Abfragen mit der Logging-Abfragesprache erstellen

In diesem Dokument wird beschrieben, wie Sie Logs mit dem Log-Explorer abrufen und analysieren. Rufen Sie Logs ab, indem Sie Abfragen schreiben und ausführen. Sie können Abfragen erstellen, indem Sie in den Filtermenüs eine Auswahl treffen, die in Logeinträgen enthaltenen Optionen und das Feld des Abfrageeditors verwenden. Die von Ihnen erstellten Abfragen werden in der Logging-Abfragesprache geschrieben.

Hinweise

  • Zum Erstellen von Abfragen benötigen Sie die Berechtigung zum Lesen von Logdaten. Diese Berechtigungen sind in der Rolle „Logging-Betrachter“ (roles/logging.viewer) enthalten. Weitere Informationen zu den erforderlichen IAM-Berechtigungen finden Sie unter Berechtigungen für die Google Cloud Console.

  • Zum Freigeben von Abfragen muss die Rolle „Identity and Access Management“ die Berechtigung logging.queries.share enthalten. Diese Berechtigung ist in den Rollen Inhaber (roles/owner) und Logging-Administrator (roles/logging.admin) enthalten.

    Eine Liste der Berechtigungen, die mit jeder Logging-Rolle verknüpft sind, finden Sie unter Logging-Rollen.

Abfragen erstellen

So erstellen Sie Abfragen mit der Google Cloud Console:

  1. Wählen Sie in der Google Cloud Console Logging und dann Log-Explorer aus oder klicken Sie auf die folgende Schaltfläche:

    Zu „Log-Explorer“

  2. Wählen Sie das Google Cloud-Projekt oder eine andere Google Cloud-Ressource aus, für die Sie Logs aufrufen möchten.

    Wenn Sie die Logs, die Sie von einem Amazon Web Services (AWS)-Konto an Logging senden, aufrufen möchten, wählen Sie in der Ressourcenauswahl der Google Cloud Console das AWS-Connector-Projekt aus und verwenden Sie dann den Log-Explorer. Das AWS-Verbindungsprojekt speichert den ANR (Amazon Resource Name) für Ihr AWS-Konto und verknüpft Ihr AWS-Konto mit Google Cloud-Diensten. Weitere Informationen finden Sie unter Messwerte aus AWS-Konten erfassen.

  3. Verwenden Sie den Bereich Abfrage, um die Abfrage zu erstellen.

    Der Abfragebereich von Log-Explorer.

    Im Bereich Query (Abfrage) gibt es mehrere Möglichkeiten, Abfrageausdrücke zu erstellen und auszuführen:

    • Suche in allen Logfeldern nach Text.
    • Wählen Sie Optionen aus Filtermenüs aus.
    • Abfragen mit dem Abfrageeditor schreiben oder ändern
    • Sie können die Abfragen auf den Tabs Zuletzt, Gespeichert, Empfohlen und Bibliothek ansehen, bearbeiten oder ausführen.

Text in allen Logfeldern suchen

Wenn Sie in allen Logfeldern nach Text suchen und alle übereinstimmenden Logeinträge finden möchten, geben Sie Ihre Suchbegriffe in das Suchfeld ein:

Das Log-Explorer-Suchfeld im Abfragebereich.

Sie können nach Wörtern und Wortgruppen suchen. Ihre Suchbegriffe können Boolesche Operatoren und reguläre Ausdrücke enthalten:

  • Wenn die Groß- und Kleinschreibung anhand der Tokengrenzen nicht begrenzt werden soll, geben Sie die Suchbegriffe ohne Gravis oder doppelte Anführungszeichen ein.

    Wenn Sie beispielsweise nach Logeinträgen suchen möchten, die das Wort hello und das Wort world enthalten, geben Sie hello world ein. Dieser Befehl wird in SEARCH("hello world") umgewandelt und stimmt mit Logeinträgen überein, die die Tokens hello und world in beliebiger Reihenfolge enthalten. Da bei der Suche die Groß- und Kleinschreibung nicht berücksichtigt wird, entspricht die Suche auch einem Logeintrag, der die Tokens Hello und World enthält. Die Suche stimmt nicht mit dem Token worlds überein.

  • Führen Sie die Wortgruppe in Graviszeichen ein, um eine Suche ohne Berücksichtigung der Groß-/Kleinschreibung an Tokengrenzen auszuführen.

    Wenn Sie beispielsweise nach hello world suchen möchten, geben Sie `hello world` ein. Dieser Befehl, der in SEARCH("`hello world`") konvertiert wird, stimmt mit Logeinträgen überein, die das Token hello world enthalten. Die Suche stimmt nicht mit dem Token hello worlds überein.

  • Wenn Sie nach einem Teilstring suchen und dabei die Groß-/Kleinschreibung nicht berücksichtigen möchten, setzen Sie den Text in doppelte Anführungszeichen. Beispiel: "hello world" entspricht Hello World und Hello world. Dieselbe Abfrage stimmt auch mit hello worlds überein, da die Suche nicht entlang von Tokengrenzen ausgeführt wird.

Damit Ihre Suchbegriffe im Abfrageausdruck angezeigt werden, aktivieren Sie Abfrage anzeigen.

Nachdem Sie Ihre Suchbegriffe eingegeben haben, klicken Sie auf Abfrage ausführen oder drücken Sie die Eingabetaste. Die Ergebnisse der Abfrage werden im Bereich Abfrageergebnisse angezeigt.

Boolesche Operatoren

Die Einträge im Suchfeld werden in boolesche Ausdrücke konvertiert, die eine Teilmenge aller Logeinträge in der ausgewählten Google Cloud-Ressource angeben.

Das Suchfeld unterstützt die Verwendung der booleschen Operatoren AND, OR und NOT. Beachten Sie bei Verwendung boolescher Operatoren in Ihren Suchausdrücken Folgendes:

  • Sie können Regeln nicht mit Klammern verwenden. Alle Klammern im Suchausdruck werden als Suchbegriffe geparst.
  • Sie müssen boolesche Operatoren großschreiben. and, or und not werden in Kleinbuchstaben geschrieben, nicht als Operatoren.

Wenn Sie keine Operatoren verwenden, werden alle Suchbegriffe und Wortgruppen durch AND verbunden. Sie können den Operator AND zwischen Suchbegriffen weglassen.

Die Operatoren AND und OR sind Kurzschlussbetreiber. Sie können AND- und OR-Regeln im selben Ausdruck kombinieren. Wenn die beiden Operatoren gemischt sind, wird der Ausdruck a AND b OR c AND d in den folgenden Logging-Abfrageausdruck umgewandelt:

"a"
"b" OR "c"
"d"

Die höchste Priorität hat der Operator NOT, gefolgt von OR und AND – in dieser Reihenfolge.

Der Operator NOT führt eine Negation des nachfolgenden Begriffs. NOT error gibt beispielsweise Logeinträge zurück, die nicht error enthalten. Sie können den Operator NOT auch durch den Operator - (Minus) ersetzen. Die folgenden beiden Abfragen sind beispielsweise identisch:

"response" AND "successful" AND NOT "error"

"response successful" -"error"

Diese Logik funktioniert auch mit einer Wortgruppe, wenn der Operator - (Minuszeichen) außerhalb der Anführungszeichen ist. Die folgenden beiden Abfragen sind beispielsweise identisch:

-"response successful"

NOT "response successful"

Abfragen mit Filtermenüs erstellen

Sie können die Filtermenüs im Bereich Abfrage verwenden, um dem Abfrageeditor-Feld die Parameter für Ressource, Logname und Logschweregrad hinzuzufügen. Diese Optionen entsprechen den Feldern LogEntry für alle Logs in Logging.

Mit den Optionen in den Menüs Ressource und Logname werden nur Logs angezeigt, die derzeit in Cloud Logging gespeichert sind.

Menüs für den Abfrageeditor filtern

  • Ressource: Geben Sie resource.type und den zugehörigen resource.labels an. Mit diesem Filtermenü können Sie einen einzelnen Ressourcentyp und keine oder mehrere Ressourcenlabels für die Abfrage auswählen. Die Ressourcenparameter werden durch den logischen Operator AND verbunden.
  • Logname: Hier können Sie den logName angeben. Sie können mehrere Lognamen auswählen, die auf die Abfrage angewendet werden sollen. Bei der Auswahl mehrerer Lognamen wird der logische Operator OR verwendet.
  • Schweregrad: Hier können Sie den Schweregrad angeben. Sie können mehrere Schweregrade gleichzeitig auswählen, um sie auf die Abfrage anzuwenden. Bei der Auswahl mehrerer Schweregrade wird der logische Operator OR verwendet.

So verwenden Sie eines der Filtermenüs:

  1. Maximieren Sie das Menü in einem der Filtermenüs im Bereich Abfrage.

  2. Filtern Sie die Filterparameter.

  3. Klicken Sie auf Anwenden. Die Parameter werden im Feld „Abfrageeditor“ angezeigt.

    Damit Ihre Suchbegriffe im Abfrageausdruck angezeigt werden, aktivieren Sie Abfrage anzeigen.

  4. Nachdem Sie die Abfrage überprüft haben, klicken Sie auf Abfrage ausführen. Die Ergebnisse der Abfrage werden im Bereich Abfrageergebnisse angezeigt.

Für bestimmte Compute Engine-Ressourcentypen wie gce_instance und gce_network wird der Ressourcenname mit der Ressourcen-ID als Subtext angezeigt. Für den Ressourcentyp gce_instance sehen Sie beispielsweise den VM-Namen neben der VM-ID. Anhand der Ressourcennamen können Sie die richtige Ressourcen-ID ermitteln, auf der Sie Abfragen erstellen können.

Logs nach Zeitraum ansehen

Es gibt zwei Möglichkeiten, Logs anzuzeigen, die in einem bestimmten Zeitraum geschrieben wurden:

  1. Zeitraumauswahl verwenden.
  2. Geben Sie im Abfrageeditor-Feld einen Zeitstempelausdruck an.

Zeitraumauswahl verwenden

Der Standardzeitraum beträgt eine Stunde. Sie können aber aus den voreingestellten Zeitoptionen wählen, mit der Zeitraumauswahl eine benutzerdefinierte Start- und Endzeit festlegen oder den Zeitraum um einen bestimmten Zeitstempel zentrieren. Wenn Sie beispielsweise die Daten für die vergangene Woche ansehen möchten, wählen Sie Letzte Woche in der Zeitraumauswahl aus.

Mit der Zeitraumauswahl können Sie auch die Zeitzoneneinstellungen festlegen.

Geben Sie im Abfrageeditor-Feld einen Zeitstempelausdruck an

Verwenden Sie die Logging-Abfragesprache, um dem Abfrageeditor-Feld direkt einen Zeitstempelausdruck hinzuzufügen.

Wenn das Feld des Abfrageeditors einen Ausdruck mit einem Zeitstempel enthält, ist die Zeitraumauswahl deaktiviert und die Abfrage verwendet den Zeitstempelausdruck als Zeitraumeinschränkung. Wenn bei einer Abfrage kein Zeitstempelausdruck verwendet wird, wird für die Abfrage die Zeitraumauswahl als Zeitraumeinschränkung verwendet.

Erweiterte Abfragen mit der Logging-Abfragesprache schreiben

Sie können mit der Logging-Abfragesprache erweiterte Abfragen im Abfrageeditor-Feld von Log-Explorer erstellen:

  1. Wenn das Feld „Abfrageeditor“ im Bereich Abfrage nicht angezeigt wird, aktivieren Sie Abfrage anzeigen.

  2. Geben Sie die Abfrageausdrücke direkt in das Feld „Abfrageeditor“ ein.

    Wenn Sie Suchbegriffe in das Suchfeld eingegeben oder Parameter in den Filtermenüs ausgewählt haben, werden diese auch im Feld des Abfrageeditors angezeigt und als Teil Ihres Abfrageausdrucks ausgewertet.

  3. Nachdem Sie die Abfrage überprüft haben, klicken Sie auf Abfrage ausführen.

    Logs, die Ihrer Abfrage entsprechen, werden im Bereich Abfrageergebnisse angezeigt. Die Bereiche Histogramm und Logfelder werden ebenfalls entsprechend dem Abfrageausdruck angepasst.

Beispiele für häufig verwendete Abfragen finden Sie unter Beispielabfragen mit dem Log-Explorer.

Letzte Abfragen verwenden

Wenn Sie eine Abfrage ausführen, wird diese der Liste Letzte Abfragen hinzugefügt, die die letzten 10.000 einzelnen Abfragen in einem Zeitraum von 30 Tagen enthält.

Zum Aufrufen der letzten Abfragen wählen Sie im Bereich Query (Abfrage) den Tab Letzte aus. Auf dem Tab Zuletzt geöffnet haben Sie folgende Möglichkeiten:

  • Streamen: Wählen Sie diese Option aus, um die Abfrage auszuführen und die Ergebnisse zu streamen.
  • Ausführen: Wählen Sie diese Option aus, um die Abfrage auszuführen.

  • Weitere Optionen: Hier können Sie den Abfrageausdruck mit den Optionen zum Ausführen der Abfrage oder zum Speichern in der Liste der gespeicherten Abfragen ansehen. Sie können die Abfrage auch direkt auswählen, um diese Optionen aufzurufen.

    So speichern Sie die Abfrage:

    1. Klicken Sie auf Speichern unter. Das Dialogfeld Abfrage speichern wird geöffnet.

    2. Füllen Sie die folgenden Felder aus:

      • Name (erforderlich): Geben Sie einen Namen für die Abfrage ein. Namen sind auf 64 Zeichen begrenzt.
      • Beschreibung (optional): Geben Sie eine Beschreibung ein, um den Zweck der Abfrage zu identifizieren.
      • Zusammenfassungsfelder einschließen (optional): Aktivieren Sie die Option Zusammenfassungsfelder einschließen und geben Sie die Zusammenfassungsfelder ein, die angezeigt werden sollen.
      • Zusammenfassungsfelder kürzen (Optional): Aktivieren Sie Zusammenfassungsfelder kürzen und wählen Sie die Anzahl der zu kürzenden Zeichen aus und geben Sie an, ob sie am Anfang oder Ende der Felder abgeschnitten werden.

    3. Klicken Sie auf Abfrage speichern. Die Abfrage ist jetzt in der Liste "Gespeicherte Abfragen" verfügbar.

Sie können Ihre letzten Abfragen auch sortieren und filtern; der Filter entspricht dem Text in Ihrem Abfrageausdruck.

Abfragen speichern

Im Bereich Abfrage gibt es den Tab Gespeichert, über den Sie auf Ihre gespeicherten Abfragen zugreifen können. Mit gespeicherten Abfragen können Sie Abfrageausdrücke speichern, um Ihre Logs einheitlicher und effizienter zu untersuchen.

So speichern Sie einen Abfrageausdruck, der im Feld „Abfrageeditor“ erstellt wurde:

  1. Klicken Sie im Bereich Abfrage auf Speichern. Das Dialogfeld Abfrage speichern wird geöffnet. Der Abfrageausdruck befindet sich im Feld des Abfrageeditors.

  2. Füllen Sie die folgenden Felder aus:

    • Name (erforderlich): Geben Sie einen Namen für die Abfrage ein. Namen sind auf 64 Zeichen begrenzt.
    • Beschreibung (optional): Geben Sie eine Beschreibung ein, um den Zweck der Abfrage zu identifizieren.
    • Zusammenfassungsfelder einschließen (optional): Aktivieren Sie die Option Zusammenfassungsfelder einschließen und geben Sie die Zusammenfassungsfelder ein, die angezeigt werden sollen.
    • Zusammenfassungsfelder kürzen (Optional): Aktivieren Sie Zusammenfassungsfelder kürzen und wählen Sie die Anzahl der zu kürzenden Zeichen aus und geben Sie an, ob sie am Anfang oder Ende der Felder abgeschnitten werden.
    1. Klicken Sie auf Abfrage speichern. Die gespeicherten Abfragen werden in einer Liste unter dem Tab Gespeichert angezeigt.

Klicken Sie auf Ausführen, um eine gespeicherte Abfrage auszuführen. Klicken Sie auf Stream, um die Abfrage auszuführen und die Ergebnisse zu streamen.

Sie können die gespeicherten Abfragen auch sortieren und filtern. Der Filter entspricht dann dem Text im Abfrageausdruck.

Abfragen freigeben

Mithilfe von freigegebenen Abfragen können Nutzer eines Google Cloud-Projekts ihre gespeicherten Abfragen untereinander austauschen. Freigegebene Abfragen werden auf dem Tab Gespeichert angezeigt.

Informationen zu den Rollen und Berechtigungen, die zum Aufrufen und Bearbeiten von freigegebenen Abfragen erforderlich sind, finden Sie unter Berechtigungen für die Google Cloud Console. Nutzer mit der IAM-Rolle roles/logging.admin oder roles/editor können die freigegebenen Abfragen anderer Nutzer bearbeiten.

Freigegebene Abfrage erstellen

Sie können gespeicherte Abfragen freigeben oder eine neue Abfrage freigeben.

So erstellen und teilen Sie eine Abfrage:

  1. Geben Sie eine Abfrage in das Feld „Abfrageeditor“ ein.

  2. Klicken Sie auf Speichern.

  3. Füllen Sie die Felder im Dialogfeld Abfrage speichern aus.

  4. Aktivieren Sie die Option Mit Projekt freigeben.

  5. Klicken Sie auf Abfrage speichern.

Ihre Abfrage wird jetzt für andere Nutzer des Google Cloud-Projekts freigegeben.

So geben Sie eine bereits gespeicherte Abfrage frei:

  1. Wählen Sie den Tab Gespeichert.

  2. Wählen Sie Weitere Optionen und dann Bearbeiten aus oder wählen Sie die Abfrage direkt aus.

  3. Aktivieren Sie im Dialogfeld Abfrage bearbeiten die Option Für Projekt freigeben und klicken Sie dann auf Abfrage aktualisieren.

Ihre Abfrage wird jetzt für andere Nutzer des Google Cloud-Projekts freigegeben.

Freigegebene Abfragen ansehen

Wenn Sie schnell alle freigegebenen Abfragen aufrufen möchten, sortieren Sie die Spalte Sichtbarkeit so, dass freigegebene Abfragen zuerst angezeigt werden:

  1. Wählen Sie den Tab Gespeichert.

  2. Klicken Sie auf Alle.

  3. Sortieren Sie die Spalte Sichtbarkeit.

In der Spalte Sichtbarkeit sehen Sie, ob und wie die Abfragen freigegeben werden:

  • Von mir freigegeben: Abfragen, die Sie gespeichert und für andere Nutzer des Google Cloud-Projekts freigegeben haben.
  • Freigegeben: Abfragen, die andere Nutzer des Google Cloud-Projekts freigegeben haben.
  • Privat: Abfragen, die Sie gespeichert und nicht für andere Nutzer des Google Cloud-Projekts freigegeben haben.

Nur Ihre Abfragen anzeigen

Klicken Sie auf Mine, um gespeicherte Abfragen aufzurufen, die Sie erstellt oder freigegeben haben. Daraufhin wird eine Liste der Abfragen angezeigt, die Sie erstellt und gespeichert haben. In der Spalte Sichtbarkeit sehen Sie Ihre nicht freigegebenen privaten Abfragen. Abfragen, die Sie freigegeben haben, sind durch Von mir freigegeben gekennzeichnet.

Vorgeschlagene Abfragen verwenden

Logging generiert Vorschläge basierend auf dem Kontext Ihres Google Cloud-Projekts, z. B. der von Ihnen verwendeten Google Cloud-Produkte. Mit vorgeschlagenen Abfragen können Sie Probleme erkennen und Einblicke in den Gesamtzustand Ihrer Systeme erhalten. Wenn Sie beispielsweise feststellen, dass Sie Google Kubernetes Engine verwenden, wird durch Logging eine Abfrage vorgeschlagen, mit der alle Fehlerlogs für Ihre Container gefunden werden.

Wählen Sie im Bereich Abfrage den Tab Vorschläge aus, um vorgeschlagene Abfragen anzusehen und auszuführen. Auf dem Tab Vorgeschlagen finden Sie eine Liste mit Abfragen, die jeweils Beschreibungen und die folgenden Optionen enthalten:

  • Streamen: Wählen Sie diese Option aus, um die Abfrage auszuführen und die Ergebnisse zu streamen.
  • Ausführen: Wählen Sie diese Option aus, um die Abfrage auszuführen.

  • Weitere Optionen: Hier können Sie die Details des Abfrageausdrucks mit den Optionen zum Ausführen oder Speichern der Abfrage ansehen. Sie können die Abfrage auch direkt auswählen, um diese Optionen aufzurufen.

    Führen Sie einen der folgenden Schritte aus, um die Details einer vorgeschlagenen Abfrage zu prüfen:

    • Wählen Sie die Zeile der Abfrage aus.

    • Klicken Sie auf Mehr und wählen Sie Ansicht aus. Das Dialogfeld Details zur Abfrage wird geöffnet.

    Im Dialogfeld Abfragedetails sehen Sie die Abfrage sowie die Optionen zum Ausführen, Streamen oder Speichern unter:

    • So speichern Sie die Abfrage:

      1. Klicken Sie auf Speichern unter.
      2. Füllen Sie die Felder im Dialogfeld Abfrage speichern aus.

      Die bearbeitete Abfrage wird in der Liste Gespeichert angezeigt. Dort können Sie sie später ausführen.

    • Klicken Sie auf Ausführen, um die Abfrage jetzt auszuführen. Die Abfrage wird ausgeführt und im Feld „Abfrageeditor“ angezeigt.

    • Wenn Sie die Abfrage jetzt ausführen und die Ergebnisse streamen möchten, klicken Sie auf Stream.

    • Klicken Sie auf Schließen, um das Dialogfeld zu schließen und zur Liste der vorgeschlagenen Abfragen zurückzukehren.

Beachten Sie Folgendes:

  • Mehrere aufeinanderfolgende Seitenladevorgänge können nicht dieselben Abfragen in derselben Reihenfolge anzeigen.
  • Möglicherweise wird keine vorgeschlagene Suchanfrage angezeigt.
  • Manchmal werden bei einer vorgeschlagenen Abfrage keine Logs zurückgegeben.

Abfragen aus der Bibliothek auswählen

Logging bietet eine Bibliothek mit Abfragen, die auf gängigen Anwendungsfällen und Google Cloud-Produkten basieren. Mithilfe dieser Abfragen können Sie Logs bei zeitkritischen Sitzungen schnell finden und Ihre Logs genauer analysieren, um herauszufinden, welche Logging-Daten verfügbar sind.

So rufen Sie die Abfragen der Bibliothek auf und führen sie aus:

  1. Wählen Sie im Bereich Abfrage den Tab Bibliothek aus.

  2. In der Spalte Alle Abfragen sehen Sie umfangreiche Kategorien von verfügbaren Abfragen und Teilmengen von Abfragen, die auf Google Cloud-Produkten basieren. Klicken Sie auf ein Produkt, um die Auswahl der angezeigten Abfragen einzugrenzen.

    Sie können das Suchfeld auch verwenden, um die verfügbaren Abfragen nach Kategorie, Beschreibung oder dem Inhalt des Abfrageausdrucks zu suchen.

  3. Führen Sie einen der folgenden Schritte aus, um einen Abfrageausdruck zu prüfen:

    a. Klicken Sie auf die Zeile mit der Abfrage.

    b. Klicken Sie auf Mehr und wählen Sie Ansicht aus.

  4. Im Dialogfeld Abfragedetails sehen Sie die Abfrage sowie die Optionen zum Ausführen, Streamen oder Speichern unter:

    • So speichern Sie die Abfrage:

      1. Klicken Sie auf Speichern unter.
      2. Füllen Sie die Felder im Dialogfeld Abfrage speichern aus.

      Die bearbeitete Abfrage wird in der Liste Gespeichert angezeigt. Dort können Sie sie später ausführen.

    • Klicken Sie auf Ausführen, um die Abfrage jetzt auszuführen. Die Abfrage wird ausgeführt und im Feld „Abfrageeditor“ angezeigt.

    • Wenn Sie die Abfrage jetzt ausführen und die Ergebnisse streamen möchten, klicken Sie auf Stream.

    • Klicken Sie auf Schließen, um das Dialogfeld zu schließen und zur Liste der vorgeschlagenen Abfragen zurückzukehren.

Nächste Schritte