导出日志的 BigQuery 架构

导出日志的 BigQuery 表架构基于 LogEntry 类型的结构和日志负载的内容。Stackdriver Logging 还会应用一些特殊规则来缩短审核日志的 BigQuery 架构字段名称的长度。您可以在 BigQuery 网页界面中选择包含导出日志条目的表,从而查看表架构。

字段命名惯例

以下几项命名惯例适用于日志条目字段:

  • 对于属于 LogEntry 类型的日志条目字段,对应的 BigQuery 字段名称与日志条目字段完全相同。
  • 对于所有用户提供的字段,字母大小写均标准化为小写,而命名则保留下来。

    • 对于结构化负载中的字段,只要 @type 说明符不存在,字母大小写就会标准化为小写,而命名则保留下来。

      如需了解存在 @type 说明符的结构化负载,请参阅带有 @type 的负载字段

以下示例展示了这些命名惯例是如何应用的:

日志条目字段 LogEntry 类型映射 BigQuery 字段名称
insertId insertId insertId
textPayload textPayload textPayload
httpRequest.status httpRequest.status httpRequest.status
httpRequest.requestMethod.GET httpRequest.requestMethod.[ABC] httpRequest.requestMethod.get
resource.labels.moduleid resource.labels.[ABC] resource.labels.moduleid
jsonPayload.MESSAGE jsonPayload.[ABC] jsonPayload.message
jsonPayload.myField.mySubfield jsonPayload.[ABC].[XYZ] jsonPayload.myfield.mysubfield

如果结构化字段包含 @type 说明符,那么结构化负载字段到 BigQuery 字段名称的对应关系会更加复杂。此内容将在下一部分中讨论。

带有 @type 的负载字段

本部分介绍了负载包含类型说明符(@type 字段)的日志条目的特殊 BigQuery 架构字段名称。这包括在 BigQuery 中保存的导出审核日志条目。例如,本部分说明了审核日志条目的 protoPayload 字段可能对应于 BigQuery 架构字段 protopayload_auditlog 的原因。

架构命名规则

日志条目中的负载可以包含结构化数据,而结构化数据可以包含嵌套的结构化字段。任何结构化字段都可以包含以下格式的可选类型说明符

@type: type.googleapis.com/[TYPE]

具有类型说明符的结构化字段通常被赋予 BigQuery 字段名称,其字段名称附加了 [TYPE]。

例如,下表显示了顶级结构化负载字段到 BigQuery 字段名称的对应关系:

负载 负载 @type 负载字段 BigQuery 字段名称
jsonPayload (无) statusCode jsonPayload.statusCode
jsonPayload type.googleapis.com/abc.Xyz statusCode jsonPayload_abc_xyz.statuscode
protoPayload (无) statusCode protoPayload.statuscode
protoPayload type.googleapis.com/abc.Xyz statusCode protopayload_abc_xyz.statuscode

如果 jsonPayloadprotoPayload 包含其他结构化字段,那么这些内部字段的对应关系如下所示:

  • 如果嵌套的结构化字段没有 @type 说明符,则其 BigQuery 字段名称与原始字段名称相同,只是它被标准化为小写字母。
  • 如果嵌套的结构化字段 @type 说明符,则其 BigQuery 字段名称附加了 [TYPE] (已重拼),且被标准化为小写字母。

对于具有类型说明符的字段,上述规则有一些例外情况:

  • 在 App Engine 请求日志中,导出到 BigQuery 的日志中的负载名称为 protoPayload,即使该负载具有类型说明符也是如此。这种情况在查询的示例 App Engine 日志查询中进行了说明。

  • Stackdriver Logging 会应用一些特殊规则来缩短审核日志的 BigQuery 架构字段名称的长度。这种情况在本页面的已导出审核日志架构字段部分进行了说明。

示例

下面的示例展示了结构化负载字段在导出到 BigQuery 后的命名方式和使用方式。

假设某个日志条目负载的结构如下:

jsonPayload: {
  name_a: {
    sub_a: "A value"
  }
  name_b: {
    @type: "type.googleapis.com/google.cloud.v1.SubType"
    sub_b: 22
  }
}

与 BigQuery 字段的对应关系如下所示:

  • 字段 jsonPayloadname_a 经过结构化处理,但没有 @type 说明符。它们的 BigQuery 名称分别是 jsonPayloadname_a

  • 字段 sub_asub_b 没有经过结构化处理,因此它们的 BigQuery 名称分别是 sub_asub_b

  • 字段 name_b 有一个 @type 说明符,其 [TYPE] 为 google.cloud.v1.SubType。因此,它的 BigQuery 名称是 name_b_google_cloud_v1_subtype

简而言之,系统为该日志条目的负载定义了以下 5 个 BigQuery 名称:

jsonPayload
jsonPayload.name_a
jsonPayload.name_a.sub_a
jsonPayload.name_b_google_cloud_v1_subtype
jsonPayload.name_b_google_cloud_v1_subtype.sub_b

导出的审核日志架构字段

如果您不使用已导出到 BigQuery 的审核日志,则可以跳过本部分。

审核日志负载字段 protoPayload.requestprotoPayload.responseprotoPayload.metadata 具有 @type 说明符,但被视为 JSON 数据。也就是说,这些字段的 BigQuery 架构名称是附加了 Json 的字段名称,其中包含 JSON 格式的字符串数据。

下表列出了两组审核日志负载字段名称:

日志条目字段 BigQuery 字段名称
protoPayload protopayload_auditlog
protopayload.metadata protopayload_auditlog.metadataJson
protoPayload.serviceData protopayload_auditlog.servicedata_v1_bigquery
示例:protopayload_auditlog.servicedata_v1_bigquery.tableInsertRequest
protoPayload.request protopayload_auditlog.requestJson
protoPayload.response protopayload_auditlog.responseJson

请注意,serviceData 命名惯例针对的是由 BigQuery 生成并随后从 Stackdriver Logging 导出到 BigQuery 的审核日志。这些审核日志条目包含 serviceData 字段,其 @type 说明符为 type.googleapis.com/google.cloud.bigquery.logging.v1.auditdata

示例

BigQuery 生成的审核日志条目有一个字段,名称如下:

protoPayload.serviceData.tableInsertRequest

如果随后将此日志条目导出到 BigQuery,那么 tableInsertRequest 字段名称是怎样的呢?在名称长度缩短之前,对应的导出字段名称将是:

protopayload_google_cloud_audit_auditlog.servicedata_google_cloud_bigquery_logging_v1_auditdata.tableInsertRequest

在名称长度缩短之后,BigQuery 表中会出现同一字段,如下所示:

protopayload_auditlog.servicedata_v1_bigquery.tableInsertRequest

查看审核日志

要使用 BigQuery 网页界面查看审核日志,请选择包含导出日志条目的表。

此页内容是否有用?请给出您的反馈和评价:

发送以下问题的反馈:

此网页
Stackdriver Logging
需要帮助?请访问我们的支持页面