Crea e salva le query utilizzando il linguaggio di query di Logging

Questo documento descrive come recuperare e analizzare i log quando utilizzi Esplora log scrivendo query nel campo dell'editor query e creando le selezioni dai menu del filtro utilizzando le opzioni incluse nelle voci di log. La che crei vengono scritte nell'editor Linguaggio di query di Logging.

Puoi anche salvare le query nella pagina Esplora log o utilizzando il metodo Metodo dell'API Logging savedQueries.create.

Prima di iniziare

• Per ottenere le autorizzazioni necessarie per leggere i dati dei log per creare query, utilizzare query salvate private o elencare ed eseguire query condivise, chiedi all'amministratore di concederti il ruolo IAM Visualizzatore log (roles/logging.viewer) nel progetto.

  Questo ruolo predefinito contiene le autorizzazioni necessarie per leggere i dati dei log per creare query, utilizzare query private salvate o elencare ed eseguire query condivise. Per vedere le autorizzazioni esatte obbligatorie, espandi la sezione Autorizzazioni obbligatorie:

  Autorizzazioni obbligatorie

  Per leggere i dati di log al fine di creare query, utilizzare le query salvate private, sono necessarie le seguenti autorizzazioni o per elencare e ottenere query condivise:

  • Utilizzare le query salvate private: logging.queries.usePrivate
  • Elenca ed estrae le query condivise:
    • logging.queries.listShared
    • logging.queries.getShared

• Per ottenere le autorizzazioni necessarie per creare, aggiornare ed eliminare le query condivise, chiedi all'amministratore di concederti Ruolo IAM Amministratore Logging (roles/logging.admin) per il progetto.

  Questo ruolo predefinito contiene le autorizzazioni necessarie per creare, aggiornare ed eliminare le query condivise. Per vedere le autorizzazioni esatte obbligatorie, espandi la sezione Autorizzazioni obbligatorie:

  Autorizzazioni obbligatorie

  Per creare, aggiornare ed eliminare le query condivise, sono necessarie le seguenti autorizzazioni:

  • logging.queries.share
  • logging.queries.updateShared
  • logging.queries.deleteShared

Per ulteriori informazioni sulle autorizzazioni IAM necessarie, consulta Autorizzazioni per la console Google Cloud.

Creazione di query

Per creare query utilizzando la console Google Cloud, segui questi passaggi:

1. Nella console Google Cloud, vai alla pagina Esplora log:

   Vai a Esplora log

   Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

2. Seleziona il progetto Google Cloud o un altro progetto Google Cloud e la risorsa di cui vuoi visualizzare i log.

3. Utilizza il riquadro Query per creare la tua query.

   Il riquadro Query fornisce diversi modi per creare ed eseguire espressioni di query:

   • Cerca il testo in tutti i campi del log.
   • Seleziona le opzioni dai menu dei filtri.
   • Scrivere o modificare le query utilizzando l'editor di query.
   • Visualizza ed esegui le query salvate, recenti e suggerite dal menu_book Raccolta di query.

Cercare il testo nei campi dei log

Per cercare il testo in tutti i campi dei log e trovare tutte le voci di log corrispondenti, inserisci i termini di ricerca nel campo di ricerca del riquadro Query.

Puoi cercare parole e frasi, e i termini di ricerca possono includere Operatori booleani ed espressioni regolari:

• Per eseguire una ricerca sensibile alle maiuscole, devi utilizzare un'espressione regolare.

• Per eseguire una ricerca senza distinzione tra maiuscole e minuscole lungo i confini dei token, inserisci il termine di ricerca termini senza apici inversi o virgolette.

  Ad esempio, per cercare le voci di log che contengono la parola hello e la parola world, inserisci hello world. Questo comando, che viene convertito in SEARCH("hello world"), corrisponde alle voci di log che contengono i token hello e world, in qualsiasi ordine. Poiché la ricerca non fa distinzione tra maiuscole e minuscole, la ricerca corrisponde anche a una voce di log che contiene i token Hello e World. La ricerca non corrisponde al token worlds.

• Per eseguire una ricerca senza distinzione tra maiuscole e minuscole di una frase lungo i confini dei token, incornicia la frase tra barre graffe.

  Ad esempio, per cercare la frase hello world, inserisci `hello world`. Questo comando, che viene convertito in SEARCH("`hello world`"), corrisponde alle voci di log contenenti il token hello world. La ricerca non corrisponde al token hello worlds.

• Per eseguire una ricerca senza distinzione tra maiuscole e minuscole per una sottostringa, aggrega il testo virgolette. Ad esempio, "hello world" corrisponde a Hello World e Hello world. La stessa query corrisponde anche a hello worlds, perché la ricerca non viene eseguita lungo i confini dei token.

Per visualizzare i termini di ricerca all'interno dell'espressione di query, attiva Mostra query.

Dopo aver inserito i termini di ricerca, fai clic su Esegui query o premi il tasto Invio. I risultati della query vengono visualizzati nel riquadro Risultati delle query.

Operatori booleani

Le voci del campo di ricerca vengono convertite in espressioni booleane che specificano sottoinsieme di tutte le voci di log nella risorsa Google Cloud selezionata.

Il campo di ricerca supporta l'utilizzo degli operatori booleani AND, OR e NOT. Quando utilizzi gli operatori booleani nelle espressioni di ricerca, tieni presente seguenti:

• Non puoi utilizzare le parentesi per nidificare le regole. Eventuali parentesi nella ricerca vengono analizzate come termini di ricerca.
• Devi usare le maiuscole per gli operatori booleani. and minuscolo, or, e not vengono analizzati come termini di ricerca, non come operatori.

Se non includi operatori, tutti i termini e le frasi di ricerca sono uniti da AND. Puoi omettere l'operatore AND tra i termini di ricerca.

Gli operatori AND e OR sono operatori a corto circuito. Puoi combinare le regole AND e OR nella stessa espressione. Ad esempio, quando i due operatori vengono combinati, l'espressione a AND b OR c AND d diventa la seguente espressione del linguaggio delle query di Logging:

"a"
"b" OR "c"
"d"

L'operatore NOT ha la precedenza più alta, seguito da OR e AND in quest'ordine.

L'operatore NOT esegue una negazione del termine successivo. Ad esempio: NOT error restituisce voci di log che non contengono error. Puoi anche sostituire l'operatore NOT con l'operatore - (meno). Ad esempio, le seguenti due query sono uguali:

"response" AND "successful" AND NOT "error"

"response successful" -"error"

Questa logica funziona anche con una frase, se l'operatore - (meno) si trova al di fuori delle virgolette. Ad esempio, le seguenti due query sono uguali:

-"response successful"

NOT "response successful"

Creare query con i menu di filtro

Puoi utilizzare i menu del filtro nel riquadro Query per aggiungere parametri relativi a risorse, nome e gravità del log e correlazione nel campo dell'editor di query. Queste opzioni corrispondono ai campi LogEntry per tutti i log in Logging.

Le opzioni dei menu Risorsa e Nome log derivano dalle voci di log archiviate da Cloud Logging.

• Risorsa: consente di specificare resource.type e resource.labels associato. Puoi selezionare un singolo tipo di risorsa utilizzando questo menu di filtro e nessuna o più etichette delle risorse da applicare query. I parametri della risorsa sono uniti dall'operatore logico AND.
• Nome log: consente di specificare il logName. Puoi selezionare più nomi di log da applicare alla query. Quando selezioni più nomi log, viene utilizzato l'operatore logico OR.
• Gravità: ti consente di specificare la gravità. Puoi selezionare contemporaneamente più livelli di gravità da aggiungere alla query. Quando selezioni più livelli di gravità, viene utilizzato l'operatore logico OR.
• Correla con: consente di raggruppare e visualizzare le voci di log in un formato "principale-secondario". Per ulteriori informazioni, consulta Correlare le voci di log.

Per utilizzare uno dei menu dei filtri:

1. Espandi il Menu arrow_drop_down su qualsiasi dei menu del filtro nel riquadro Query.

2. Perfeziona i parametri di filtro.

3. Fai clic su Applica. Vedrai i parametri nel campo dell'editor di query.

   Per visualizzare i termini di ricerca all'interno dell'espressione di query, attiva Mostra query.

4. Dopo aver esaminato la query, fai clic su Esegui query. I risultati della query vengono visualizzati nel riquadro Risultati query.

Per alcuni tipi di risorse Compute Engine, come gce_instance e gce_network, viene visualizzato il nome della risorsa con l'ID risorsa come testo secondario. Per Ad esempio, per il tipo di risorsa gce_instance, vedrai il nome della VM insieme all'ID VM. I nomi delle risorse ti aiutano a identificare l'ID risorsa corretto su cui puoi creare query.

Visualizza i log per intervallo di tempo

Esistono due modi per visualizzare i log scritti in un intervallo di tempo specifico:

1. Utilizza il selettore dell'intervallo di tempo.
2. Includi un'espressione del timestamp nel campo dell'editor delle query.

Utilizzare il selettore dell'intervallo di tempo

L'intervallo di tempo predefinito è di un'ora, ma puoi scegliere tra le opzioni di tempo preimpostate, specificare un'ora di inizio e di fine personalizzata o centrare l'intervallo di tempo su un timestamp specifico utilizzando il selettore dell'intervallo di tempo. Ad esempio, se vuoi visualizzare i dati della settimana precedente, seleziona Ultima settimana dal selettore dell'intervallo di tempo.

Puoi anche impostare le preferenze di fuso orario utilizzando il selettore dell'intervallo di tempo.

Includi un'espressione timestamp nel campo dell'editor di query

Per aggiungere un'espressione timestamp direttamente nel campo dell'editor di query, utilizza la Linguaggio di query di Logging.

Se il campo dell'editor di query contiene un'espressione con un timestamp, il selettore dell'intervallo di tempo viene disattivato e la query utilizza l'espressione del timestamp come limitazione dell'intervallo di tempo. Se una query non utilizza un'espressione timestamp: la query utilizza il selettore dell'intervallo di tempo come restrizione relativa all'intervallo di tempo.

Scrivere query avanzate utilizzando il linguaggio di query di Logging

Puoi utilizzare il linguaggio di query di Logging per creare query più avanzate nel campo dell'editor di query di Esplora log:

1. Se non vedi il campo dell'editor di query nel riquadro Query, attiva Mostra query.

2. Inserisci le espressioni di query direttamente nel campo dell'editor delle query.

   Se hai aggiunto termini di ricerca nel campo di ricerca o hai selezionato parametri nei menu dei filtri, questi vengono visualizzati anche nel campo dell'editor di query e valutati nell'espressione della query.

3. Dopo aver esaminato la query, fai clic su Esegui query.

   I log corrispondenti alla tua query sono elencati nel riquadro Risultati delle query. Anche i riquadri Istogramma e Campi log si regolano in base all'espressione di query.

Per esempi di query comuni che potrebbe essere utile, vedi Esempi di query con Esplora log.

Utilizzare le query recenti

Quando esegui una query, questa viene aggiunta menu_book Raccolta di query, che contiene le ultime 10.000 query uniche query in un periodo di 30 giorni.

Per visualizzare le query recenti, seleziona il pulsante menu_book Raccolta query nella barra degli strumenti principale. Per le query recenti, hai le seguenti opzioni:

• Flusso di dati: per eseguire la query e fluire i risultati, scegli questa .
• Esegui: per eseguire la query, scegli questa opzione.

• more_vert Altre opzioni: Consente di visualizzare l'espressione di query con le opzioni per eseguire la query o salvare nell'elenco delle query salvate. Puoi anche selezionare direttamente la query per visualizzare queste opzioni.

  Per salvare la query:

  1. Fai clic su Salva. Viene visualizzata la finestra di dialogo Salva query.

  2. Completa i seguenti campi:

     • Nome (obbligatorio): specifica un nome per la query. I nomi sono limitati a 64 caratteri.
     • (Facoltativo) Descrizione: fornisci una descrizione per identificare lo scopo della query.
     • (Facoltativo) Includi campi di riepilogo: attiva l'opzione Includi campi di riepilogo. e inserisci i campi di riepilogo che vuoi visualizzare.
     • Tronca i campi di riepilogo (facoltativo): attiva Tronca i campi di riepilogo e seleziona il numero di caratteri fino al quale troncare i campi e se la troncatura deve avvenire all'inizio o alla fine dei campi.

  3. Fai clic su Salva query. La query è ora disponibile Elenco delle query salvate.

Puoi anche ordinare e filtrare le query recenti. Il filtro corrisponde al testo nella tua espressione di query.

Salvare e condividere le query

Le query salvate ti consentono di archiviare le espressioni per esplorare meglio i log in modo coerente ed efficiente. Esplora log include una libreria di query in cui puoi accedere alle query salvate. Puoi anche salvare le query utilizzando il metodo dell'API Logging savedQueries.create.

Puoi salvare la query in modo che sia privata e visibile solo a te o a te può condividerlo con altri membri del progetto Google Cloud. Dopo la condivisione una query, questa non è più di tua proprietà né è di tua proprietà che dispongono delle autorizzazioni necessarie possono accedere alla query.

{
  "parent": "projects/my-project/locations/global"
  "savedQueryId": "compute-query"
  {
    "displayName": "compute-admin-activity-query",
    "description": "Queries for Compute Engine Admin Activity logs.",

    "loggingQuery":
      {
        "filter": resource.type="gce_instance" AND log_id("cloudaudit.googleapis.com/activity"),
      },
    "visibility": "PRIVATE"
  }
}

Visualizza le query salvate

Puoi visualizzare sia le query private sia quelle condivise con altri membri nel progetto Google Cloud facendo clic sul pulsante menu_book Query Pulsante Raccolta:

{
  "parent": "name": projects/PROJECT_ID/locations/-
  "visibility": "SHARED"
  "filter": "explorer"
}

Utilizzare le query suggerite

La registrazione genera query suggerite in base al contesto del tuo progetto Google Cloud, ad esempio i prodotti Google Cloud che utilizzi. Le query suggerite possono aiutarti a identificare i problemi e fornirti informazioni sullo stato complessivo dei tuoi sistemi. Ad esempio, rilevando usando Google Kubernetes Engine, Logging potrebbe suggerire una query che di tutti i log degli errori dei container.

Per visualizzare ed eseguire le query suggerite, fai clic sul pulsante menu_book Raccolta di query e poi su Suggerite. Nella scheda Consigliati, hai a disposizione le seguenti opzioni:

• Stream: per eseguire la query e riprodurre in streaming i risultati, scegli questa opzione.
• Esegui: per eseguire la query, scegli questa opzione.

• more_vert Altre opzioni: consente di visualizzare i dettagli dell'espressione di query con le opzioni per eseguirla o salvarla. Puoi anche selezionare la query direttamente per ottenere queste opzioni.

  Per esaminare i dettagli di una query suggerita:

  • Seleziona la riga della query.

  • Fai clic su more_vert Altro e seleziona Visualizza. Viene visualizzata la finestra di dialogo Dettagli query.

  Nella finestra di dialogo Dettagli query, vengono visualizzate la query e le opzioni Esegui, Riproduci in streaming o Salva come:

  • Per salvare la query:

    1. Fai clic su Salva query.
    2. Completa i campi nella finestra di dialogo Salva query.

    La query modificata viene visualizzata nell'elenco Salvati, dove puoi scegliere di eseguire la query in un secondo momento.

  • Per eseguire subito la query, fai clic su Esegui. La query viene eseguita e visualizzata nel campo query-editor.

  • Per eseguire subito la query e inviare in streaming i risultati, fai clic su Trasmetti in streaming.

  • Per chiudere la finestra di dialogo e tornare all'elenco di query suggerite, fai clic su Chiudi.

Osserva i seguenti comportamenti previsti:

• I caricamenti di pagine successivi potrebbero non mostrare le stesse query nello stesso ordine.
• Potresti non vedere nessuna query suggerita.
• A volte l'esecuzione di una query suggerita restituisce zero log.

Seleziona le query dalla libreria

Il logging fornisce una libreria di query basate su casi d'uso comuni e prodotti Google Cloud. Queste query possono aiutarti in modo efficiente Trovare i log durante sessioni di risoluzione dei problemi urgenti ed esplorare i log per comprendere meglio quali dati di Logging sono disponibili.

Per visualizzare ed eseguire le query della libreria, segui questi passaggi:

1. Nella console Google Cloud, vai alla pagina Esplora log:

   Vai a Esplora log

   Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

2. Seleziona il progetto Google Cloud o un altro progetto Google Cloud e la risorsa di cui vuoi visualizzare i log.

3. Fai clic sul pulsante menu_book Raccolta di query. Vedi le categorie di query e sottoinsiemi di query disponibili basati su Google Cloud prodotti di big data e machine learning. Per restringere la selezione di query che vedi, fai clic su una delle prodotti di big data e machine learning.

   Puoi anche utilizzare il campo di ricerca per cercare le query disponibili per categoria, descrizione o contenuti dell'espressione di query.

4. Per esaminare un'espressione di query, esegui una delle seguenti operazioni:

   a. Fai clic sulla riga della query.

   b. Fai clic su more_vert Altro e seleziona Visualizza.

5. Nella finestra di dialogo Dettagli query sono visualizzate la query e le opzioni per Esegui, Trasmetti in streaming o Salva con nome:

   • Per salvare la query:

     1. Fai clic su Salva query.
     2. Completa i campi nella finestra di dialogo Salva query.

     La query modificata viene visualizzata nell'elenco Salvati, dove puoi scegliere di eseguire la query in un secondo momento.

   • Per eseguire subito la query, fai clic su Esegui. La query viene eseguita e visualizzata nel campo query-editor.

   • Per eseguire subito la query e inviare in streaming i risultati, fai clic su Trasmetti in streaming.

   • Per chiudere la finestra di dialogo e tornare all'elenco di query suggerite, fai clic su Chiudi.

Passaggi successivi

• Query di esempio