Créer des requêtes dans l'explorateur de journaux

Ce document explique comment créer des requêtes dans l'explorateur de journaux de Google Cloud Console afin de récupérer et d'analyser les journaux.

Pour plus d'informations sur l'utilisation de l'explorateur de journaux, consultez la page Utiliser l'explorateur de journaux.

Avant de commencer

Pour afficher les journaux que vous envoyez depuis un compte Amazon Web Services (AWS) à Logging, sélectionnez le projet de connecteur AWS dans le sélecteur de ressources Google Cloud Console, puis utilisez l'explorateur de journaux. Le projet de connecteur AWS stocke le nom de ressource Amazon (ARN) de votre compte AWS et associe votre compte AWS aux services Google Cloud. Pour en savoir plus, consultez la section Afficher les métriques pour les comptes AWS.

Vérifiez que vous disposez des autorisations ou du rôle Identity and Access Management appropriés pour créer des requêtes à l'aide de l'explorateur de journaux. Pour en savoir plus sur les autorisations IAM nécessaires, consultez la page Contrôle des accès avec IAM: autorisations de la console.

Premiers pas

Pour commencer à créer des requêtes à l'aide de la console, accédez à l'explorateur de journaux:

Accéder à l'explorateur de journaux

Sélectionnez le projet Cloud ou l'autre ressource Google Cloud pour lesquels vous souhaitez afficher les journaux.

Créer des requêtes

Lorsque vous créez des requêtes dans l'explorateur de journaux, vous utilisez principalement le volet Query (Requête) :

Volet de requête de l'explorateur de journaux

Le volet Query (Requête) propose plusieurs façons de créer et d'exécuter des expressions de requête:

  • Rechercher du texte dans tous les champs de journal
  • Sélectionnez des options dans les menus de filtre.
  • Rédigez des requêtes avancées à l'aide du langage de requête Logging.
  • Affichez, modifiez ou exécutez les requêtes dans les onglets Récents, Enregistrés, Suggérés et Bibliothèque.

Les sections suivantes décrivent ces fonctionnalités plus en détail.

Rechercher du texte dans les champs de journal

Pour rechercher du texte dans tous les champs de journal et identifier toutes les entrées de journal correspondantes, saisissez vos termes de recherche dans le champ de recherche:

Champ de recherche de l'explorateur de journaux dans le volet de requête.

Pour rechercher les entrées de journal contenant une expression, placez les termes de recherche entre guillemets, ou utilisez des opérateurs booléens dans vos expressions de recherche. Pour afficher vos termes de recherche dans l'expression de requête, activez Afficher la requête.

Après avoir saisi vos termes de recherche, cliquez sur Exécuter la requête ou appuyez sur la touche Entrée. Les résultats de la requête sont affichés dans le volet Query results (Résultats de la requête).

Opérateurs booléens

Vos entrées de champs de recherche sont converties en expressions booléennes indiquant un sous-ensemble de toutes les entrées de journal de la ressource Google Cloud sélectionnée.

Le champ de recherche permet d'utiliser les opérateurs booléens AND, OR et NOT. Lorsque vous utilisez des opérateurs booléens dans vos expressions de recherche, tenez compte des éléments suivants:

  • N'utilisez pas de parenthèses pour imbriquer des règles. Toutes les parenthèses de l'expression de recherche sont analysées en tant que termes de recherche.
  • Vous devez mettre des majuscules au niveau des opérateurs booléens. Les minuscules and, or et not sont analysées en tant que termes de recherche et non en tant qu'opérateurs.

Si vous n'incluez aucun opérateur, tous les termes et expressions de recherche sont joints par AND. Vous pouvez omettre l'opérateur AND entre les termes de recherche.

Les opérateurs AND et OR sont des opérateurs de court-circuit. Vous pouvez combiner des règles AND et OR dans la même expression. Par exemple, lorsque les deux opérateurs sont mélangés, l'expression a AND b OR c AND d se transforme en l'expression de langage de requête Logging suivante:

"a"
"b" OR "c"
"d"

L'opérateur NOT possède la priorité la plus élevée, suivi de OR et AND.

L'opérateur NOT effectue une négation du terme suivant. Par exemple, NOT error renvoie les entrées de journal qui ne contiennent pas error. Vous pouvez également remplacer l'opérateur NOT par l'opérateur - (moins). Par exemple, les deux requêtes suivantes sont identiques:

response AND successful AND NOT error
response successful -error

Cette logique fonctionne également avec une expression si l'opérateur - (moins) se trouve en dehors des guillemets. Par exemple, les deux requêtes suivantes sont identiques:

-"response successful"
NOT "response successful"

Utiliser les menus des filtres

Vous pouvez utiliser les menus de filtrage du volet Query (Requête) pour ajouter des paramètres de ressource, de nom de journal et de gravité du journal au champ de l'éditeur de requête. Ces options correspondent aux champs de LogEntry de tous les journaux dans Logging.

Menus de filtrage pour l'éditeur de requête

  • Resource (Ressource) : permet de spécifier le resource.type et le resource.labels associé. Vous pouvez sélectionner un seul type de ressource à l'aide de ce menu de filtrage, et zéro ou plusieurs libellés de ressources à appliquer à votre requête. Les paramètres de ressources sont joints par l'opérateur logique AND.
  • Log name (Nom de journal) : permet de spécifier le logName. Vous pouvez sélectionner plusieurs noms de journaux à appliquer à la requête. Lorsque vous sélectionnez plusieurs noms de journaux, l'opérateur logique OR est utilisé.
  • Severity(Gravité) : permet de spécifier le niveau de gravité. Vous pouvez sélectionner plusieurs niveaux de gravité à ajouter simultanément à appliquer à votre requête. Lorsque vous sélectionnez plusieurs niveaux de gravité, l'opérateur logique OR est utilisé.

Pour utiliser l'un des menus de filtrage, procédez comme suit:

  1. Développez l'un des menus de filtrage dans le volet Query (Requête).

  2. Affinez les paramètres de filtre.

  3. Cliquez sur Appliquer. Les paramètres s'affichent dans le champ de l'éditeur de requête.

    Pour afficher vos termes de recherche dans l'expression de requête, activez Afficher la requête.

  4. Après avoir examiné la requête, cliquez sur Run query (Exécuter la requête). Les résultats de la requête s'affichent dans le volet Query results (Résultats de la requête).

Pour certains types de ressources Compute Engine, tels que gce_instance et gce_network, le nom de la ressource s'affiche avec l'ID de ressource en tant que sous-texte. Par exemple, pour le type de ressource gce_instance, le nom de la VM s'affiche à côté de l'ID de la VM. Les noms de ressources vous permettent d'identifier l'ID de ressource sur lequel vous pouvez créer des requêtes.

Écrire des requêtes avec des restrictions de temps

Deux méthodes permettent d'interroger les journaux en fonction de la date :

  1. Requête à l'aide du sélecteur de période
  2. Exécutez une requête à l'aide d'une expression d'horodatage dans le champ "Query-editor".

Pour interroger rapidement des secondes, des minutes, des heures ou des jours, utilisez les valeurs prédéfinies ou saisissez une période personnalisée à l'aide du sélecteur de période.

Pour ajouter une expression d'horodatage directement dans le champ de l'éditeur de requête, utilisez le langage de requête Logging.

Si le champ de l'éditeur de requête contient une expression avec un horodatage, le sélecteur de période est désactivé et la requête utilise l'expression d'horodatage comme restriction de période. Si une requête n'utilise pas d'expression d'horodatage, elle utilise le sélecteur de période comme restriction de période.

Utiliser le sélecteur de période

Le sélecteur de période vous permet de limiter les résultats de la requête par période:

Sélecteur de période dans le volet de requête.

Pour utiliser le sélecteur de période, procédez comme suit:

  1. Cliquez sur le sélecteur de période dans le volet Query (Requête).

  2. Sélectionnez la période pour laquelle vous souhaitez afficher les journaux.

  3. Cliquez sur Appliquer. Les paramètres s'affichent dans le champ de l'éditeur de requête.

    Le volet Query results (Résultats de la requête) s'ajuste à la période que vous avez sélectionnée.

La période par défaut est d'une heure. Vous pouvez utiliser l'option Heure de référence pour restreindre et centrer la période autour d'un horodatage spécifique.

Vous pouvez définir vos préférences régionales, y compris la mise en forme de la date et de l'heure, à partir du sélecteur de période:

  1. Sélectionnez Saisir une plage personnalisée.
  2. Sélectionnez Modifier la date et l'heure.
  3. Mettez à jour vos préférences dans le menu Langue et région.
  4. Cliquez sur Save (Enregistrer).

    Une fois le navigateur actualisé, le format de date et d'heure de votre choix apparaît dans l'explorateur de journaux.

Écrire des requêtes avancées à l'aide du langage de requête Logging

Vous pouvez utiliser le langage de requête Logging pour créer des requêtes plus avancées dans le champ de l'éditeur de requête de l'explorateur de journaux:

  1. Si vous ne voyez pas le champ d'éditeur de requête dans le volet Query (Requête), activez Show query (Afficher la requête).

  2. Saisissez vos expressions de requête directement dans le champ de l'éditeur de requête.

    Si vous avez ajouté des termes de recherche dans le champ de recherche ou sélectionné des paramètres dans les menus de filtre, ils apparaissent également dans le champ de l'éditeur de requête et sont évalués en tant qu'expression de requête.

  3. Après avoir examiné votre requête, cliquez sur Run query.

    Les journaux correspondant à votre requête sont répertoriés dans le volet Résultats de la requête. {0}Histogrammeet les champs de journal sont également ajustés en fonction de l'expression de requête.

Pour obtenir des exemples de requêtes courantes que vous pouvez utiliser, consultez la page Exemples de requêtes avec l'explorateur de journaux.

Utiliser des requêtes récentes

Lorsque vous exécutez une requête, celle-ci est ajoutée à votre liste de requêtes Récentes, qui contient les 10 000 dernières requêtes uniques sur une période de 30 jours.

Pour afficher vos requêtes récentes, sélectionnez l'onglet Recent (Récents) dans le volet Query (Requête). Dans l'onglet Récents, vous avez le choix entre les options suivantes:

  • Flux: pour exécuter la requête et diffuser les résultats, choisissez cette option.
  • Run (Exécuter) : pour exécuter la requête.
  • Plus d'options : vous permet d'afficher l'expression de requête avec les options pour exécuter la requête ou l'enregistrer dans votre liste de requêtes enregistrées. Vous pouvez aussi directement sélectionner la requête pour obtenir ces options.

    Pour enregistrer la requête, procédez comme suit:

    1. Cliquez sur Enregistrer sous. La boîte de dialogue Save query (Enregistrer la requête) s'ouvre.
    2. Remplissez les champs suivants :

      • Nom (obligatoire): saisissez un nom pour votre requête. Les noms sont limités à 64 caractères.
      • Description (facultatif) : fournissez une description vous permettant d'identifier l'objectif de la requête.
      • Inclure des champs de résumé (facultatif): activez l'option Inclure des champs de résumé et saisissez les champs de résumé que vous souhaitez afficher.
      • Tronquer récapitulatif des champs (facultatif): activez l'option Tronquer les champs de résumé et sélectionnez le nombre de caractères à tronquer, et indiquez si la troncation commence au début ou à la fin des champs.
    3. Cliquez sur Enregistrer la requête. La requête est maintenant disponible dans la liste des requêtes enregistrées.

Vous pouvez également trier et filtrer vos requêtes récentes. Le filtre correspond au texte de votre expression de requête.

Enregistrer les requêtes

Le volet Query (Requête) comporte un onglet Saved (Enregistré), où vous pouvez accéder à vos requêtes enregistrées. Les requêtes enregistrées vous permettent de stocker des expressions de requête pour vous aider à explorer vos journaux de manière plus cohérente et efficace.

Pour enregistrer une expression de requête créée dans le champ d'éditeur de requête, procédez comme suit:

  1. Cliquez sur Save (Enregistrer) dans le volet Query (Requête). La boîte de dialogue Save query (Enregistrer la requête) s'ouvre avec votre expression de requête dans le champ de l'éditeur de requête.

  2. Remplissez les champs suivants :

    • Nom (obligatoire): saisissez un nom pour votre requête. Les noms sont limités à 64 caractères.
    • Description (facultatif) : fournissez une description vous permettant d'identifier l'objectif de la requête.
    • Inclure des champs de résumé (facultatif): activez l'option Inclure des champs de résumé et saisissez les champs de résumé que vous souhaitez afficher.
    • Tronquer récapitulatif des champs (facultatif): activez l'option Tronquer les champs de résumé et sélectionnez le nombre de caractères à tronquer, et indiquez si la troncation commence au début ou à la fin des champs.
    1. Cliquez sur Enregistrer la requête. Vos requêtes enregistrées apparaissent dans une liste sous l'onglet Enregistré.

Pour exécuter une requête enregistrée, cliquez sur Exécuter. Pour exécuter la requête et diffuser les résultats, cliquez sur Stream.

Vous pouvez également trier et filtrer vos requêtes enregistrées. Le filtre correspond au texte de votre expression de requête.

Partager des requêtes

Les requêtes partagées permettent aux utilisateurs d'un projet Cloud de partager leurs requêtes enregistrées. Vous pouvez afficher les requêtes partagées dans l'onglet Enregistré.

Pour connaître les rôles et les autorisations nécessaires pour afficher et modifier les requêtes partagées, consultez la section Autorisations de la console. Notez que les utilisateurs disposant du rôle IAM roles/logging.admin ou roles/editor peuvent modifier les autres utilisateurs et les requêtes partagées.

Créer une requête partagée

Vous pouvez partager des requêtes que vous avez déjà enregistrées ou en partager une nouvelle.

Pour créer et partager une requête:

  1. Saisissez une requête dans le champ de l'éditeur de requête.

  2. Cliquez sur Save (Enregistrer).

  3. Remplissez les champs de la boîte de dialogue Enregistrer la requête.

  4. Activez l'option Share with project.

  5. Cliquez sur Enregistrer la requête.

Votre requête est maintenant partagée avec d'autres utilisateurs du projet Cloud.

Pour partager une requête déjà enregistrée, procédez comme suit:

  1. Sélectionnez l'onglet Saved (Éléments enregistrés).

  2. Sélectionnez Plus d'options > Modifier , ou sélectionnez la requête directement.

  3. Dans la boîte de dialogue Edit query (Modifier la requête), activez Share with project (Partager avec le projet), puis cliquez sur Update query (Mettre à jour la requête).

Votre requête est maintenant partagée avec d'autres utilisateurs du projet Cloud.

Afficher les requêtes partagées

Pour afficher rapidement toutes les requêtes partagées, triez la colonne Visibility pour afficher d'abord les requêtes partagées:

  1. Sélectionnez l'onglet Saved (Éléments enregistrés).

  2. Cliquez sur All (Tous).

  3. Triez la colonne Visibility.

La colonne Visibilité indique si et comment les requêtes sont partagées:

  • Shared by me (Partagées par moi) : requêtes que vous avez enregistrées et partagées avec d'autres utilisateurs du projet Cloud.
  • Shared : requêtes que d'autres utilisateurs du projet Cloud ont partagées.
  • Privé: requêtes que vous avez enregistrées et que vous n'avez pas partagées avec d'autres utilisateurs du projet Cloud.

Afficher uniquement vos requêtes

Pour afficher les requêtes enregistrées que vous avez créées ou partagées, cliquez sur Ma requête. La liste des requêtes que vous avez créées et enregistrées s'affiche. Dans la colonne Visibility, vos requêtes non partagées s'affichent dans Private. Les requêtes que vous avez partagées sont indiquées par Shared by me.

Utiliser les requêtes suggérées

Logging génère des requêtes suggérées en fonction du contexte de votre projet Cloud, tel que les produits Google Cloud que vous utilisez. Les requêtes suggérées peuvent vous aider à identifier les problèmes et à obtenir des insights sur l'état général de vos systèmes. Par exemple, la détection que vous utilisez Google Kubernetes Engine peut vous suggérer une requête permettant de trouver tous les journaux d'erreurs de vos conteneurs.

Pour afficher et exécuter des requêtes suggérées, sélectionnez l'onglet Suggestions dans le volet Query (Requête). L'onglet Suggestions affiche la liste des requêtes, chacune avec une description et les options suivantes:

  • Flux: pour exécuter la requête et diffuser les résultats, choisissez cette option.
  • Run (Exécuter) : pour exécuter la requête.
  • Autres options : permet d'afficher les détails de l'expression de requête, ainsi que les options permettant d'exécuter la requête ou de l'enregistrer. Vous pouvez aussi directement sélectionner la requête pour obtenir ces options.

    Pour examiner les détails d'une requête suggérée, effectuez l'une des opérations suivantes:

    • Sélectionnez la ligne de requête.

    • Cliquez sur Plus et sélectionnez Afficher. La boîte de dialogue Query details (Détails de la requête) s'ouvre.

    Dans la boîte de dialogue Query details (Détails de la requête), la requête et les options pour Run (Exécuter), Stream (Flux) ou Save As (Enregistrer sous) s'affichent:

    • Pour enregistrer la requête, procédez comme suit:

      1. Cliquez sur Enregistrer sous.
      2. Remplissez les champs de la boîte de dialogue Enregistrer la requête.

      La requête modifiée apparaît dans votre liste Enregistrée, où vous pouvez choisir d'exécuter la requête plus tard.

    • Pour exécuter la requête maintenant, cliquez sur Run (Exécuter). La requête s'exécute et apparaît dans le champ de l'éditeur de requête.

    • Pour exécuter la requête maintenant et diffuser les résultats, cliquez sur Stream.

    • Pour fermer la boîte de dialogue et revenir à la liste des requêtes suggérées, cliquez sur Fermer.

Notez les comportements attendus suivants:

  • Les chargements de page successifs peuvent ne pas afficher les mêmes requêtes dans le même ordre.
  • Vous ne verrez peut-être aucune requête suggérée.
  • Parfois, l'exécution d'une requête suggérée ne renvoie aucun journal.

Sélectionner des requêtes dans la bibliothèque

Logging fournit une bibliothèque de requêtes basées sur des cas d'utilisation courants et des produits Google Cloud. Ces requêtes peuvent vous aider à trouver efficacement les journaux lors des sessions de dépannage urgentes et à les explorer pour mieux comprendre quelles données sont disponibles.

Pour afficher et exécuter les requêtes de la bibliothèque, procédez comme suit:

  1. Sélectionnez l'onglet Library (Bibliothèque) dans le volet Query (Requête).

  2. Dans la colonne Toutes les requêtes, vous trouverez les grandes catégories de requêtes et de sous-ensembles de requêtes disponibles, basés sur les produits Google Cloud. Pour affiner la sélection de requêtes affichées, cliquez sur un produit.

    Vous pouvez également utiliser le champ de recherche pour rechercher les requêtes disponibles par catégorie, description ou contenu de l'expression de requête.

  3. Pour examiner une expression de requête, effectuez l'une des opérations suivantes:

    a. Cliquez sur la ligne de la requête.

    b. Cliquez sur Plus et sélectionnez View (Afficher).

  4. La boîte de dialogue Query details (Détails de la requête) affiche la requête et les options Run (Exécuter), Stream (Flux) ou Save As (Enregistrer sous) :

    • Pour enregistrer la requête, procédez comme suit:

      1. Cliquez sur Enregistrer sous.
      2. Remplissez les champs de la boîte de dialogue Enregistrer la requête.

      La requête modifiée apparaît dans votre liste Enregistrée, où vous pouvez choisir d'exécuter la requête plus tard.

    • Pour exécuter la requête maintenant, cliquez sur Run (Exécuter). La requête s'exécute et apparaît dans le champ de l'éditeur de requête.

    • Pour exécuter la requête maintenant et diffuser les résultats, cliquez sur Stream.

    • Pour fermer la boîte de dialogue et revenir à la liste des requêtes suggérées, cliquez sur Fermer.