Crea e salva query utilizzando il linguaggio di query di Logging

Questo documento descrive come recuperare e analizzare i log quando utilizzi Esplora log scrivendo query nel campo dell'editor di query e selezionando tra le opzioni di filtro predefinite. Le query che crei sono scritte nel linguaggio di query di Logging.

Puoi anche salvare le query nella pagina Esplora log o utilizzando il metodo dell'API Logging savedQueries.create.

Prima di iniziare

Il ruolo Visualizzatore log (roles/logging.viewer) consente di visualizzare i log. Ad esempio, se ti viene concesso questo ruolo, puoi scrivere ed eseguire query. Puoi anche salvare le query come query private ed eseguire query private e condivise. Tuttavia, questo ruolo non ti consente di salvare o modificare le query condivise. Se vuoi salvare o modificare le query condivise, assicurati di aver ricevuto il ruolo Amministratore di logging (roles/logging.admin), che fornisce l'accesso completo a Cloud Logging.

Esegui una di queste operazioni:

  • Per ottenere le autorizzazioni necessarie per scrivere ed eseguire query, per eseguire e salvare query private e per eseguire query condivise, chiedi all'amministratore di concederti il ruolo IAM Visualizzatore log (roles/logging.viewer) sul progetto.

  • Per ottenere le autorizzazioni necessarie per scrivere ed eseguire query, eseguire e salvare query private ed eseguire, creare e gestire query condivise, chiedi all'amministratore di concederti il ruolo IAM Logging Admin (roles/logging.admin) sul progetto.

Per ulteriori informazioni sulle autorizzazioni IAM necessarie, consulta Autorizzazioni per la console Google Cloud .

Creazione di query

Per creare query utilizzando la console Google Cloud :

  1. Nella Google Cloud console, vai alla pagina Esplora log:

    Vai a Esplora log

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

  2. Seleziona il Google Cloud progetto o un'altra Google Cloud risorsa per cui vuoi visualizzare i log.

  3. Utilizza il riquadro Query per creare la query.

    Il riquadro Query offre diversi modi per creare ed eseguire espressioni di query:

    • Cerca il testo in tutti i campi dei log.
    • Seleziona le opzioni dai menu dei filtri.
    • Scrivi o modifica le query utilizzando l'editor di query.
    • Visualizza ed esegui query salvate, recenti e suggerite dalla raccolta di query.

Cercare testo nei campi dei log

Per cercare il testo in tutti i campi dei log e trovare tutte le voci di log corrispondenti, inserisci i termini di ricerca nel campo di ricerca del riquadro Query.

Puoi cercare parole e frasi e i termini di ricerca possono includere operatori booleani ed espressioni regolari:

  • Per eseguire una ricerca sensibile alle maiuscole, devi utilizzare un'espressione regolare.

  • Per eseguire una ricerca senza distinzione tra maiuscole e minuscole lungo i limiti dei token, inserisci i termini di ricerca senza accenti gravi o virgolette doppie.

    Ad esempio, per cercare voci di log che contengono la parola hello e la parola world, inserisci hello world. Questo comando, convertito in SEARCH("hello world"), corrisponde alle voci di log che contengono i token hello e world, in qualsiasi ordine. Poiché la ricerca non è sensibile alle maiuscole, la ricerca corrisponde anche a una voce di log che contiene i token Hello e World. La ricerca non corrisponde al token worlds.

  • Per eseguire una ricerca senza distinzione tra maiuscole e minuscole di una frase lungo i limiti dei token, racchiudi la frase tra apici inversi.

    Ad esempio, per cercare la frase hello world, inserisci `hello world`. Questo comando, convertito in SEARCH("`hello world`"), corrisponde alle voci di log che contengono il token hello world. La ricerca non corrisponde al token hello worlds.

  • Per eseguire una ricerca senza distinzione tra maiuscole e minuscole di una sottostringa, racchiudi il testo tra virgolette doppie. Ad esempio, "hello world" corrisponde a Hello World e Hello world. La stessa query corrisponde anche a hello worlds, perché la ricerca non viene eseguita lungo i limiti dei token.

Per visualizzare i termini di ricerca all'interno dell'espressione di query, attiva Mostra query.

Dopo aver inserito i termini di ricerca, fai clic su Esegui query o premi il tasto Invio. I risultati della query vengono visualizzati nel riquadro Risultati query.

Operatori booleani

Le voci del campo di ricerca vengono convertite in espressioni booleane che specificano un sottoinsieme di tutte le voci di log nella risorsa Google Cloud selezionata.

Il campo di ricerca supporta l'utilizzo degli operatori booleani AND, OR e NOT. Quando utilizzi gli operatori booleani nelle espressioni di ricerca, tieni presente quanto segue:

  • Non puoi utilizzare le parentesi per nidificare le regole. Le parentesi nell'espressione di ricerca vengono analizzate come termini di ricerca.
  • Devi scrivere gli operatori booleani in maiuscolo. I termini and, or e not in minuscolo vengono analizzati come termini di ricerca, non come operatori.

Se non includi operatori, tutti i termini e le frasi di ricerca sono uniti da AND. Puoi omettere l'operatore AND tra i termini di ricerca.

Gli operatori AND e OR sono operatori di cortocircuito. Puoi combinare le regole AND e OR nella stessa espressione. Ad esempio, quando i due operatori vengono combinati, l'espressione a AND b OR c AND d si trasforma nella seguente espressione del linguaggio di query di Logging:

"a"
"b" OR "c"
"d"

L'operatore NOT ha la precedenza più alta, seguito da OR e AND in quest'ordine.

L'operatore NOT esegue la negazione del termine successivo. Ad esempio, NOT error restituisce le voci di log che non contengono error. Puoi anche sostituire l'operatore NOT con l'operatore - (meno). Ad esempio, le seguenti due query sono identiche:

"response" AND "successful" AND NOT "error"

"response successful" -"error"

Questa logica funziona anche con una frase, se l'operatore - (meno) si trova al di fuori delle virgolette. Ad esempio, le seguenti due query sono identiche:

-"response successful"

NOT "response successful"

Creare query con i menu dei filtri

Puoi utilizzare i menu del filtro nel riquadro Query per aggiungere parametri relativi a risorse, nome, gravità e correlazione del log nel campo dell'editor di query. Queste opzioni corrispondono ai campi LogEntry per tutti i log in Logging.

Le opzioni nei menu Risorsa e Nome log derivano dalle voci di log archiviate da Cloud Logging.

  • Risorsa: consente di specificare resource.type e resource.labels associato. Puoi selezionare un singolo tipo di risorsa utilizzando questo menu di filtro e nessuna o più etichette di risorse da applicare alla tua query. I parametri della risorsa sono uniti dall'operatore logico AND.
  • Nome log: consente di specificare logName. Puoi selezionare più nomi di log da applicare alla query. Quando selezioni più nomi di log, viene utilizzato l'operatore logico OR.
  • Gravità: consente di specificare la gravità. Puoi selezionare più livelli di gravità contemporaneamente da aggiungere alla query. Quando selezioni più livelli di gravità, viene utilizzato l'operatore logico OR.
  • Correlare per: consente di raggruppare e visualizzare le voci di log in un formato "padre-figlio". Per ulteriori informazioni, consulta Correlare le voci di log.

Per utilizzare uno dei menu dei filtri:

  1. Espandi il menu in uno qualsiasi dei menu dei filtri nel riquadro Query.

  2. Perfeziona i parametri del filtro.

  3. Fai clic su Applica. I parametri vengono visualizzati nel campo dell'editor di query.

    Per visualizzare i termini di ricerca all'interno dell'espressione di query, attiva Mostra query.

  4. Dopo aver esaminato la query, fai clic su Esegui query. I risultati della query vengono visualizzati nel riquadro Risultati query.

Per alcuni tipi di risorse Compute Engine, come gce_instance e gce_network, il nome della risorsa viene visualizzato con l'ID risorsa come sottotesto. Ad esempio, per il tipo di risorsa gce_instance, vedrai il nome della VM insieme al relativo ID. I nomi delle risorse ti aiutano a identificare l'ID risorsa corretto, su cui puoi creare query.

Visualizzare i log per intervallo di tempo

Esistono due modi per visualizzare i log scritti in un intervallo di tempo specifico:

  1. Utilizza il selettore dell'intervallo di tempo.
  2. Includi un'espressione timestamp nel campo dell'editor di query.

Utilizzare il selettore dell'intervallo di tempo

L'intervallo di tempo predefinito è un'ora, ma puoi scegliere tra le opzioni di tempo preimpostate, specificare un'ora di inizio e di fine personalizzata o centrare l'intervallo di tempo intorno a un timestamp specifico utilizzando il selettore dell'intervallo di tempo. Ad esempio, se vuoi visualizzare i dati dell'ultima settimana, seleziona Ultima settimana dal selettore dell'intervallo di tempo.

Puoi anche impostare le preferenze del fuso orario utilizzando il selettore dell'intervallo di tempo.

Includi un'espressione timestamp nel campo dell'editor di query

Per aggiungere un'espressione timestamp direttamente al campo dell'editor di query, utilizza il linguaggio di query di Logging.

Se il campo dell'editor di query contiene un'espressione con un timestamp, il selettore dell'intervallo di tempo è disattivato e la query utilizza l'espressione timestamp come restrizione dell'intervallo di tempo. Se una query non utilizza un'espressione timestamp, la query utilizza il selettore dell'intervallo di tempo come restrizione dell'intervallo di tempo.

Scrivere query avanzate utilizzando il linguaggio di query di Logging

Puoi utilizzare il linguaggio di query di Logging per creare query più avanzate nel campo dell'editor di query di Esplora log:

  1. Se non vedi il campo dell'editor di query nel riquadro Query, attiva Mostra query.

  2. Inserisci le espressioni di query direttamente nel campo dell'editor di query.

    Se hai aggiunto termini di ricerca nel campo di ricerca o selezionato parametri nei menu dei filtri, questi vengono visualizzati anche nel campo dell'editor di query e vengono valutati come parte dell'espressione della query.

  3. Dopo aver esaminato la query, fai clic su Esegui query.

    I log che corrispondono alla tua query sono elencati nel riquadro Risultati delle query. Anche i riquadri Istogramma e Campi log vengono modificati in base all'espressione di query.

Per esempi di query comuni che potresti voler utilizzare, vedi Query di esempio con Esplora log.

Utilizzare le query recenti

Quando esegui una query, questa viene aggiunta alla libreria delle query, che contiene le ultime 10.000 query univoche in un periodo di 30 giorni.

Per visualizzare le query recenti, seleziona il pulsante Libreria di query nella barra degli strumenti principale. Per le query recenti, hai le seguenti opzioni:

  • Stream: scegli questa opzione per eseguire la query e trasmettere in streaming i risultati.
  • Esegui: scegli questa opzione per eseguire la query.

  • Altre opzioni: Consente di visualizzare l'espressione di query con le opzioni per eseguire la query o salvarla nell'elenco delle query salvate. Puoi anche selezionare direttamente la query per visualizzare queste opzioni.

    Per salvare la query:

    1. Fai clic su Salva. Si apre la finestra di dialogo Salva query.

    2. Completa i seguenti campi:

      • Nome (obbligatorio): fornisci un nome per la query. I nomi sono limitati a 64 caratteri.
      • (Facoltativo) Descrizione: fornisci una descrizione per identificare lo scopo della query.
      • (Facoltativo) Includi campi di riepilogo: attiva l'opzione Includi campi di riepilogo e inserisci i campi di riepilogo che vuoi visualizzare.
      • (Facoltativo) Tronca i campi riepilogativi: attiva Tronca i campi riepilogativi e seleziona il numero di caratteri da troncare e se il troncamento avviene all'inizio o alla fine dei campi.

    3. Fai clic su Salva query. La query è ora disponibile nell'elenco delle query salvate.

Puoi anche ordinare e filtrare le query recenti. Il filtro corrisponde al testo nell'espressione della query.

Salvare e condividere le query

Le query salvate ti consentono di archiviare le espressioni di query per esplorare i log in modo più coerente ed efficiente. Esplora log include una libreria di query, in cui puoi accedere alle query salvate. Puoi anche salvare le query utilizzando il metodo dell'API Logging savedQueries.create.

Puoi salvare la query in modo che sia privata e visibile solo a te oppure puoi condividerla con altri membri del progetto Google Cloud . Una volta condivisa una query, questa non è più di tua proprietà e qualsiasi membro del progetto con le autorizzazioni necessarie può accedervi.

Console

Per salvare un'espressione di query che hai creato nel campo dell'editor di query, segui questi passaggi:

  1. Fai clic su Salva nel riquadro Query. Si apre la finestra di dialogo Salva query, con l'espressione di query nel campo dell'editor di query.

  2. Completa i seguenti campi:

    • Nome (obbligatorio): fornisci un nome per la query. I nomi sono limitati a 64 caratteri.
    • (Facoltativo) Descrizione: fornisci una descrizione per identificare lo scopo della query.
    • (Facoltativo) Includi campi di riepilogo personalizzati: attiva Includi campi di riepilogo e inserisci i campi di riepilogo che vuoi visualizzare.
    • (Facoltativo) Tronca i campi riepilogativi: attiva Tronca i campi riepilogativi e seleziona il numero di caratteri da troncare e se il troncamento avviene all'inizio o alla fine dei campi.
    • Condividi con il progetto: (facoltativo) attiva l'opzione Condividi con il progetto per condividere la query con altri membri del progetto Google Cloud .

  3. Fai clic su Salva query. Le query salvate vengono visualizzate in un elenco nella scheda Salvate.

Per eseguire una query salvata, fai clic su Esegui. Per eseguire la query e trasmettere in streaming i risultati, fai clic su Stream.

Per modificare una query salvata, seleziona Altre opzioni, quindi seleziona Modifica. Puoi anche selezionare la query, apportare modifiche e poi salvare la query modificata.

Per eliminare una query salvata, seleziona Altre opzioni, quindi seleziona Elimina.

Puoi anche ordinare e filtrare le query salvate. Il filtro corrisponde al testo nell'espressione della query.

API

Per salvare una query utilizzando l'API Logging, utilizza il metodo savedQueries.create. Per ulteriori informazioni su questo metodo, sui relativi parametri e sui dati di risposta, consulta la pagina di riferimento per savedQueries.create.

Puoi eseguire il metodo savedQueries.create utilizzando il widget Explorer API nella pagina di riferimento del metodo. Per le query di Esplora log, devi specificare il campo loggingQuery. L'esempio seguente illustra un corpo della richiesta di esempio, che contiene un'istanza di SavedQuery:

{
  "parent": "projects/my-project/locations/global"
  "savedQueryId": "compute-query"
  {
    "displayName": "compute-admin-activity-query",
    "description": "Queries for Compute Engine Admin Activity logs.",

    "loggingQuery":
      {
        "filter": resource.type="gce_instance" AND log_id("cloudaudit.googleapis.com/activity"),
      },
    "visibility": "PRIVATE"
  }
}

Per condividere la query con altri membri del progetto Google Cloud , specifica un valore di SHARED nel campo visibility.

Visualizza le query salvate

Puoi visualizzare sia le query private sia quelle condivise con altri membri del progetto Google Cloud facendo clic sul pulsante Libreria query:

Console

  1. Nella Google Cloud console, vai alla pagina Esplora log:

    Vai a Esplora log

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

  2. Seleziona il Google Cloud progetto o un'altra Google Cloud risorsa per cui vuoi visualizzare i log.

  3. Fai clic sul pulsante Libreria delle query e poi su Salvate.

Puoi ordinare la tabella in base a qualsiasi intestazione. La colonna Visibilità indica se le query sono condivise o private:

  • Condivise: query condivise con altri membri del progetto Google Cloud .
  • Private: query che hai salvato e che sono visibili solo a te.

API

Puoi utilizzare l'API Logging per visualizzare le query private e condivise utilizzando il metodo savedQueries.list.

Ad esempio, il seguente corpo della richiesta elenca tutte le query condivise di Esplora log con un ID località con caratteri jolly:

{
  "parent": "name": projects/PROJECT_ID/locations/-
  "visibility": "SHARED"
  "filter": "explorer"
}

Utilizzare le query suggerite

La registrazione genera query suggerite in base al contesto del tuo Google Cloud progetto, ad esempio i Google Cloud prodotti che utilizzi. Le query suggerite possono aiutarti a identificare i problemi e a fornire informazioni sullo stato generale dei tuoi sistemi. Ad esempio, se rileva che utilizzi Google Kubernetes Engine, Logging potrebbe suggerire una query che trova tutti i log degli errori per i tuoi container.

Per visualizzare ed eseguire le query suggerite, fai clic sul pulsante Libreria di query e poi su Suggerite. Nella scheda Suggeriti, hai le seguenti opzioni:

  • Stream: scegli questa opzione per eseguire la query e trasmettere in streaming i risultati.
  • Esegui: scegli questa opzione per eseguire la query.

  • Altre opzioni: consente di visualizzare i dettagli dell'espressione di query con le opzioni per eseguire la query o salvarla. Puoi anche selezionare direttamente la query per visualizzare queste opzioni.

    Per esaminare i dettagli di una query suggerita, esegui una delle seguenti operazioni:

    • Seleziona la riga della query.

    • Fai clic su Altro e seleziona Visualizza. Si apre la finestra di dialogo Dettagli query.

    Nella finestra di dialogo Dettagli query, visualizzi la query e le opzioni Esegui, Stream o Salva con nome:

    • Per salvare la query:

      1. Fai clic su Salva query.
      2. Compila i campi nella finestra di dialogo Salva query.

      La query modificata viene visualizzata nell'elenco Salvate, dove puoi scegliere di eseguirla in un secondo momento.

    • Per eseguire la query ora, fai clic su Esegui. La query viene eseguita e visualizzata nel campo dell'editor di query.

    • Per eseguire la query ora e trasmettere in streaming i risultati, fai clic su Stream.

    • Per chiudere la finestra di dialogo e tornare all'elenco delle query suggerite, fai clic su Chiudi.

Tieni presente i seguenti comportamenti previsti:

  • I caricamenti di pagine successivi potrebbero non mostrare le stesse query nello stesso ordine.
  • Potresti non visualizzare query suggerite.
  • A volte l'esecuzione di una query suggerita non restituisce alcun log.

Selezionare le query dalla libreria

La registrazione fornisce una libreria di query basate su casi d'uso comuni e prodotti. Google Cloud Queste query possono aiutarti a trovare in modo efficiente i log durante le sessioni di risoluzione dei problemi urgenti ed esplorare i log per comprendere meglio quali dati di Logging sono disponibili.

Per visualizzare ed eseguire le query della libreria:

  1. Nella Google Cloud console, vai alla pagina Esplora log:

    Vai a Esplora log

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

  2. Seleziona il Google Cloud progetto o un'altra Google Cloud risorsa per cui vuoi visualizzare i log.

  3. Fai clic sul pulsante Libreria di query. Visualizzi le categorie di query disponibili e i sottoinsiemi di query in base ai prodotti Google Cloud. Per restringere la selezione delle query visualizzate, fai clic su uno dei prodotti.

    Puoi anche utilizzare il campo di ricerca per cercare le query disponibili per categoria, descrizione o contenuti dell'espressione di query.

  4. Per esaminare un'espressione di query, esegui una delle seguenti operazioni:

    a. Fai clic sulla riga della query.

    b. Fai clic su Altro e seleziona Visualizza.

  5. Nella finestra di dialogo Dettagli query, visualizzi la query e le opzioni per Esegui, Trasmetti in streaming o Salva con nome:

    • Per salvare la query:

      1. Fai clic su Salva query.
      2. Compila i campi nella finestra di dialogo Salva query.

      La query modificata viene visualizzata nell'elenco Salvate, dove puoi scegliere di eseguirla in un secondo momento.

    • Per eseguire la query ora, fai clic su Esegui. La query viene eseguita e visualizzata nel campo dell'editor di query.

    • Per eseguire la query ora e trasmettere in streaming i risultati, fai clic su Stream.

    • Per chiudere la finestra di dialogo e tornare all'elenco delle query suggerite, fai clic su Chiudi.

Passaggi successivi