Crea query utilizzando il linguaggio delle query di Logging

Questo documento descrive come recuperare e analizzare i log quando si utilizza Esplora log. Puoi recuperare i log scrivendo ed eseguendo query. Per creare query, puoi effettuare selezioni dai menu dei filtri, utilizzare le opzioni incluse nelle voci di log e utilizzare il campo Editor di query. Le query create sono scritte nel linguaggio di query di Logging.

Prima di iniziare

  • Per creare query, devi disporre delle autorizzazioni per leggere i dati dei log. Queste autorizzazioni sono incluse nel ruolo Visualizzatore Logging (roles/logging.viewer). Per maggiori dettagli sulle autorizzazioni IAM necessarie, consulta Autorizzazioni per la console Google Cloud.

  • Per condividere le query, il tuo ruolo Identity and Access Management deve includere l'autorizzazione logging.queries.share. Questa autorizzazione è inclusa nei ruoli Proprietario (roles/owner) e Amministratore logging (roles/logging.admin).

    Per un elenco delle autorizzazioni associate a ciascun ruolo di Logging, consulta Ruoli di logging.

Creazione di query

Per creare query utilizzando la console Google Cloud, segui questi passaggi:

  1. Vai a Esplora log:

    Vai a Esplora log

  2. Seleziona il progetto Google Cloud o un'altra risorsa Google Cloud per cui vuoi visualizzare i log.

    Per visualizzare i log che invii da un account Amazon Web Services (AWS) a Logging, seleziona il progetto connettore AWS nel selettore di risorse della console Google Cloud, quindi utilizza Esplora log. Il progetto connettore AWS archivia l'Amazon Resource Name (ARN) per il tuo account AWS e collega il tuo account AWS ai servizi Google Cloud. Per ulteriori informazioni, consulta Visualizzazione delle metriche per gli account AWS.

  3. Utilizza il riquadro Query per creare la query.

    Il riquadro delle query di Esplora log.

    Il riquadro Query offre diversi modi per creare ed eseguire espressioni di query:

    • Cerca il testo in tutti i campi dei log.
    • Seleziona le opzioni dai menu dei filtri.
    • Scrivi o modifica le query utilizzando Editor query.
    • Visualizza, modifica o esegui le query nelle schede Recenti, Salvate, Suggerite e Raccolta.

Cerca il testo nei campi dei log

Per cercare il testo in tutti i campi dei log e trovare tutte le voci di log corrispondenti, inserisci i termini di ricerca nel campo di ricerca:

Il campo di ricerca di Esplora log nel riquadro delle query.

Per trovare voci di log che contengono una frase, racchiudi i termini di ricerca tra virgolette; puoi anche utilizzare operatori booleani ed espressioni regolari nelle espressioni di ricerca.

Per visualizzare i termini di ricerca nell'espressione di query, attiva Mostra query.

Dopo aver inserito i termini di ricerca, fai clic su Esegui query o premi il tasto Invio. I risultati della query vengono visualizzati nel riquadro Risultati query.

Operatori booleani

Le voci dei campi di ricerca vengono convertite in espressioni booleane che specificano un sottoinsieme di tutte le voci di log nella risorsa Google Cloud selezionata.

Il campo di ricerca supporta l'utilizzo degli operatori booleani AND, OR e NOT. Quando utilizzi gli operatori booleani nelle espressioni di ricerca, tieni presente quanto segue:

  • Non puoi utilizzare le parentesi per nidificare le regole. Eventuali parentesi nell'espressione di ricerca vengono analizzate come termini di ricerca.
  • Devi utilizzare le maiuscole per gli operatori booleani. Le lettere minuscole and, or e not vengono analizzate come termini di ricerca, non come operatori.

Se non includi alcun operatore, tutti i termini di ricerca e le frasi saranno uniti da AND. Puoi omettere l'operatore AND tra i termini di ricerca.

Gli operatori AND e OR sono operatori di cortocircuito. Puoi combinare AND e OR regole nella stessa espressione. Ad esempio, quando i due operatori sono misti, l'espressione a AND b OR c AND d diventa la seguente espressione di linguaggio di query di Logging:

"a"
"b" OR "c"
"d"

L'operatore NOT ha la precedenza più alta, seguito da OR e AND in questo ordine.

L'operatore NOT esegue una negazione del termine successivo. Ad esempio, NOT error restituisce voci di log che non contengono error. Puoi anche sostituire l'operatore NOT con l'operatore - (meno). Ad esempio, le due query seguenti sono le stesse:

response AND successful AND NOT error

response successful -error

Questa logica funziona anche con una frase, se l'operatore - (meno) non è compreso tra virgolette. Ad esempio, le seguenti due query sono le stesse:

-"response successful"

NOT "response successful"

Creare query con menu di filtri

Puoi utilizzare i menu del filtro nel riquadro Query per aggiungere parametri risorsa, nome di log e gravità del log al campo Editor query. Queste opzioni corrispondono ai campi LogEntry per tutti i log in Logging.

Le opzioni nei menu Risorsa e Nome log mostrano solo i log attualmente archiviati in Cloud Logging.

Filtra i menu per l'Editor query

  • Risorsa: consente di specificare il valore resource.type e il relativo resource.labels. Puoi selezionare un singolo tipo di risorsa utilizzando questo menu di filtro e nessuna o più etichette delle risorse da applicare alla query. I parametri delle risorse sono uniti dall'operatore logico AND.
  • Nome log: consente di specificare il logName. Puoi selezionare più nomi di log da applicare alla query. Quando selezioni più nomi di log, viene utilizzato l'operatore logico OR.
  • Gravità: consente di specificare la gravità. Puoi selezionare più livelli di gravità contemporaneamente da aggiungere da applicare alla query. Quando si selezionano più livelli di gravità, viene utilizzato l'operatore logico OR.

Per utilizzare uno qualsiasi dei menu del filtro, procedi nel seguente modo:

  1. Espandi uno qualsiasi dei menu del filtro nel riquadro Query.

  2. Perfeziona i parametri del filtro.

  3. Fai clic su Applica. I parametri vengono visualizzati nel campo Editor query.

    Per visualizzare i termini di ricerca nell'espressione di query, attiva Mostra query.

  4. Dopo aver esaminato la query, fai clic su Esegui query. I risultati della query vengono visualizzati nel riquadro Risultati query.

Per alcuni tipi di risorse di Compute Engine, ad esempio gce_instance e gce_network, il nome della risorsa e l'ID sono indicati come sottotitolo. Ad esempio, per il tipo di risorsa gce_instance, vedi il nome della VM insieme all'ID VM. I nomi delle risorse aiutano a identificare l'ID risorsa corretto in cui puoi creare query.

Visualizza i log per intervallo di tempo

Esistono due modi per visualizzare i log scritti in un intervallo di tempo specifico:

  1. Utilizza il selettore dell'intervallo di tempo.
  2. Includi un'espressione timestamp nel campo editor-query.

Utilizzare il selettore dell'intervallo di tempo

L'intervallo di tempo predefinito è di un'ora, ma puoi scegliere tra le opzioni temporali preimpostate, specificare un'ora di inizio e di fine personalizzate o centrare l'intervallo di tempo intorno a un timestamp specifico usando il selettore dell'intervallo di tempo. Ad esempio, se vuoi visualizzare i dati dell'ultima settimana, seleziona Ultima settimana dal selettore dell'intervallo di tempo.

Puoi anche impostare le preferenze relative al fuso orario utilizzando il selettore dell'intervallo di tempo.

Includi un'espressione timestamp nel campo Editor delle query

Per aggiungere un'espressione timestamp direttamente nel campo dell'editor query, utilizza il linguaggio di query di Logging.

Se il campo editor di query contiene un'espressione con un timestamp, il selettore dell'intervallo di tempo è disattivato e la query utilizza l'espressione timestamp come restrizione di intervallo di tempo. Se una query non utilizza un'espressione timestamp, la query utilizza il selettore dell'intervallo di tempo come limitazione dell'intervallo di tempo.

Scrivere query avanzate utilizzando il linguaggio di query di Logging

Puoi utilizzare il linguaggio di query di logging per creare query più avanzate nel campo Editor query dell'editor di log:

  1. Se non vedi il campo Editor di query nel riquadro Query, attiva Mostra query.

  2. Inserisci le espressioni di query direttamente nel campo editor di query.

    Se hai aggiunto termini di ricerca nel campo di ricerca o hai selezionato parametri nei menu dei filtri, anche questi vengono visualizzati nel campo Editor delle query e vengono valutati come parte dell'espressione di query.

  3. Dopo aver esaminato la query, fai clic su Esegui query.

    I log corrispondenti alla tua query sono elencati nel riquadro Risultati delle query. Anche i riquadri Istogramma e Campi log si regolano in base all'espressione di query.

Per esempi di query comuni che potresti utilizzare, vedi Esempi di query con Esplora log.

Utilizza query recenti

Quando esegui una query, questa viene aggiunta al tuo elenco di query Recenti, che contiene le ultime 10.000 query univoche in un periodo di 30 giorni.

Per visualizzare le query recenti, seleziona la scheda Recenti nel riquadro Query. Nella scheda Recenti sono disponibili le seguenti opzioni:

  • Stream: per eseguire la query e trasmettere i risultati, scegli questa opzione.
  • Esegui: per eseguire la query, scegli questa opzione.

  • Altre opzioni : consente di visualizzare l'espressione di query con le opzioni per eseguire la query o salvarla nell'elenco delle query salvate. Puoi anche selezionare la query direttamente per ottenere queste opzioni.

    Per salvare la query:

    1. Fai clic su Salva con nome. Viene visualizzata la finestra di dialogo Salva query.

    2. Completa i seguenti campi:

      • Nome (obbligatorio): fornisci un nome per la query. I nomi possono contenere al massimo 64 caratteri.
      • (Facoltativo) Descrizione: fornisci una descrizione per identificare lo scopo della query.
      • (Facoltativo) Includi campi di riepilogo: attiva Includi campi di riepilogo e inserisci i campi di riepilogo che vuoi visualizzare.
      • (Facoltativo) Tronca campi di riepilogo: attiva Tronca campi di riepilogo e seleziona il numero di caratteri da troncare e se il troncamento si verifica all'inizio o alla fine dei campi.

    3. Fai clic su Salva query. La query è ora disponibile nell'elenco delle query salvate.

Puoi anche ordinare e filtrare le query recenti: il filtro corrisponde al testo nell'espressione della query.

Salva query

Il riquadro Query contiene una scheda Salvati, dove puoi accedere alle query salvate. Le query salvate ti consentono di archiviare le espressioni di query per esplorare i log in modo più coerente ed efficiente.

Per salvare un'espressione di query creata nel campo editor di query, procedi nel seguente modo:

  1. Fai clic su Salva nel riquadro Query. Si apre la finestra di dialogo Salva query, con l'espressione della query nel campo Editor delle query.

  2. Completa i seguenti campi:

    • Nome (obbligatorio): fornisci un nome per la query. I nomi possono contenere al massimo 64 caratteri.
    • (Facoltativo) Descrizione: fornisci una descrizione per identificare lo scopo della query.
    • (Facoltativo) Includi campi di riepilogo: attiva Includi campi di riepilogo e inserisci i campi di riepilogo che vuoi visualizzare.
    • (Facoltativo) Tronca campi di riepilogo: attiva Tronca campi di riepilogo e seleziona il numero di caratteri da troncare e se il troncamento si verifica all'inizio o alla fine dei campi.
    1. Fai clic su Salva query. Le query salvate vengono visualizzate in un elenco nella scheda Salvate.

Per eseguire una query salvata, fai clic su Esegui. Per eseguire la query e trasmettere in streaming i risultati, fai clic su Stream.

Puoi anche ordinare e filtrare le query salvate; il filtro corrisponde al testo nell'espressione della query.

Condividi query

Le query condivise consentono agli utenti di un progetto Google Cloud di condividere tra loro le query salvate. Puoi visualizzare le query condivise nella scheda Salvati.

Per i ruoli e le autorizzazioni necessari per visualizzare e modificare le query condivise, consulta le autorizzazioni della console Google Cloud. Tieni presente che gli utenti con il ruolo IAM roles/logging.admin o roles/editor possono modificare le query condivise di altri utenti.

Crea una query condivisa

Puoi condividere le query che hai già salvato o una nuova query.

Per creare e condividere una query, procedi nel seguente modo:

  1. Inserisci una query nel campo Editor query.

  2. Fai clic su Salva.

  3. Completa i campi nella finestra di dialogo Salva query.

  4. Attiva Condividi con il progetto.

  5. Fai clic su Salva query.

La tua query viene ora condivisa con altri utenti del progetto Google Cloud.

Per condividere una query già salvata, procedi come segue:

  1. Seleziona la scheda Salvati.

  2. Seleziona Altre opzioni > Modifica oppure seleziona la query direttamente.

  3. Nella finestra di dialogo Modifica query, abilita Condividi con il progetto, quindi fai clic su Aggiorna query.

La tua query viene ora condivisa con altri utenti del progetto Google Cloud.

Visualizza query condivise

Per visualizzare rapidamente tutte le query condivise, ordina la colonna Visibilità in modo da visualizzare prima le query condivise:

  1. Seleziona la scheda Salvati.

  2. Fai clic su Tutti.

  3. Ordina la colonna Visibilità.

La colonna Visibilità indica se e come vengono condivise le query:

  • Condivisi da me: query che hai salvato e condiviso con altri utenti del progetto Google Cloud.
  • Condivisi: query condivise da altri utenti del progetto Google Cloud.
  • Privato: query che hai salvato e che non hai condiviso con altri utenti del progetto Google Cloud.

Visualizza solo le tue query

Per visualizzare le query salvate che hai creato o condiviso, fai clic su Mieo. Viene visualizzato un elenco di query che hai creato e salvato. Nella colonna Visibilità, puoi visualizzare le query private non condivise. Le query che hai condiviso sono indicate da Condivisi da me.

Utilizzare le query suggerite

Logging genera query suggerite in base al contesto del tuo progetto Google Cloud, ad esempio i prodotti Google Cloud che stai utilizzando. Le query suggerite possono aiutarti a identificare i problemi e a fornirti insight sull'integrità complessiva dei tuoi sistemi. Ad esempio, il rilevamento che stai utilizzando Google Kubernetes Engine, Logging potrebbe suggerire una query che trova tutti i log di errore per i tuoi container.

Per visualizzare ed eseguire query suggerite, seleziona la scheda Suggeriti nel riquadro Query. La scheda Suggeriti mostra un elenco di query, ciascuna con descrizioni e le seguenti opzioni:

  • Stream: per eseguire la query e trasmettere i risultati, scegli questa opzione.
  • Esegui: per eseguire la query, scegli questa opzione.

  • Altre opzioni : consente di visualizzare i dettagli dell'espressione di query con le opzioni per eseguire la query o salvarla. Puoi anche selezionare la query direttamente per ottenere queste opzioni.

    Per esaminare i dettagli di una query suggerita, procedi in uno dei seguenti modi:

    • Seleziona la riga della query.

    • Fai clic su Altro e seleziona Visualizza. Si apre la finestra di dialogo Dettagli query.

    Nella finestra di dialogo Dettagli query, puoi visualizzare la query e le opzioni Esegui, Stream o Salva con nome:

    • Per salvare la query:

      1. Fai clic su Salva con nome.
      2. Completa i campi nella finestra di dialogo Salva query.

      La query modificata viene visualizzata nell'elenco Salvate, dove puoi scegliere di eseguirla in un secondo momento.

    • Per eseguire subito la query, fai clic su Esegui. La query viene eseguita e appare nel campo Editor query.

    • Per eseguire la query ora e trasmettere in streaming i risultati, fai clic su Stream.

    • Per chiudere la finestra di dialogo e tornare all'elenco delle query suggerite, fai clic su Chiudi.

Tieni presente i seguenti comportamenti previsti:

  • I caricamenti successivi delle pagine potrebbero non mostrare le stesse query nello stesso ordine.
  • Potresti non visualizzare nessuna query suggerita.
  • A volte l'esecuzione di una query suggerita restituisce zero log.

Seleziona le query dalla libreria

Logging offre una libreria di query basate su casi d'uso comuni e sui prodotti Google Cloud. Queste query possono aiutarti a trovare in modo efficiente i log durante le sessioni critiche per la risoluzione dei problemi e a esplorarli per comprendere meglio quali dati di logging sono disponibili.

Per visualizzare ed eseguire query della libreria, procedi nel seguente modo:

  1. Seleziona la scheda Raccolta nel riquadro Query.

  2. Nella colonna Tutte le query sono mostrate ampie categorie di query e sottoinsiemi di query disponibili basate sui prodotti Google Cloud. Per restringere la selezione delle query visualizzate, fai clic su uno dei prodotti.

    Puoi anche utilizzare il campo di ricerca per cercare le query disponibili in base a categoria, descrizione o contenuto dell'espressione di query.

  3. Per esaminare un'espressione di query, procedi in uno dei seguenti modi:

    a. Fai clic sulla riga della query.

    b. Fai clic su Altro e seleziona Visualizza.

  4. Nella finestra di dialogo Dettagli query, visualizzi la query e le opzioni per Esegui, Stream o Salva con nome:

    • Per salvare la query:

      1. Fai clic su Salva con nome.
      2. Completa i campi nella finestra di dialogo Salva query.

      La query modificata viene visualizzata nell'elenco Salvate, dove puoi scegliere di eseguirla in un secondo momento.

    • Per eseguire subito la query, fai clic su Esegui. La query viene eseguita e appare nel campo Editor query.

    • Per eseguire la query ora e trasmettere in streaming i risultati, fai clic su Stream.

    • Per chiudere la finestra di dialogo e tornare all'elenco delle query suggerite, fai clic su Chiudi.

Passaggi successivi