Diese Seite wurde von der Cloud Translation API übersetzt.

Diagramm mit Abfrageergebnissen mit Loganalysen erstellen

In diesem Dokument wird beschrieben, wie Sie Loganalysen-Abfrageergebnisse in einem Diagramm darstellen. können Sie Muster und Trends in Ihren Protokolldaten erkennen. Loganalysen ermöglicht das Suchen und Aggregieren von Logs, um mithilfe von SQL nützliche Informationen zu gewinnen Abfragen.

Nachdem Sie eine Abfrage ausgeführt haben, können die Abfrageergebnisse in einer Tabelle angezeigt oder konvertiert werden. in ein Diagramm umwandeln. Um beispielsweise zu sehen, welche Schweregradtypen Ihre Logs haben, generieren, erstellen Sie ein Diagramm, das die Anzahl der generierten Logs der letzten 12 Stunden und schlüsseln Sie die Logs nach severity auf. Die folgenden Der Screenshot zeigt Datenpunkte, die nach verschiedenen Schweregradtypen unterteilt sind:

Beispieldiagramm, das eine Aufschlüsselung nach Schweregrad veranschaulicht.

Hinweise

So erhalten Sie die Berechtigungen, die Sie zum Ausführen von Abfragen, Aufrufen von Logs und Erstellen von Diagrammen mit Loganalysen benötigen: bitten Sie Ihren Administrator, Ihnen folgende IAM-Rollen für Ihr Projekt:
- So fragen Sie die Log-Buckets _Required und _Default ab: Loganzeige (roles/logging.viewer)
- So fragen Sie benutzerdefinierte Log-Buckets ab: Zugriffsfunktion für Logaufrufe (roles/logging.viewAccessor)
- (Optional) So speichern Sie Diagramme in Dashboards: Monitoring-Bearbeiter (roles/monitoring.editor)
Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.
Rufen Sie für die abzufragenden Logansichten die Seite Logspeicher auf. und prüfen Sie, ob die Log-Buckets, diese Logansichten auf Loganalysen aktualisiert werden. Bei Bedarf können Sie den Log-Bucket aktualisieren.

Rufen Sie in der Google Cloud Console die Seite Logspeicher auf:
Zum Log-Speicher

Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.
Optional: Wenn Sie Ihre Protokolldaten mithilfe eines BigQuery-Dataset erstellen und dann ein verknüpftes BigQuery-Dataset

Daten für das Diagramm auswählen

Um zu konfigurieren, welche Daten in einem Diagramm angezeigt werden sollen, erstellen Sie eine Abfrage mit SQL Wenn Sie den Tab Diagramm auswählen, Logging generiert automatisch ein Diagramm basierend auf Ihrer Abfrage Ergebnisse. Nachdem die Abfrage ausgeführt und ein Diagramm generiert wurde, können Sie Diagrammkonfiguration anpassen, indem Sie den Diagrammtyp ändern und um verschiedene Daten anzuzeigen.

Wenn Sie die Abfrageergebnisse als Diagramm ansehen möchten, führen Sie so eine Abfrage aus:

Rufen Sie in der Google Cloud Console die Seite Loganalysen auf:
Zu Log Analytics

Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.
Geben Sie im Bereich Abfrage eine Abfrage ein und klicken Sie dann auf Ausführen.
Nachdem die Abfrage abgeschlossen ist, wählen Sie auf dem Tab Ergebnisse aus, wie um die Abfrageergebnisse anzuzeigen:
- Tabelle: Es werden nur die Abfrageergebnisse angezeigt.
- Diagramm: zeigt nur ein Diagramm der Abfrageergebnisse an.
- Beides: Hier sehen Sie eine Tabelle und ein Diagramm nebeneinander.
Wenn Sie den Tab Diagramm oder Beide ausgewählt haben, Diagrammkonfiguration anpassen, indem Sie den Diagrammtyp, und anpassen, welche Zeilen und Spalten im Diagramm dargestellt werden. Weitere Informationen Weitere Informationen zur Diagrammkonfiguration finden Sie unter Diagrammkonfiguration anpassen.

Diagrammkonfiguration anpassen

Sie können die Diagrammkonfiguration anpassen, indem Sie den Diagrammtyp ändern, Dimension und Messwert im Diagramm und wenden eine Aufschlüsselung an. Die Die Dimension wird zum Gruppieren oder Kategorisieren von Zeilen verwendet und ist der Wert der X-Achse. Die Messwert, oder der Wert auf der Y-Achse, ist eine Datenreihe, Y-Achse.

Diagrammtyp ändern

Sie können je nach Zeilenart einen der folgenden Diagrammtypen auswählen Spalten, die Sie als Dimension und Messwert ausgewählt haben, und wie zu visualisieren.

Balkendiagramm (Standard)

In Balkendiagrammen werden Daten auf zwei Achsen dargestellt. Im Diagramm wird eine Kategorie oder ein String verwendet: als Dimension verwenden, können Sie die Diagrammkonfiguration für ein Balkendiagramm auf horizontal oder vertikal, wobei die Maß- und Maßachsen vertauscht sind.
Liniendiagramm

Mit Liniendiagrammen können Sie Datenänderungen im Zeitverlauf darstellen. Bei Verwendung einer Linie wird jede Zeitreihe durch eine andere Linie dargestellt, die von Ihnen ausgewählten Messungen.

Wenn Ihre X-Achse zeitbasiert ist, wird jeder Datenpunkt am Anfang des ein Zeitintervall. Jeder Datenpunkt ist durch lineare Interpolation verbunden.
Flächendiagramm Ein Flächendiagramm basiert auf einem Liniendiagramm. schattiert. In Flächendiagrammen sind die Datenreihen gestapelt. Wenn Sie beispielsweise zwei identische Datenreihen hat, überschneidet sich diese Reihe in einem Liniendiagramm, wird in einem Flächendiagramm gestapelt.
Kreisdiagramm

Ein Kreisdiagramm zeigt, wie sich Kategorien in einem Dataset auf das gesamte Dataset indem ein Kreis verwendet wird, um das gesamte Dataset und die Keilen im Kreis darzustellen um die Kategorien im Dataset darzustellen. Die Größe eines Keils gibt an, wie viel die Kategorie (häufig in Prozent) zu für das Ganze.
Messgerätanzeigen und Kurzübersichten

Tachometer und Übersichten zeigen die neuesten Messungen im Vergleich zu einer eine Reihe farbcodierter Schwellenwerte. Tachometer zeigen nur die aktuellsten während die Kurzübersichten auch den Verlauf der letzten Messungen enthalten. Diese Widgets sind farblich gekennzeichnet. Wenn der neueste Wert mit erwartete Bereiche werden die Daten grün dargestellt. Wenn der Wert in einem werden die Daten gelb dargestellt. Ähnlich verhält es sich, wenn der Wert in Gefahrbereich, wird rot angezeigt.

Sie können beim Anzeigen von Abfrageergebnissen mit der Methode ein Tachometer oder eine Übersicht.

Dimension und Messung ändern

Sie können festlegen, welche Zeilen und Spalten im Diagramm dargestellt werden, indem Sie die Dimension auswählen und „Measure“ an.

Dimension

Die Dimension muss eine Zeitstempel-, numerische oder String-Spalte sein. Standardmäßig ist die Dimension auf die erste zeitstempelbasierte Spalte im Schema. Wenn in der Abfrage kein Zeitstempel vorhanden ist, erste Stringspalte als Dimension ausgewählt ist. Sie können auch den Inhalt der Dimension anpassen. im Bereich Diagrammanzeige. Wenn eine Zeitstempelspalte als Dimension ausgewählt ist, wie sich Daten im Laufe der Zeit ändern.

Standardmäßig ist das Intervall für Zeitstempel automatisch Sie können aber auch ein benutzerdefiniertes Intervall auswählen. Automatische Intervalle ändern basierend auf der Zeitraumauswahl, um Gruppen ähnlicher Größe beizubehalten.

Sie können das Intervall auch deaktivieren, um ein eigenes Intervall anzugeben. Aggregationen und Zeitbereiche innerhalb der Abfrage für komplexere Analysen. Durch Deaktivieren des Intervalls wird die Aggregationsfunktion der Messwerte festgelegt an none. Beim Dimensionsintervall sind nur numerische Messwerte zulässig deaktiviert ist.

Hinweis: Nur die Spalte TIMESTAMP kann als Zeitstempeldimension verwendet werden. Bis DATE und DATETIME verwenden, müssen Sie die Funktion CAST() verwenden, um die in TIMESTAMP umwandeln.
Messung

Im Steuerfeld Diagrammanzeige können Sie mehrere Messwerte auswählen. Wenn Sie eine Messung auswählen, muss auch die Aggregationsfunktion auswählen, die für ihre gruppierten Werte ausgeführt werden soll, z. B. count, sum, average und percentile-99. Beispielsweise gibt count-distinct die Anzahl der eindeutigen Werte in einer bestimmten Spalte zurück.

Wenn Sie für die Dimension das Kästchen Intervall deaktivieren anklicken, Die Option für die Aggregationsfunktion none ist verfügbar. Wenn die Dimension ein Stringwerts nicht angezeigt wird, wird das Kästchen Intervall deaktivieren nicht angezeigt. Sie können jedoch Wenn Sie die Aggregationsfunktionen einer Messung auf none setzen, wird auch die Intervall.

Aufschlüsselung hinzufügen

Wenn Sie eine einzelne Datenreihe anhand einer anderen Spalte in mehrere Datenreihen aufteilen möchten, fügen Sie eine Aufschlüsselung hinzu.

Wenn Sie eine Aufschlüsselung auswählen, wählen Sie Spalten aus, Anzahl kurzer und aussagekräftiger Labels wie region_name anstelle von Feldern die eine große Anzahl von Strings oder lange Strings enthalten können, textPayload.

Sehen Sie sich beispielsweise die folgende Diagrammkonfiguration an, bei der die Dimension Dimension auf type, das Feld Measure auf Count rows festgelegt ist und Das Feld Breakdown ist auf severity gesetzt:

Beispiel für eine Diagrammkonfiguration mit einer Aufschlüsselung.

Das folgende Diagramm ist ein Beispiel für ein Diagramm mit einer zusätzlichen Aufschlüsselung:

Beispieldiagramm mit einer Aufschlüsselung nach Schweregrad.

Im Screenshot oben sehen Sie eine gestapelte Datenreihe, bei der die Ressource Der Typ k8s_container ist in verschiedene severity-Typen unterteilt. So können Sie wie viele Logs von einem bestimmten Schweregradtyp von einer bestimmten .

Diagramm in einem benutzerdefinierten Dashboard speichern

Nachdem ein Diagramm aus Ihrer Abfrage generiert wurde, können Sie es in einem benutzerdefinierten Dashboards. Mit benutzerdefinierten Dashboards Informationen, die für Sie nützlich sind, anzuzeigen und zu organisieren, die verschiedenen Arten von Widgets. Sie können z. B. ein Dashboard mit Details zur Nutzung Ihrer Cloud Storage-Buckets:

Beispieldashboard mit der Nutzung Ihrer Cloud Storage-Buckets.

So speichern Sie Ihr Diagramm in einem Dashboard:

Rufen Sie in der Google Cloud Console die Seite Loganalysen auf:
Zu Log Analytics

Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.
Führen Sie eine Abfrage aus, um ein Diagramm zu generieren, und klicken Sie dann auf Auf dem Tab Diagramm können Sie Diagramm speichern.
Geben Sie im Dialogfeld Im Dashboard speichern einen Titel für das Diagramm ein und wählen Sie das Dashboard aus, in dem Sie das Diagramm speichern möchten.
Optional: Wenn Sie das benutzerdefinierte Dashboard aufrufen möchten, klicken Sie im Toast auf Klicken Sie auf Dashboard ansehen.

Um eine Liste benutzerdefinierter Dashboards anzuzeigen, die Diagramme enthalten, die von Log Analytics-SQL-Abfragen, klicken Sie auf die Schaltfläche Diagramm speichern und klicken Sie auf Menü.

In einem benutzerdefinierten Dashboard gespeichertes Diagramm bearbeiten

Um Diagramme zu bearbeiten, die von Log Analytics-SQL-Abfragen generiert wurden, die in einem Weitere Informationen zum Dashboard finden Sie unter Konfiguration eines Widgets ändern. Im Dialogfeld Widget konfigurieren können Sie die Abfrage bearbeiten, die für die Generieren Sie ein Diagramm. Alternativ können Sie die Diagrammkonfiguration anpassen, um unterschiedlichen Daten.

Beschränkungen

Wenn sich Ihr Google Cloud-Projekt in einem Ordner befindet, der Assured Workloads verwendet, können die von Ihnen generierten Diagramme nicht in einem benutzerdefinierten Dashboard angezeigt werden.
Filter auf Dashboardebene werden nicht auf Diagramme angewendet, Log Analytics-SQL-Abfrage.

Beispielabfragen

Dieser Abschnitt enthält Beispiel-SQL-Abfragen, mit denen Sie Ihre Abfrageergebnisse in einem Diagramm darstellen können. Passen Sie die Diagrammkonfiguration an, um nützlichere Informationen aus Ihren Logs zu erhalten. So verwenden Sie die Beispielabfragen:

Rufen Sie in der Google Cloud Console die Seite Loganalysen auf:
Zu Log Analytics

Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Monitoring ist.
Ermitteln Sie den Tabellennamen für eine Logansicht, indem Sie die Standardabfrage ausführen:

Suchen Sie in der Liste Logansichten die Logansicht und wählen Sie Abfrage: Der Bereich Abfrage wird mit einer Standardabfrage gefüllt, die enthält den Namen der abgefragten Tabelle. Der Tabellenname enthält die Format project_ID.region.bucket_ID.view_ID.

Weitere Informationen zum Zugriff auf die Standardabfrage finden Sie unter Logansicht abfragen
Ersetzen Sie TABLE durch den Namen der entsprechenden Tabelle. zu der gewünschten Ansicht hinzu und kopieren Sie dann die Abfrage.
Fügen Sie die Abfrage in den Bereich Abfrage ein und klicken Sie auf Abfrage ausführen.

Log-Einträge nach Speicherort und Schweregrad in einem Diagramm darstellen

Mit der folgenden Abfrage werden location und severity mit dem Standort ausgewählt in einen String umwandeln:

SELECT
  CAST(JSON_VALUE(resource.labels.location) AS STRING) AS location,
  severity,
FROM
  `TABLE`

Hier ein Beispiel für eine Diagramm- und Diagrammkonfiguration:

Beispieldiagramm mit Logeinträgen nach Ort und Schweregrad.

Im vorherigen Screenshot hat die Diagrammkonfiguration Folgendes: Diagrammkonfiguration:

Diagrammtyp: Balkendiagramm, horizontal
Dimension: location, mit einem Limit von 10
Messen: Anzahl der Zeilen
Aufschlüsselung: severity, maximal fünf

Audit-Logs zum BigQuery-Datenzugriff in Diagrammen darstellen

Die folgenden Abfragefilter für das BigQuery-data_access-Audit und wählt bestimmte Felder aus, z. B. user_email, ip, auth_permission, und job_execution_project. Sie können beispielsweise ein Diagramm erstellen, Häufigkeit der BigQuery API-Nutzung durch jedes Hauptkonto im Zeitverlauf.

SELECT 
  timestamp,
  proto_payload.audit_log.authentication_info.principal_email as user_email,
  proto_payload.audit_log.request_metadata.caller_ip as ip,
  auth.permission as auth_permission,
  auth.granted as auth_granted,
  JSON_VALUE(data_access.resource.labels.project_id) AS job_execution_project,
  SPLIT(proto_payload.audit_log.resource_name, '/')[SAFE_OFFSET(1)] AS referenced_project,
  SPLIT(proto_payload.audit_log.resource_name, '/')[SAFE_OFFSET(3)] AS referenced_dataset,
  SPLIT(proto_payload.audit_log.resource_name, '/')[SAFE_OFFSET(5)] AS referenced_table
FROM `TABLE` as data_access,
  UNNEST(proto_payload.audit_log.authorization_info) AS auth
WHERE
  log_id="cloudaudit.googleapis.com/data_access"
  AND data_access.resource.type = 'bigquery_dataset'

Hier ein Beispiel für eine Diagramm- und Diagrammkonfiguration:

Beispieldiagramm für Audit-Logs zum Datenzugriff in BigQuery

Im vorherigen Screenshot enthält die Diagrammkonfiguration das folgende Diagramm Konfiguration:

Diagrammtyp: Balkendiagramm, vertikal
Dimension: user_email, mit einem Limit von fünf
Messen: Anzahl der Zeilen
Aufschlüsselung: auth_permission, maximal fünf

Beschränkungen

Die ausgewählten Spalten müssen mindestens eine Zeile mit einem Wert ungleich null enthalten.
Wenn Sie eine Abfrage speichern und die Diagrammkonfiguration anpassen, Diagrammkonfiguration wurde nicht gespeichert.
Wenn Ihre Abfrage bereits Aggregationen enthält, ist das generierte Diagramm möglicherweise aufgrund zusätzlicher Aggregation, die automatisch angewendet wird, von Log Analytics.
JSON-Pfade müssen in Strings und Zahlen umgewandelt werden, um im Diagramm dargestellt zu werden.

Nächste Schritte

Eine Übersicht über Loganalysen finden Sie unter Loganalysen.
Beispielabfragen finden Sie unter Beispiel-SQL-Abfragen.
Weitere Informationen zum Analysieren mit Audit-Logs mithilfe der Loganalysen, siehe SQL-Abfragen für Sicherheitsinformationen