Logs in Log Analytics abfragen und ansehen

In diesem Dokument wird beschrieben, wie Sie Logs abfragen und aufrufen, die in Log-Buckets gespeichert sind, die auf die Verwendung von Loganalysen aktualisiert wurden. Sie können Logs in diesen Buckets mit SQL abfragen. Dadurch können Sie Ihre Logs filtern und aggregieren. Informationen zu den Loganalysen von Cloud Logging finden Sie unter Übersicht über Loganalysen.

Wenn Sie einen Log-Bucket auf die Verwendung von Log Analytics upgraden, wird der Zugriff auf den Log-Explorer nicht eingeschränkt. Mit dem Log-Explorer können Sie weiterhin Probleme beheben und einzelne Logeinträge in diesen Buckets ansehen.

Informationen zum Upgrade eines Log-Buckets für die Verwendung von Loganalysen finden Sie in den folgenden Dokumenten:

Hinweise

  • Prüfen Sie, ob Sie einen Log-Bucket haben, der für die Verwendung von Loganalysen aktualisiert wurde. Auf der Seite Logspeicher werden Ihre Log-Buckets und die zugehörigen Konfigurationsinformationen aufgelistet.

    Wählen Sie im Navigationsbereich der Google Cloud Console Logging und anschließend Log-Speicher aus:

    Zum Log-Speicher

  • Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihr Projekt zu gewähren, damit Sie die Berechtigungen erhalten, die Sie zum Laden der Seite Loganalysen, zum Ausführen von Abfragen und zum Anzeigen von Logs benötigen:

    Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff verwalten.

    Möglicherweise können Sie die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

    Zum Ansehen von Logeinträgen und Ausführen von Abfragen auf der Seite Loganalysen benötigen Sie dieselben Berechtigungen wie zum Ansehen von Logs auf der Seite Log-Explorer. Informationen zu zusätzlichen Rollen, die Sie zum Abfragen von Ansichten von benutzerdefinierten Buckets oder zum Abfragen der Ansicht _AllLogs des Log-Buckets _Default benötigen, finden Sie unter Cloud Logging-Rollen.

  • Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Loglink-Zugriffer (roles/logging.linkViewer) für Ihr Projekt zu gewähren, damit Sie die erforderlichen Berechtigungen zum Ansehen verknüpfter BigQuery-Datasets für Log-Buckets erhalten.

  • Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihr Projekt zu gewähren, damit Sie die erforderlichen Berechtigungen zum Ansehen Ihrer Daten in BigQuery erhalten:

Logansicht abfragen

Bei der Fehlerbehebung können Sie die Logeinträge mit einem Feld zählen, das einem Muster entspricht, oder die durchschnittliche Latenz für HTTP-Anfragen berechnen. Sie können diese Aktionen ausführen, indem Sie eine SQL-Abfrage für eine Logansicht ausführen.

So geben Sie eine SQL-Abfrage an eine Ansicht aus:

  1. Wählen Sie im Navigationsbereich der Google Cloud Console Logging und dann Loganalysen aus:

    Gehen Sie zu Log Analytics.

  2. Suchen Sie in der Liste Log-Ansichten die Ansicht und wählen Sie Abfrage aus. Im Bereich Abfrage wird eine Standardabfrage mit dem Namen der abgefragten Tabelle angezeigt.

    Sie können auch eine Abfrage in den Bereich Abfrage eingeben oder eine angezeigte Abfrage bearbeiten.

    Verwenden Sie zum Festlegen des Zeitraums der Abfrage die Zeitraumauswahl oder fügen Sie eine WHERE-Klausel hinzu, die das Feld timestamp angibt. Wir empfehlen, den Zeitraum über die Zeitraumauswahl anzugeben.

    Wenn Sie in der Abfrage einen Zeitstempel angeben, überschreibt dieser den ausgewählten Zeitraum in der Zeitraumauswahl und die Zeitraumauswahl wird deaktiviert. Entfernen Sie Zeitstempelausdrücke aus der WHERE-Klausel in Ihrer Abfrage, um die Zeitraumauswahl zu verwenden.

  3. Klicken Sie in der Symbolleiste auf Abfrage ausführen.

    Die Abfrage wird ausgeführt und das Ergebnis der Abfrage wird auf dem Tab Ergebnisse angezeigt.

    Mit den Optionen der Symbolleiste können Sie Ihre Abfrage formatieren, die Abfrage löschen und die BigQuery-SQL-Referenzdokumentation öffnen.

Schema einer Ansicht anzeigen

Das Schema einer Logansicht definiert ihre Struktur und den Datentyp für jedes Feld. Diese Informationen sind wichtig für Sie, da sie bestimmen, wie Sie Ihre Abfragen erstellen. Angenommen, Sie möchten die durchschnittliche Latenz von HTTP-Anfragen berechnen. Sie müssen wissen, wie Sie auf das Latenzfeld zugreifen und ob es als Ganzzahl wie 100 oder als String wie "100" gespeichert wird. Wenn die Latenzdaten als String gespeichert sind, muss die Abfrage den Wert vor der Berechnung eines Durchschnitts in einen numerischen Wert umwandeln.

Wenn der Datentyp einer Spalte JSON ist, werden die für diese Spalte verfügbaren Felder im Schema nicht aufgelistet. Ein Logeintrag kann beispielsweise ein Feld mit dem Namen json_payload enthalten. Wenn ein Log-Bucket auf die Verwendung von Loganalysen aktualisiert wird, wird dieses Feld einer Spalte mit dem Datentyp JSON zugeordnet. Das Schema gibt nicht die untergeordneten Felder der Spalte an. Das heißt, Sie können das Schema nicht verwenden, um festzustellen, ob json_payload.url ein gültiger Verweis ist.

So identifizieren Sie das Schema für eine Ansicht:

  1. Wählen Sie im Navigationsbereich der Google Cloud Console Logging und dann Loganalysen aus:

    Gehen Sie zu Log Analytics.

  2. Suchen Sie in der Liste Logansichten nach der Ansicht und wählen Sie dann den Namen der Ansicht aus.

    Das Schema für die Tabelle wird angezeigt. Mit dem Feld Filter können Sie nach bestimmten Feldern suchen. Sie können das Schema nicht ändern.

Abfrage speichern

Alle Abfragen, die Sie ausführen, werden automatisch 30 Tage lang gespeichert und sind auf der Seite Loganalysen über den Tab Zuletzt zugänglich. Sie können die auf dem Tab Recent (Zuletzt verwendeten) Abfragen suchen, anzeigen lassen, ausführen und freigeben.

Wenn Sie eine Abfrage für die zukünftige Verwendung verfügbar halten möchten, versehen Sie sie mit nützlichen Informationen oder lassen Sie Teammitglieder Ihre Abfrage ansehen und ausführen. Speichern Sie die Abfrage dann. Sie können Ihre gespeicherten Abfragen nach Namen, Beschreibung und Sichtbarkeitslabel suchen und sortieren. Sie können diese Abfragen auch bearbeiten und löschen. Gespeicherte Abfragen werden aufbewahrt, bis Sie sie löschen.

Sie können 10.000 Abfragen pro Google Cloud-Projekt speichern.

Console

So speichern Sie eine Abfrage:

  1. Wählen Sie im Navigationsbereich der Google Cloud Console Logging und dann Loganalysen aus:

    Gehen Sie zu Log Analytics.

  2. Füllen Sie den Bereich Abfrage mit einer Abfrage.

    Um den Bereich Query (Abfrage) zu füllen, können Sie eine neue Abfrage eingeben oder auf dem Tab Recent (Zuletzt verwendet) eine Abfrage oder auf dem Tab Saved (Gespeichert) eine Abfrage auswählen.

    Wenn die Abfrage im Bereich Query gültig ist, wird die Save-Funktion aktiviert.

  3. Klicken Sie auf Speichern und füllen Sie die Felder Name und Beschreibung aus. Die Werte, die Sie für diese Felder festlegen, werden auf dem Tab Gespeichert angezeigt.

  4. Optional: Aktivieren Sie die Ein/Aus-Schaltfläche Für Projekt freigeben, damit alle Nutzer mit Zugriff auf die Seite Loganalysen für die Google Cloud-Projektansicht die gespeicherte Abfrage ausführen und diese ausführen können.

    Diese Ein/Aus-Schaltfläche ist standardmäßig deaktiviert und die Sichtbarkeit ist auf Sie beschränkt.

  5. Klicken Sie auf Abfrage speichern.

  6. Optional: Wählen Sie den Tab Gespeichert aus, um für Sie sichtbare gespeicherte Abfragen anzusehen, zu sortieren und auszuführen.

    Sie können Ihre gespeicherten Abfragen nach Name, Beschreibung und Sichtbarkeitslabel sortieren und filtern. Sie können auch nach dem Inhalt der Abfrage filtern.

Sie können Abfragen, die Sie erstellt haben, mithilfe der Optionen auf dem Tab Gespeichert bearbeiten und löschen:

  • Zum Bearbeiten einer Abfrage klicken Sie auf Weitere Optionen und wählen Sie Bearbeiten aus. Sie können zwar die Werte in den Feldern Name und Beschreibung ändern, die Abfrage selbst lässt sich jedoch nicht ändern.

  • Wenn Sie eine gespeicherte Abfrage löschen möchten, klicken Sie auf Weitere Optionen und wählen Sie Löschen aus.

API

Verwenden Sie die Methode savedQueries.create, um eine Abfrage mithilfe der Logging API zu speichern. Weitere Informationen zu dieser Methode, ihren Parametern und den Antwortdaten finden Sie auf der Referenzseite für savedQueries.create.

Sie können die Methode savedQueries.create mithilfe des APIs Explorer-Widgets auf der Referenzseite der Methode ausführen. Für Loganalysen-Abfragen müssen Sie das Feld opsAnalyticsQuery angeben. Das folgende Beispiel zeigt einen Beispiel-Anfragetext mit einer Instanz von SavedQuery:

{
  "parent": "projects/my-project/locations/global"
  "saved_query":
  {
     "ops_analytics_query":
     {
        "sql_query_text" :
           "SELECT
           timestamp, log_name, severity, json_payload, resource, labels
           FROM
           `TABLE`
           WHERE
           timestamp > TIMESTAMP_SUB(CURRENT_TIMESTAMP(), INTERVAL 1 HOUR)
           ORDER BY timestamp ASC
           LIMIT 100"
     }
     "visibility": "PRIVATE"
  }
}

Abfrage freigeben

Console

Wenn Sie ein Problem beheben oder anomale Ergebnisse sehen, können Sie eine Abfrage und ihre Ergebnisse an ein Teammitglied weitergeben. Wenn Sie die Abfrageergebnisse auf der Seite Loganalysen ansehen, können Sie eine URL kopieren, auf der die ausgeführte Abfrage und die zugehörigen Ergebnisse angezeigt werden.

So geben Sie eine Abfrage und Ergebnisse für ein Teammitglied frei:

  1. Wählen Sie im Navigationsbereich der Google Cloud Console Logging und dann Loganalysen aus:

    Gehen Sie zu Log Analytics.

  2. Geben Sie im Bereich Abfrage eine Abfrage ein und klicken Sie dann auf Abfrage ausführen.

    Um den Bereich Query (Abfrage) zu füllen, können Sie eine neue Abfrage eingeben oder auf dem Tab Recent (Zuletzt verwendet) eine Abfrage oder auf dem Tab Saved (Gespeichert) eine Abfrage auswählen.

  3. Klicken Sie auf Link teilen.

  4. Senden Sie den Link an Ihr Teammitglied.

    Wenn Ihr Teammitglied den Link öffnet, wird die Seite Loganalysen geöffnet. Auf dieser Seite werden die ausgeführte Abfrage und die zugehörigen Ergebnisse angezeigt.

    Damit die URL erfolgreich geöffnet werden kann, muss die Rolle der Identity and Access Management Ihres Teammitglieds für das Google Cloud-Projekt die Berechtigungen enthalten, die zum Aufrufen von Logging-Seiten erforderlich sind.

API

Sie können die Logging API verwenden, um eine freigegebene Abfrage zu erstellen. Dazu verwenden Sie die Methode savedQueries.Create und geben im Feld visibility den Wert SHARED an.

Letzte oder gespeicherte Abfragen aufrufen und ausführen

Um eine Abfrage anzuzeigen oder noch einmal auszuführen, wählen Sie auf der Seite Loganalysen den Tab Recent (Zuletzt verwendet) aus und suchen Sie die Abfrage:

  • Klicken Sie zum Ausführen der Abfrage auf Run (Ausführen).
  • Verwenden Sie zum Aufrufen der Abfrage die Optionen im Menü Weitere Optionen.

Zum Anzeigen, Bearbeiten oder Ausführen einer gespeicherten Abfrage wählen Sie den Tab Gespeichert auf der Seite Loganalysen aus und suchen Sie die Abfrage:

  • Klicken Sie zum Ausführen der Abfrage auf Run (Ausführen).
  • Verwenden Sie zum Bearbeiten, Ansehen oder Löschen der Abfrage die Optionen im Menü Weitere Optionen.

Logs mit BigQuery abfragen

Wenn Sie einen Log-Bucket haben, der für die Verwendung von Loganalysen aktualisiert wurde, können Sie Ihre Daten auch in BigQuery ansehen, indem Sie ein verknüpftes BigQuery-Dataset erstellen. Mit dieser Konfiguration können Sie BigQuery verwenden, um Ihre Logdaten, die über das verknüpfte Dataset zugänglich sind, mit anderen Geschäftsdaten zu verknüpfen. Informationen zum Erstellen eines verknüpften Datasets finden Sie unter BigQuery-Ansichtszugriff auf einen Log-Bucket gewähren.

So fragen Sie ein verknüpftes Dataset ab:

  1. Wählen Sie im Navigationsbereich der Google Cloud Console Logging und dann Loganalysen aus:

    Gehen Sie zu Log Analytics.

  2. Suchen Sie in der Liste Log-Ansichten die Ansicht und wählen Sie Abfrage aus. Im Bereich Abfrage wird eine Standardabfrage angezeigt.

    Sie können auch eine Abfrage in den Bereich Abfrage eingeben oder eine angezeigte Abfrage bearbeiten.

  3. Klicken Sie in der Symbolleiste auf In BigQuery ausführen.

    Die Seite BigQuery Studio wird geöffnet. Die FROM-Anweisung der Abfrage wird geändert, um den Pfad zur Ansicht für das verknüpfte Dataset mithilfe der Tabellenpfadsyntax von BigQuery anzugeben.

    Sie können die angezeigte Abfrage auch bearbeiten.

  4. Klicken Sie auf Abfrage ausführen.

Nächste Schritte