Creare e salvare le query utilizzando il linguaggio di query di Logging

Questo documento descrive come recuperare e analizzare i log quando utilizzi Esplora log scrivendo query nel campo query-editor ed effettuando selezioni dai menu dei filtri utilizzando le opzioni incluse nelle voci di log. Le query che crei sono scritte nel linguaggio delle query di Logging.

Puoi anche salvare le query nella pagina Esplora log o utilizzando il metodo dell'API Logging savedQueries.create.

Prima di iniziare

  • Per creare query, devi disporre delle autorizzazioni necessarie per leggere i dati dei log. Queste autorizzazioni sono incluse nel ruolo Visualizzatore Logging (roles/logging.viewer). Per maggiori dettagli sulle autorizzazioni IAM necessarie, consulta Autorizzazioni per la console Google Cloud.

  • Per creare e utilizzare query private, il tuo ruolo Identity and Access Management deve includere le autorizzazioni logging.queries.{list, create, get, update, delete}.

  • Per creare e utilizzare query condivise, il tuo ruolo Identity and Access Management deve includere le autorizzazioni logging.queries.{listShared, share, getShared, updateShared, deleteShared}.

Creazione di query

Per creare query utilizzando la console Google Cloud, segui questi passaggi:

  1. Nella console Google Cloud, vai alla pagina Esplora log:

    Vai a Esplora log

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato il cui sottotitolo è Logging.

  2. Seleziona il progetto Google Cloud o un'altra risorsa Google Cloud per cui vuoi visualizzare i log.

    Per visualizzare i log che stai inviando da un account Amazon Web Services (AWS) a Logging, seleziona il progetto del connettore AWS nel selettore di risorse della console Google Cloud, quindi utilizza Esplora log. Il progetto del connettore AWS archivia l'Amazon Resource Name (ARN) per il tuo account AWS e collega l'account AWS ai servizi Google Cloud. Per maggiori informazioni, consulta Raccogliere metriche dagli account AWS.

  3. Utilizza il riquadro Query per creare la query.

    Il riquadro delle query Esplora log.

    Il riquadro Query offre diversi modi per creare ed eseguire espressioni di query:

    • Cerca il testo in tutti i campi del log.
    • Seleziona le opzioni dai menu del filtro.
    • Scrivere o modificare le query utilizzando Editor query.
    • Visualizza, modifica o esegui le query nelle schede Recenti, Salvati, Suggerite e Raccolta.

Cerca testo nei campi del log

Per cercare testo in tutti i campi di log e trovare tutte le voci di log corrispondenti, inserisci i termini di ricerca nel campo di ricerca:

Il campo di ricerca di Esplora log nel riquadro delle query.

Puoi cercare parole e frasi e i termini di ricerca possono includere operatori booleani ed espressioni regolari:

  • Per eseguire una ricerca sensibile alle maiuscole, devi utilizzare un'espressione regolare.

  • Per eseguire una ricerca senza distinzione tra maiuscole e minuscole lungo i limiti dei token, inserisci i termini di ricerca senza apici inversi o virgolette.

    Ad esempio, per cercare voci di log contenenti la parola hello e la parola world, inserisci hello world. Questo comando, che viene convertito in SEARCH("hello world"), trova corrispondenze in qualsiasi ordine delle voci di log contenenti i token hello e world. Poiché la ricerca non fa distinzione tra maiuscole e minuscole, la ricerca corrisponde anche a una voce di log contenente i token Hello e World. La ricerca non corrisponde al token worlds.

  • Per eseguire una ricerca senza distinzione tra maiuscole e minuscole per una frase lungo i limiti dei token, racchiudi la frase tra apici inversi.

    Ad esempio, per cercare la frase hello world, inserisci `hello world`. Questo comando, che viene convertito in SEARCH("`hello world`"), trova corrispondenze per le voci di log contenenti il token hello world. La ricerca non corrisponde al token hello worlds.

  • Per eseguire una ricerca per una sottostringa senza distinzione tra maiuscole e minuscole, racchiudi il testo tra virgolette doppie. Ad esempio, "hello world" corrisponde a Hello World e Hello world. La stessa query corrisponde anche a hello worlds, perché la ricerca non viene eseguita lungo i limiti dei token.

Per visualizzare i termini di ricerca nell'espressione di query, attiva Mostra query.

Dopo aver inserito i termini di ricerca, fai clic su Esegui query o premi il tasto Invio. I risultati della query vengono visualizzati nel riquadro Risultati query.

Operatori booleani

Le voci del campo di ricerca vengono convertite in espressioni booleane che specificano un sottoinsieme di tutte le voci di log nella risorsa Google Cloud selezionata.

Il campo di ricerca supporta l'utilizzo degli operatori booleani AND, OR e NOT. Quando utilizzi gli operatori booleani nelle espressioni di ricerca, tieni presente quanto segue:

  • Non è possibile utilizzare le parentesi per nidificare le regole. Eventuali parentesi nell'espressione di ricerca vengono analizzate come termini di ricerca.
  • Devi utilizzare le lettere maiuscole per gli operatori booleani. and, or e not in minuscolo vengono analizzati come termini di ricerca, non come operatori.

Se non includi operatori, tutti i termini e le frasi di ricerca sono uniti da AND. Puoi omettere l'operatore AND tra i termini di ricerca.

Gli operatori AND e OR sono operatori di cortocircuito. Puoi combinare le regole AND e OR nella stessa espressione. Ad esempio, quando i due operatori sono misti, l'espressione a AND b OR c AND d si trasforma nella seguente espressione nel linguaggio di query di Logging:

"a"
"b" OR "c"
"d"

L'operatore NOT ha la precedenza più alta, seguito da OR e AND in questo ordine.

L'operatore NOT esegue una negazione del termine successivo. Ad esempio, NOT error restituisce voci di log che non contengono error. Puoi anche sostituire l'operatore NOT con l'operatore - (meno). Ad esempio, le seguenti due query sono le stesse:

"response" AND "successful" AND NOT "error"

"response successful" -"error"

Questa logica funziona anche con una frase, se l'operatore - (meno) non è compreso tra le virgolette. Ad esempio, le seguenti due query sono uguali:

-"response successful"

NOT "response successful"

Creare query con i menu dei filtri

Puoi utilizzare i menu del filtro nel riquadro Query per aggiungere i parametri di risorse, nome del log e gravità dei log al campo dell'editor query. Queste opzioni corrispondono ai campi LogEntry per tutti i log in Logging.

Le opzioni nei menu Risorsa e Nome log derivano dalle voci di log archiviate da Cloud Logging.

Menu di filtro per Editor query

  • Risorsa: consente di specificare la risorsa resource.type e il resource.labels associato. Puoi selezionare un singolo tipo di risorsa utilizzando questo menu del filtro e nessuna o più etichette delle risorse da applicare alla query. I parametri delle risorse sono uniti dall'operatore logico AND.
  • Nome log: consente di specificare logName. Puoi selezionare più nomi di log da applicare alla query. Quando si selezionano più nomi di log, viene utilizzato l'operatore logico OR.
  • Gravità: consente di specificare la gravità. Puoi selezionare più livelli di gravità contemporaneamente da aggiungere per applicare alla query. Quando vengono selezionati più livelli di gravità, viene utilizzato l'operatore logico OR.

Per utilizzare uno qualsiasi dei menu del filtro:

  1. Espandi il menu di in uno dei menu del filtro nel riquadro Query.

  2. Perfezionare i parametri del filtro.

  3. Fai clic su Applica. I parametri vengono visualizzati nel campo query-editor.

    Per visualizzare i termini di ricerca nell'espressione di query, attiva Mostra query.

  4. Dopo aver esaminato la query, fai clic su Esegui query. I risultati della query vengono visualizzati nel riquadro Risultati query.

Per alcuni tipi di risorse Compute Engine, come gce_instance e gce_network, vedrai il nome della risorsa con l'ID risorsa come sottotitolo. Ad esempio, per il tipo di risorsa gce_instance, vedi il nome della VM accanto all'ID VM. I nomi delle risorse aiutano a identificare l'ID risorsa corretto su cui puoi creare query.

Visualizza i log per intervallo di tempo

Esistono due modi per visualizzare i log scritti in un intervallo di tempo specifico:

  1. Utilizza il selettore dell'intervallo di tempo.
  2. Includi un'espressione timestamp nel campo query-editor.

Utilizzare il selettore dell'intervallo di tempo

L'intervallo di tempo predefinito è di un'ora, ma puoi scegliere tra le opzioni di orario preimpostate, specificare un'ora di inizio e di fine personalizzata o centrare l'intervallo di tempo su un timestamp specifico utilizzando il selettore dell'intervallo di tempo. Ad esempio, se vuoi visualizzare i dati della settimana precedente, seleziona Ultima settimana dal selettore dell'intervallo di tempo.

Puoi anche impostare le preferenze di fuso orario utilizzando il selettore dell'intervallo di tempo.

Includi un'espressione timestamp nel campo query-editor

Per aggiungere un'espressione timestamp direttamente al campo query-editor, utilizza il linguaggio di query di Logging.

Se il campo query-editor contiene un'espressione con un timestamp, il selettore dell'intervallo di tempo è disabilitato e la query utilizza l'espressione del timestamp come limitazione dell'intervallo di tempo. Se una query non utilizza un'espressione timestamp, la query utilizza il selettore dell'intervallo di tempo come limitazione dell'intervallo di tempo.

Scrivere query avanzate utilizzando il linguaggio di query di Logging

Puoi utilizzare il linguaggio di query di Logging per creare query più avanzate nel campo dell'editor di query di Esplora log:

  1. Se non vedi il campo query-editor nel riquadro Query, abilita Mostra query.

  2. Inserisci le espressioni di query direttamente nel campo query-editor.

    Se hai aggiunto termini di ricerca nel campo di ricerca o selezionato parametri nei menu del filtro, questi vengono visualizzati anche nel campo dell'editor di query e vengono valutati come parte dell'espressione della query.

  3. Dopo aver esaminato la query, fai clic su Esegui query.

    I log che corrispondono alla query sono elencati nel riquadro Risultati delle query. Anche i riquadri di Istogramma e Campi log vengono modificati in base all'espressione della query.

Per esempi di query comuni che potresti voler utilizzare, consulta Query di esempio utilizzando Esplora log.

Utilizzare le query recenti

Quando esegui una query, questa viene aggiunta all'elenco delle query Recenti, che contiene le ultime 10.000 query uniche in un periodo di 30 giorni.

Per visualizzare le query recenti, seleziona la scheda Recenti nel riquadro Query. Nella scheda Recenti sono disponibili le seguenti opzioni:

  • Flusso: per eseguire la query e trasmettere i risultati, scegli questa opzione.
  • Esegui: scegli questa opzione per eseguire la query.

  • Altre opzioni: consente di visualizzare l'espressione di query con le opzioni per eseguire la query o salvarla nell'elenco di query salvate. Puoi anche selezionare la query direttamente per avere queste opzioni.

    Per salvare la query:

    1. Fai clic su Salva con nome. Viene visualizzata la finestra di dialogo Salva query.

    2. Completa i seguenti campi:

      • Nome (obbligatorio): specifica un nome per la query. I nomi hanno un limite di 64 caratteri.
      • (Facoltativo) Descrizione: fornisci una descrizione per identificare lo scopo della query.
      • (Facoltativo) Includi campi di riepilogo: attiva Includi campi di riepilogo e inserisci i campi di riepilogo che vuoi visualizzare.
      • (Facoltativo) Tronca campi di riepilogo: attiva Tronca campi di riepilogo, seleziona il numero di caratteri da troncare e se il troncamento si verifica all'inizio o alla fine dei campi.

    3. Fai clic su Salva query. La query è ora disponibile nell'elenco Query salvate.

Puoi anche ordinare e filtrare le query recenti; il filtro corrisponde al testo nell'espressione di query.

Salvare le query

Le query salvate consentono di archiviare espressioni di query per aiutarti a esplorare i log in modo più coerente ed efficiente. Il riquadro Query di Esplora log presenta la scheda Salvate, da cui puoi accedere alle query salvate. Puoi anche salvare le query utilizzando il metodo dell'API Logging savedQueries.create.

Console

Per salvare un'espressione di query che hai creato nel campo query-editor, procedi nel seguente modo:

  1. Fai clic su Salva nel riquadro Query. Viene visualizzata la finestra di dialogo Salva query, con l'espressione di query nel campo dell'editor query.

  2. Completa i seguenti campi:

    • Nome (obbligatorio): specifica un nome per la query. I nomi hanno un limite di 64 caratteri.
    • (Facoltativo) Descrizione: fornisci una descrizione per identificare lo scopo della query.
    • (Facoltativo) Includi campi di riepilogo personalizzati: attiva Includi campi di riepilogo e inserisci i campi di riepilogo che vuoi visualizzare.
    • (Facoltativo) Tronca campi di riepilogo: attiva Tronca campi di riepilogo, seleziona il numero di caratteri da troncare e se il troncamento si verifica all'inizio o alla fine dei campi.

  3. Fai clic su Salva query. Le query salvate vengono visualizzate in un elenco nella scheda Salvate.

Per eseguire una query salvata, fai clic su Esegui. Per eseguire la query e trasmettere in streaming i risultati, fai clic su Stream.

Puoi anche ordinare e filtrare le query salvate; il filtro corrisponde al testo nell'espressione di query.

API

Per salvare una query mediante l'API Logging, utilizza il metodo savedQueries.create. Per saperne di più su questo metodo, sui relativi parametri e sui dati di risposta, consulta la pagina di riferimento per savedQueries.create.

Puoi eseguire il metodo savedQueries.create utilizzando il widget Explorer API nella pagina di riferimento del metodo. Per le query Esplora log, devi specificare il campo loggingQuery. L'esempio seguente illustra un corpo di richiesta di esempio, che contiene un'istanza di SavedQuery:

{
"parent": "projects/my-project/locations/global"
"savedQueryId": "compute-query"
{
  "displayName": "compute-admin-activity-query",
  "description": "Queries for Compute Engine Admin Activity logs.",

  "loggingQuery":
    {
      "filter": resource.type="gce_instance" AND log_id("cloudaudit.googleapis.com/activity"),
    },
  "visibility": "PRIVATE"
}
}

Condividere query

Le query condivise consentono agli utenti di un progetto Google Cloud di condividere tra loro le query salvate. Puoi visualizzare le query condivise nella scheda Salvati.

Per i ruoli e le autorizzazioni necessari per visualizzare e modificare le query condivise, consulta Autorizzazioni della console Google Cloud. Tieni presente che gli utenti con il ruolo IAM roles/logging.admin o roles/editor possono modificare le query condivise di altri utenti.

Crea una query condivisa

Console

Puoi condividere le query che hai già salvato oppure puoi condividerne una nuova.

Per creare e condividere una query:

  1. Inserisci una query nel campo query-editor.

  2. Fai clic su Salva.

  3. Completa i campi nella finestra di dialogo Salva query.

  4. Abilita Condividi con il progetto.

  5. Fai clic su Salva query.

Ora la tua query è condivisa con altri utenti del progetto Google Cloud.

Per condividere una query già salvata:

  1. Seleziona la scheda Salvati.

  2. Seleziona Altre opzioni, poi seleziona Modifica oppure seleziona direttamente la query.

  3. Nella finestra di dialogo Modifica query, attiva Condividi con il progetto e poi fai clic su Aggiorna query.

Ora la tua query è condivisa con altri utenti del progetto Google Cloud.

API

Puoi utilizzare l'API Logging per creare una query condivisa utilizzando il metodo savedQueries.Create e specificando un valore di SHARED nel campo visibility.

Visualizza query condivise

Console

Per visualizzare rapidamente tutte le query condivise, ordina la colonna Visibilità in modo da visualizzare per prime le query condivise:

  1. Seleziona la scheda Salvati.

  2. Fai clic su Tutte.

  3. Ordina la colonna Visibilità.

La colonna Visibilità indica se e come le query vengono condivise:

  • Condivisi da me: query che hai salvato e condiviso con altri utenti del progetto Google Cloud.
  • Condivisa: query che altri utenti del progetto Google Cloud hanno condiviso.
  • Private: query che hai salvato e non hai condiviso con altri utenti del progetto Google Cloud.

Visualizzare solo le query

Per visualizzare le query salvate che hai creato o condiviso, fai clic su Miei. Ora vedrai un elenco delle query che hai creato e salvato. Nella colonna Visibilità puoi vedere le query private non condivise. Le query che hai condiviso sono indicate da Condivisi da me.

Utilizzare le query suggerite

Logging genera query suggerite in base al contesto del tuo progetto Google Cloud, ad esempio i prodotti Google Cloud che stai utilizzando. Le query suggerite possono aiutarti a identificare i problemi e fornirti insight sullo stato generale dei tuoi sistemi. Ad esempio, rilevando che stai utilizzando Google Kubernetes Engine, Logging potrebbe suggerire una query che trova tutti i log degli errori per i tuoi container.

Per visualizzare ed eseguire le query suggerite, seleziona la scheda Suggerite nel riquadro Query. La scheda Suggerite mostra un elenco di query, ognuna con descrizioni e le seguenti opzioni:

  • Flusso: per eseguire la query e trasmettere i risultati, scegli questa opzione.
  • Esegui: scegli questa opzione per eseguire la query.

  • Altre opzioni: consente di visualizzare i dettagli dell'espressione della query con le opzioni per eseguire o salvare la query. Puoi anche selezionare la query direttamente per avere queste opzioni.

    Per esaminare i dettagli di una query suggerita, esegui una delle seguenti operazioni:

    • Seleziona la riga della query.

    • Fai clic su Altro e seleziona Visualizza. Si apre la finestra di dialogo Dettagli query.

    Nella finestra di dialogo Dettagli query puoi visualizzare la query e le opzioni per Esegui, Trasmetti flusso o Salva con nome:

    • Per salvare la query:

      1. Fai clic su Salva con nome.
      2. Completa i campi nella finestra di dialogo Salva query.

      La query modificata viene visualizzata nell'elenco Salvati, dove puoi scegliere di eseguirla in un secondo momento.

    • Per eseguire subito la query, fai clic su Esegui. La query viene eseguita e viene visualizzata nel campo dell'editor di query.

    • Per eseguire la query ora e eseguire il flusso dei risultati, fai clic su Stream.

    • Per chiudere la finestra di dialogo e tornare all'elenco delle query suggerite, fai clic su Chiudi.

Tieni presente i seguenti comportamenti previsti:

  • I caricamenti di pagina successivi potrebbero non mostrare le stesse query nello stesso ordine.
  • Potresti non vedere alcuna query suggerita.
  • A volte l'esecuzione di una query suggerita restituisce zero log.

Selezionare query dalla libreria

Logging fornisce una libreria di query basate su casi d'uso comuni e sui prodotti Google Cloud. Queste query possono aiutarti a trovare in modo efficiente i log durante sessioni di risoluzione dei problemi critici ed esplorarli per comprendere meglio quali dati di logging sono disponibili.

Per visualizzare ed eseguire le query della libreria, segui questi passaggi:

  1. Seleziona la scheda Raccolta nel riquadro Query.

  2. Nella colonna Tutte le query sono presenti ampie categorie di query e sottoinsiemi di query disponibili basati sui prodotti Google Cloud. Per restringere la selezione delle query visualizzate, fai clic su uno dei prodotti.

    Puoi anche utilizzare il campo di ricerca per cercare le query disponibili in base a categoria, descrizione o contenuti dell'espressione di query.

  3. Per esaminare un'espressione di query, esegui una delle seguenti operazioni:

    a. Fai clic sulla riga della query.

    b. Fai clic su Altro e seleziona Visualizza.

  4. Nella finestra di dialogo Dettagli query puoi visualizzare la query e le opzioni per Esegui, Trasmetti flusso o Salva con nome:

    • Per salvare la query:

      1. Fai clic su Salva con nome.
      2. Completa i campi nella finestra di dialogo Salva query.

      La query modificata viene visualizzata nell'elenco Salvati, dove puoi scegliere di eseguirla in un secondo momento.

    • Per eseguire subito la query, fai clic su Esegui. La query viene eseguita e viene visualizzata nel campo dell'editor di query.

    • Per eseguire la query ora e eseguire il flusso dei risultati, fai clic su Stream.

    • Per chiudere la finestra di dialogo e tornare all'elenco delle query suggerite, fai clic su Chiudi.

Passaggi successivi