Kategorie oder ein String als Dimension verwendet wird, können Sie die Diagrammkonfiguration für ein Balkendiagramm auf horizontal oder vertikal festlegen, wobei die Dimensions- und Messwertachsen vertauscht werden.
Liniendiagramm

Liniendiagramme können verwendet werden, um Datenänderungen im Zeitverlauf darzustellen. Wenn Sie ein Liniendiagramm verwenden, wird jede Zeitachse durch eine andere Linie angezeigt, die den von Ihnen ausgewählten Messungen entspricht.

Wenn Ihre X-Achse zeitbasiert ist, wird jeder Datenpunkt am Anfang eines Zeitintervalls platziert. Jeder Datenpunkt wird durch lineare Interpolation verbunden.
Flächendiagramm Ein Flächendiagramm basiert auf einem Liniendiagramm. Der Bereich unter jeder Linie ist schattiert. In Flächendiagrammen sind die Datenreihen gestapelt. Wenn Sie beispielsweise zwei identische Reihen haben, überschneidet sich die Reihe in einem Liniendiagramm, der schattierte Bereich ist jedoch in einem Flächendiagramm gestapelt.
Kreisdiagramm

Ein Kreisdiagramm zeigt, wie sich Kategorien in einem Dataset auf das gesamte Dataset beziehen. Dabei wird ein Kreis verwendet, um das gesamte Dataset darzustellen, und Keilen im Kreis, um die Kategorien im Dataset darzustellen. Die Größe eines Keils gibt an, wie viel (häufig in Prozent) die Kategorie zum Ganzen beiträgt.

Dimension und Messung ändern

Sie können festlegen, welche Zeilen und Spalten in Diagrammen dargestellt werden sollen. Dazu wählen Sie die Dimensions- und Messwertfelder aus.

Dimension

Die Dimension muss eine Zeitstempel-, numerische oder Stringspalte sein. Standardmäßig ist die Dimension auf die erste zeitstempelbasierte Spalte im Schema festgelegt. Wenn in der Abfrage kein Zeitstempel vorhanden ist, wird die erste Stringspalte als Dimension ausgewählt. Sie können die Dimension im Bereich Diagrammanzeige auch anpassen. Wenn eine Zeitstempelspalte als Dimension ausgewählt ist, zeigt das Diagramm, wie sich die Daten im Zeitverlauf ändern.

Das Intervall für Zeitstempel wird standardmäßig automatisch festgelegt. Sie können aber auch ein benutzerdefiniertes Intervall auswählen. Bei automatischen Intervallen werden die Werte basierend auf der Zeitraumauswahl geändert, um Gruppen ähnlicher Größe beizubehalten.

Sie können das Intervall auch deaktivieren, um eigene Aggregationen und Zeiträume in der Abfrage für eine komplexere Analyse anzugeben. Wenn Sie das Intervall deaktivieren, wird die Aggregationsfunktion der Messwerte auf none gesetzt. Wenn das Dimensionsintervall deaktiviert ist, sind nur numerische Messwerte zulässig.

Hinweis: Nur die Spalte TIMESTAMP kann als Zeitstempeldimension verwendet werden. Wenn Sie DATE und DATETIME verwenden möchten, müssen Sie die Funktion CAST() verwenden, um die Datentypen in TIMESTAMP zu konvertieren.
Messung

Sie können im Steuerfeld Diagrammanzeige mehrere Messungen auswählen. Wenn Sie eine Messung auswählen, müssen Sie auch die Aggregationsfunktion auswählen, die für die gruppierten Werte ausgeführt werden soll, z. B. count, sum, average und percentile-99. count-distinct gibt beispielsweise die Anzahl der eindeutigen Werte in einer bestimmten Spalte zurück.

Wenn Sie für die Dimension das Kästchen Intervall deaktivieren anklicken, ist die Aggregationsfunktionsoption none verfügbar. Wenn die Dimension ein Stringwert ist, wird das Kästchen Intervall deaktivieren nicht angezeigt. Wenn Sie die Aggregatfunktionen eines Messwerts auf none festlegen, wird jedoch auch das Intervall deaktiviert.

Aufschlüsselung hinzufügen

Wenn Sie eine einzelne Datenreihe basierend auf einer anderen Spalte in mehrere Datenreihen aufteilen möchten, fügen Sie eine Aufschlüsselung hinzu.

Wählen Sie für eine Aufschlüsselung Spalten mit einer kleinen Anzahl kurzer und aussagekräftiger Labels wie region_name anstelle von Feldern mit einer großen Anzahl von Strings oder langen Strings wie textPayload aus.

In der folgenden Diagrammkonfiguration ist beispielsweise das Feld Dimension auf type, das Feld Measure auf Anzahl der Zeilen und das Feld Aufschlüsselung auf severity festgelegt:

Beispiel für eine Diagrammkonfiguration mit einer Aufschlüsselung.

Das folgende Diagramm ist ein Beispiel für ein Diagramm mit zusätzlicher Aufschlüsselung:

Beispieldiagramm, das eine Aufschlüsselung nach Schweregrad enthält.

Im vorherigen Screenshot sehen Sie eine gestapelte Datenreihe, bei der der Ressourcentyp k8s_container in verschiedene severity-Typen aufgeteilt ist. So können Sie ermitteln, wie viele Logs jedes Schweregradtyps von einer bestimmten Ressource generiert wurden.

Diagramm in einem benutzerdefinierten Dashboard speichern

Nachdem ein Diagramm aus Ihrer Abfrage generiert wurde, können Sie es in einem benutzerdefinierten Dashboard speichern. In benutzerdefinierten Dashboards können Sie mithilfe einer Vielzahl von Widget-Typen nützliche Informationen anzeigen und organisieren. Sie können beispielsweise ein Dashboard erstellen, das Details zur Nutzung Ihrer Cloud Storage-Buckets enthält:

Beispieldashboard zur Darstellung der Nutzung Ihrer Cloud Storage-Buckets

So speichern Sie Ihr Diagramm in einem Dashboard:

Wählen Sie im Navigationsbereich der Google Cloud Console Logging und dann Loganalysen aus:
Gehen Sie zu Log Analytics.
Führen Sie eine Abfrage aus, um ein Diagramm zu generieren, und klicken Sie dann auf dem Tab Diagramm auf Diagramm speichern.
Geben Sie im Dialogfeld In Dashboard speichern einen Titel für Ihr Diagramm ein und wählen Sie das Dashboard aus, in dem Sie das Diagramm speichern möchten.
Optional: Klicken Sie im Toast auf Dashboard ansehen, um das benutzerdefinierte Dashboard anzusehen.

Wenn Sie eine Liste benutzerdefinierter Dashboards mit Diagrammen aufrufen möchten, die durch Log Analytics-SQL-Abfragen generiert wurden, klicken Sie auf die Schaltfläche Diagramm speichern und dann auf Menü.

In einem benutzerdefinierten Dashboard gespeicherte Diagramme bearbeiten

Informationen zum Bearbeiten von Diagrammen, die von Log Analytics-SQL-Abfragen generiert und in einem Dashboard gespeichert sind, finden Sie unter Konfiguration eines Widgets ändern. Im Dialogfeld Widget konfigurieren können Sie die Abfrage bearbeiten, die zum Generieren eines Diagramms verwendet wird, oder die Diagrammkonfiguration anpassen, um andere Daten zu visualisieren.

Beschränkungen

Wenn sich Ihr Google Cloud-Projekt in einem Ordner befindet, der Assured Workloads verwendet, können die von Ihnen generierten Diagramme nicht in einem benutzerdefinierten Dashboard angezeigt werden.
Filter auf Dashboard-Ebene gelten nicht für Diagramme, die über eine Log Analytics-SQL-Abfrage generiert wurden.

Beispielabfragen

Dieser Abschnitt enthält SQL-Beispielabfragen, mit denen Sie Ihre Abfrageergebnisse in einem Diagramm darstellen können. Passen Sie die Diagrammkonfiguration an, um nützlichere Informationen aus Ihren Logs zu erhalten. So verwenden Sie die Beispielabfragen:

Wählen Sie im Navigationsbereich der Google Cloud Console Logging und dann Loganalysen aus:
Gehen Sie zu Log Analytics.
Ermitteln Sie den Tabellennamen für eine Logansicht, indem Sie die Standardabfrage ausführen:

Suchen Sie in der Liste Logansichten nach der Logansicht und wählen Sie Abfrage aus. Im Bereich Abfrage wird eine Standardabfrage mit dem Namen der abgefragten Tabelle angezeigt. Der Tabellenname hat das Format project_ID.region.bucket_ID.view_ID.

Weitere Informationen zum Zugreifen auf die Standardabfrage finden Sie unter Logansicht abfragen.
Ersetzen Sie TABLE durch den Namen der Tabelle, die der Ansicht entspricht, die Sie abfragen möchten, und kopieren Sie dann die Abfrage.
Fügen Sie die Abfrage in den Bereich Abfrage ein und klicken Sie dann auf Abfrage ausführen.

Diagrammeinträge nach Speicherort und Schweregrad darstellen

Mit der folgenden Abfrage werden location und severity ausgewählt, wobei der Standort als String umgewandelt wird:

SELECT
  CAST(JSON_VALUE(resource.labels.location) AS STRING) AS location,
  severity,
FROM
  `TABLE`

Hier ein Beispiel für eine Diagramm- und Diagrammkonfiguration:

Beispieldiagramm, das Logeinträge nach Speicherort und Schweregrad darstellt.

Im vorherigen Screenshot hat die Diagrammkonfiguration die folgende Diagrammkonfiguration:

Diagrammtyp: Balkendiagramm, horizontal
Dimension: location, begrenzt auf 10
Messen: Anzahl der Zeilen
Aufschlüsselung: severity, mit einem Limit von fünf

Diagramm mit Audit-Logs zum BigQuery-Datenzugriff

Mit der folgenden Abfrage werden nach data_access-Audit-Logs von BigQuery gefiltert und bestimmte Felder wie user_email, ip, auth_permission und job_execution_project ausgewählt. Sie können beispielsweise ein Diagramm erstellen, in dem die Häufigkeit der BigQuery API-Nutzung jedes Hauptkontos im Zeitverlauf dargestellt wird.

SELECT
  timestamp,
  proto_payload.audit_log.authentication_info.principal_email as user_email,
  proto_payload.audit_log.request_metadata.caller_ip as ip,
  auth.permission as auth_permission,
  auth.granted as auth_granted,
  JSON_VALUE(data_access.resource.labels.project_id) AS job_execution_project,
  SPLIT(proto_payload.audit_log.resource_name, '/')[SAFE_OFFSET(1)] AS referenced_project,
  SPLIT(proto_payload.audit_log.resource_name, '/')[SAFE_OFFSET(3)] AS referenced_dataset,
  SPLIT(proto_payload.audit_log.resource_name, '/')[SAFE_OFFSET(5)] AS referenced_table
FROM `TABLE` as data_access,
  UNNEST(proto_payload.audit_log.authorization_info) AS auth
WHERE
  log_id="cloudaudit.googleapis.com/data_access"
  AND data_access.resource.type = 'bigquery_dataset'

Hier ein Beispiel für eine Diagramm- und Diagrammkonfiguration:

Beispieldiagramm für Audit-Logs zum Datenzugriff in BigQuery

Im vorherigen Screenshot hat die Diagrammkonfiguration die folgende Diagrammkonfiguration:

Diagrammtyp: Balkendiagramm, vertikal
Dimension: user_email, begrenzt auf fünf
Messen: Anzahl der Zeilen
Aufschlüsselung: auth_permission, mit einem Limit von fünf

Beschränkungen

Die ausgewählten Spalten müssen mindestens eine Zeile mit einem Wert ungleich Null enthalten.
Wenn Sie eine Abfrage speichern und die Diagrammkonfiguration anpassen, wird die benutzerdefinierte Diagrammkonfiguration nicht gespeichert.
Wenn Ihre Abfrage bereits Aggregationen enthält, unterscheidet sich das generierte Diagramm möglicherweise aufgrund einer zusätzlichen Aggregation, die automatisch von Loganalysen angewendet wird.
JSON-Pfade müssen in Strings und Zahlen umgewandelt werden, damit sie als Diagramm dargestellt werden können.

Nächste Schritte

Eine Übersicht über Loganalysen finden Sie unter Loganalysen.
Beispielabfragen finden Sie unter Beispiel-SQL-Abfragen.
Informationen zum Analysieren mit Audit-Logs mithilfe von Log Analytics finden Sie unter SQL-Abfragen für Sicherheitserkenntnisse.