Créer des requêtes à l'aide du langage de requête Logging

Restez organisé à l'aide des collections Enregistrez et classez les contenus selon vos préférences.

Ce document explique comment récupérer et analyser les journaux lorsque vous utilisez l'explorateur de journaux. Vous récupérez les journaux en écrivant et en exécutant des requêtes. Vous pouvez créer des requêtes en effectuant des sélections à partir des menus de filtrage, en utilisant les options incluses avec les entrées de journal et en utilisant le champ de l'éditeur de requête. Les requêtes que vous créez sont écrites dans le langage de requête Logging.

Avant de commencer

  • Pour créer des requêtes, vous devez être autorisé à lire les données des journaux. Ces autorisations sont incluses dans le rôle Lecteur de journaux (roles/logging.viewer). Pour en savoir plus sur les autorisations IAM nécessaires, consultez Contrôle des accès avec IAM: autorisations pour la console Google Cloud.

  • Pour partager des requêtes, votre rôle Identity and Access Management doit inclure l'autorisation logging.queries.share. Cette autorisation est incluse dans les rôles Propriétaire (roles/owner) et Administrateur Logging (roles/logging.admin).

    Pour obtenir la liste des autorisations associées à chaque rôle Logging, consultez la section Rôles Logging.

Créer des requêtes

Pour créer des requêtes à l'aide de la console Google Cloud, procédez comme suit:

  1. Accédez à l'explorateur de journaux :

    Accéder à l'explorateur de journaux

  2. Sélectionnez le projet Cloud ou une autre ressource Google Cloud dont vous souhaitez afficher les journaux.

    Pour afficher les journaux que vous envoyez à Logging depuis un compte Amazon Web Services (AWS), sélectionnez le projet de connecteur AWS dans le sélecteur de ressources de la console Google Cloud, puis utilisez l'explorateur de journaux. Le projet de connecteur AWS stocke le nom de ressource Amazon (ARN) de votre compte AWS et associe votre compte AWS aux services Google Cloud. Pour en savoir plus, consultez la section Afficher les métriques pour les comptes AWS.
  3. Utilisez le volet Requête pour créer votre requête.

    Volet de requête de l'explorateur de journaux.

    Le volet Requête propose plusieurs façons de créer et d'exécuter des expressions de requête:

    • Recherchez du texte dans tous les champs de journal.
    • Sélectionnez des options dans les menus de filtrage.
    • Écrire ou modifier des requêtes à l'aide de l'éditeur de requête
    • Affichez, modifiez ou exécutez les requêtes dans les onglets Récents, Enregistrés, Suggérés et Bibliothèque.

Rechercher du texte dans les champs de journaux

Pour rechercher du texte dans tous les champs de journal et trouver toutes les entrées de journal correspondantes, saisissez vos termes de recherche dans le champ de recherche:

Champ de recherche de l'explorateur de journaux dans le volet de requête.

Pour rechercher les entrées de journal contenant une expression, placez les termes de recherche entre guillemets. Vous pouvez également utiliser des opérateurs booléens et des expressions régulières dans vos expressions de recherche.

Pour afficher vos termes de recherche dans l'expression de requête, activez Afficher la requête.

Après avoir saisi les termes de recherche, cliquez sur Exécuter la requête ou appuyez sur la touche Entrée. Les résultats de la requête sont affichés dans le volet Query results (Résultats de la requête).

Opérateurs booléens

Vos entrées de champ de recherche sont converties en expressions booléennes qui spécifient un sous-ensemble de toutes les entrées de journal de la ressource Google Cloud sélectionnée.

Le champ de recherche accepte l'utilisation des opérateurs booléens AND, OR et NOT. Lorsque vous utilisez des opérateurs booléens dans vos expressions de recherche, tenez compte des points suivants:

  • Vous ne pouvez pas utiliser de parenthèses pour imbriquer des règles. Toutes les parenthèses de l'expression de recherche sont analysées en tant que termes de recherche.
  • Vous devez mettre les majuscules des opérateurs booléens. and, or et not en minuscules sont analysés en tant que termes de recherche, et non en tant qu'opérateurs.

Si vous n'incluez aucun opérateur, tous les termes et expressions de recherche sont joints par AND. Vous pouvez omettre l'opérateur AND entre les termes de recherche.

Les opérateurs AND et OR sont des opérateurs de court-circuit. Vous pouvez combiner les règles AND et OR dans la même expression. Par exemple, lorsque les deux opérateurs sont mélangés, l'expression a AND b OR c AND d se transforme en l'expression de langage de requête Logging suivante:

"a"
"b" OR "c"
"d"

L'opérateur NOT possède la priorité la plus élevée, suivi de OR et AND.

L'opérateur NOT effectue une négation du terme suivant. Par exemple, NOT error renvoie les entrées de journal qui ne contiennent pas error. Vous pouvez également remplacer l'opérateur NOT par l'opérateur - (moins). Par exemple, les deux requêtes suivantes sont identiques:

response AND successful AND NOT error
response successful -error

Cette logique fonctionne également avec une expression si l'opérateur - (moins) se trouve en dehors des guillemets. Par exemple, les deux requêtes suivantes sont identiques:

-"response successful"
NOT "response successful"

Créer des requêtes avec des menus de filtrage

Vous pouvez utiliser les menus de filtrage du volet Requête pour ajouter des paramètres de ressource, de nom de journal et de gravité de journal au champ de l'éditeur de requête. Ces options correspondent aux champs LogEntry de tous les journaux dans Logging.

Les options des menus Resource (Ressource) et Log name (Nom du journal) n'affichent que les journaux actuellement stockés dans Cloud Logging.

Menus de filtrage de l'éditeur de requête

  • Ressource : permet de spécifier le type de ressource (resource.type) et le champ resource.labels associé. Vous pouvez sélectionner un seul type de ressource à l'aide de ce menu de filtre, et zéro ou plusieurs étiquettes de ressource à appliquer à votre requête. Les paramètres de ressource sont associés par l'opérateur logique AND.
  • Log name (Nom de journal) : permet de spécifier le logName. Vous pouvez sélectionner plusieurs noms de journaux à appliquer à votre requête. Lorsque vous sélectionnez plusieurs noms de journaux, l'opérateur logique OR est utilisé.
  • Severity(Gravité) : permet de spécifier le niveau de gravité. Vous pouvez sélectionner plusieurs niveaux de gravité à ajouter simultanément pour les appliquer à votre requête. Lorsque vous sélectionnez plusieurs niveaux de gravité, l'opérateur logique OR est utilisé.

Pour utiliser l'un des menus de filtrage, procédez comme suit:

  1. Développez dans l'un des menus de filtrage du volet Requête.

  2. Affinez les paramètres de filtre.

  3. Cliquez sur Appliquer. Les paramètres s'affichent dans le champ de l'éditeur de requête.

    Pour afficher vos termes de recherche dans l'expression de requête, activez Afficher la requête.

  4. Après avoir examiné la requête, cliquez sur Run query (Exécuter la requête). Les résultats de la requête sont affichés dans le volet Résultats de la requête.

Pour certains types de ressources Compute Engine, tels que gce_instance et gce_network, le nom de la ressource s'affiche avec l'ID de ressource en tant que sous-texte. Par exemple, pour le type de ressource gce_instance, le nom de la VM s'affiche à côté de l'ID de la VM. Les noms de ressources vous aident à identifier l'ID de ressource sur lequel vous pouvez créer des requêtes.

Écrire des requêtes avec des restrictions temporelles

Deux méthodes permettent d'interroger les journaux en fonction de la date :

  1. Effectuez une requête à l'aide du sélecteur de période.
  2. Requête utilisant une expression d'horodatage dans le champ de l'éditeur de requête.

Pour effectuer une requête rapidement sur des secondes, des minutes, des heures ou des jours, utilisez les valeurs prédéfinies ou saisissez une période personnalisée à l'aide du sélecteur de période.

Pour ajouter une expression d'horodatage directement dans le champ de l'éditeur de requête, utilisez le langage de requête Logging.

Si le champ de l'éditeur de requête contient une expression avec un horodatage, le sélecteur de période est désactivé et la requête utilise l'expression d'horodatage comme restriction de période. Si une requête n'utilise pas d'expression d'horodatage, elle utilise le sélecteur de période comme restriction de période.

Utiliser le sélecteur de période

Le sélecteur de période vous permet de limiter les résultats de requête par période:

Sélecteur de période dans le volet de requête.

La période sélectionnée s'applique au champ timestamp d'une entrée de journal.

Pour utiliser le sélecteur de période, procédez comme suit:

  1. Cliquez sur le sélecteur de période dans le volet Requête.

  2. Sélectionnez la période pour laquelle vous souhaitez afficher les journaux.

  3. Cliquez sur Appliquer. Les paramètres s'affichent dans le champ de l'éditeur de requête.

    Le volet Résultats de la requête s'ajuste en fonction de la période que vous avez sélectionnée.

La période par défaut est d'une heure. Vous pouvez utiliser l'option Avancer dans le temps pour restreindre et centrer la période autour d'un horodatage spécifique.

Vous pouvez définir vos préférences régionales, y compris la mise en forme de la date et de l'heure, dans le sélecteur de période:

  1. Sélectionnez Saisir une plage personnalisée.
  2. Sélectionnez Modifier le format de date et d'heure.
  3. Modifiez vos préférences dans le menu Langue et région.
  4. Cliquez sur Enregistrer.

    Une fois votre navigateur actualisé, le format de date et d'heure de votre choix s'affiche dans l'explorateur de journaux.

Écrire des requêtes avancées à l'aide du langage de requête Logging

Vous pouvez utiliser le langage de requête Logging pour créer des requêtes plus avancées dans le champ de l'éditeur de requête de l'explorateur de journaux:

  1. Si vous ne voyez pas le champ d'éditeur de requête dans le volet Requête, activez Afficher la requête.

  2. Saisissez vos expressions de requête directement dans le champ de l'éditeur de requête.

    Si vous avez ajouté des termes de recherche dans le champ de recherche ou sélectionné des paramètres dans les menus de filtrage, ceux-ci apparaissent également dans le champ de l'éditeur de requête et sont évalués dans votre expression de requête.

  3. Après avoir examiné votre requête, cliquez sur Run query (Exécuter la requête).

    Les journaux correspondant à votre requête sont répertoriés dans le volet Résultats de la requête. Les volets Histogramme et Champs de journal s'ajustent également en fonction de l'expression de requête.

Pour obtenir des exemples de requêtes courantes que vous pouvez utiliser, consultez la page Exemples de requêtes avec l'explorateur de journaux.

Utiliser les requêtes récentes

Lorsque vous exécutez une requête, elle est ajoutée à votre liste de requêtes Récentes, qui contient les 10 000 dernières requêtes uniques enregistrées sur une période de 30 jours.

Pour afficher vos requêtes récentes, sélectionnez l'onglet Récentes dans le volet Requête. Dans l'onglet Récents, vous disposez des options suivantes:

  • Flux: choisissez cette option pour exécuter la requête et diffuser les résultats.
  • Exécuter: choisissez cette option pour exécuter la requête.
  • Plus d'options : permet d'afficher l'expression de requête avec les options permettant d'exécuter la requête ou de l'enregistrer dans votre liste de requêtes Saved (Enregistrées). Vous pouvez aussi directement sélectionner la requête pour obtenir ces options.

    Pour enregistrer la requête, procédez comme suit:

    1. Cliquez sur Enregistrer sous. La boîte de dialogue Enregistrer la requête s'ouvre.
    2. Remplissez les champs suivants :

      • Nom (obligatoire): indiquez un nom pour votre requête. Les noms ne doivent pas dépasser 64 caractères.
      • Description (facultatif) : fournissez une description vous permettant d'identifier l'objectif de la requête.
      • Inclure des champs de résumé (Facultatif) Activez l'option Inclure des champs de résumé, puis saisissez les champs de résumé que vous souhaitez afficher.
      • Tronquer les champs de résumé (Facultatif) Activez l'option Troncate summary fields (Tronquer les champs de résumé), puis sélectionnez le nombre de caractères à tronquer et spécifiez si les champs sont tronqués au début ou à la fin des champs.
    3. Cliquez sur Enregistrer la requête. La requête est maintenant disponible dans la liste des requêtes enregistrées.

Vous pouvez également trier et filtrer vos requêtes récentes. Le filtre correspond au texte de votre expression de requête.

Enregistrer les requêtes

Le volet Requête comporte un onglet Enregistré, qui vous permet d'accéder à vos requêtes enregistrées. Les requêtes enregistrées vous permettent de stocker des expressions de requête pour vous aider à explorer vos journaux de manière plus cohérente et efficace.

Pour enregistrer une expression de requête créée dans le champ de l'éditeur de requête, procédez comme suit:

  1. Cliquez sur Enregistrer dans le volet Requête. La boîte de dialogue Enregistrer la requête s'ouvre et affiche l'expression de requête dans le champ de l'éditeur de requête.

  2. Remplissez les champs suivants :

    • Nom (obligatoire): indiquez un nom pour votre requête. Les noms ne doivent pas dépasser 64 caractères.
    • Description (facultatif) : fournissez une description vous permettant d'identifier l'objectif de la requête.
    • Inclure des champs de résumé (Facultatif) Activez l'option Inclure des champs de résumé, puis saisissez les champs de résumé que vous souhaitez afficher.
    • Tronquer les champs de résumé (Facultatif) Activez l'option Troncate summary fields (Tronquer les champs de résumé), puis sélectionnez le nombre de caractères à tronquer et spécifiez si les champs sont tronqués au début ou à la fin des champs.
    1. Cliquez sur Enregistrer la requête. Vos requêtes enregistrées s'affichent dans une liste sous l'onglet Enregistrées.

Pour exécuter une requête enregistrée, cliquez sur Exécuter. Pour exécuter la requête et diffuser les résultats, cliquez sur Flux.

Vous pouvez également trier et filtrer vos requêtes enregistrées. Le filtre correspond au texte de votre expression de requête.

Partager des requêtes

Les requêtes partagées permettent aux utilisateurs d'un projet Cloud de partager leurs requêtes enregistrées. Vous pouvez afficher les requêtes partagées dans l'onglet Enregistrées.

Pour connaître les rôles et les autorisations nécessaires pour afficher et modifier des requêtes partagées, consultez la section Autorisations de la console Google Cloud. Notez que les utilisateurs disposant du rôle IAM roles/logging.admin ou roles/editor peuvent modifier les requêtes partagées d'autres utilisateurs.

Créer une requête partagée

Vous pouvez partager une requête que vous avez déjà enregistrée ou une nouvelle requête.

Pour créer et partager une requête, procédez comme suit:

  1. Saisissez une requête dans le champ de l'éditeur de requête.

  2. Cliquez sur Enregistrer.

  3. Renseignez les champs de la boîte de dialogue Enregistrer la requête.

  4. Activez l'option Share with project.

  5. Cliquez sur Enregistrer la requête.

Votre requête est désormais partagée avec d'autres utilisateurs du projet Cloud.

Pour partager une requête déjà enregistrée, procédez comme suit:

  1. Sélectionnez l'onglet Saved (Éléments enregistrés).

  2. Sélectionnez Plus d'options > Modifier , ou sélectionnez la requête directement.

  3. Dans la boîte de dialogue Modifier la requête, activez Partager avec le projet, puis cliquez sur Mettre à jour la requête.

Votre requête est désormais partagée avec d'autres utilisateurs du projet Cloud.

Afficher les requêtes partagées

Pour afficher rapidement toutes les requêtes partagées, triez la colonne Visibility pour afficher d'abord les requêtes partagées:

  1. Sélectionnez l'onglet Saved (Éléments enregistrés).

  2. Cliquez sur All (Tous).

  3. Triez la colonne Visibility.

La colonne Visibilité indique si et comment les requêtes sont partagées:

  • Partagées par moi : requêtes que vous avez enregistrées et partagées avec d'autres utilisateurs du projet Cloud.
  • Partagées : requêtes partagées par d'autres utilisateurs du projet Cloud.
  • Privées: requêtes que vous avez enregistrées et que vous n'avez pas partagées avec d'autres utilisateurs du projet Cloud

Afficher uniquement vos requêtes

Pour afficher les requêtes enregistrées que vous avez créées ou partagées, cliquez sur Ma liste. La liste des requêtes que vous avez créées et enregistrées s'affiche. Dans la colonne Visibility, vos requêtes non partagées s'affichent dans Private. Les requêtes que vous avez partagées sont indiquées par Shared by me.

Utiliser les requêtes suggérées

Logging génère des requêtes suggérées en fonction du contexte de votre projet Cloud, par exemple des produits Google Cloud que vous utilisez. Les requêtes suggérées peuvent vous aider à identifier les problèmes et à obtenir des insights sur l'état général de vos systèmes. Par exemple, en détectant que vous utilisez Google Kubernetes Engine, Logging peut suggérer une requête permettant de trouver tous les journaux d'erreurs de vos conteneurs.

Pour afficher et exécuter des requêtes suggérées, sélectionnez l'onglet Suggestions dans le volet Requête. L'onglet Suggestions contient une liste de requêtes, chacune avec des descriptions et les options suivantes:

  • Flux : choisissez cette option pour exécuter la requête et diffuser les résultats.
  • Exécuter: choisissez cette option pour exécuter la requête.
  • Plus d'options : permet d'afficher les détails de l'expression de requête avec les options permettant d'exécuter la requête ou de l'enregistrer. Vous pouvez aussi directement sélectionner la requête pour obtenir ces options.

    Pour examiner les détails d'une requête suggérée, effectuez l'une des opérations suivantes:

    • Sélectionnez la ligne de la requête.

    • Cliquez sur Plus et sélectionnez Afficher. La boîte de dialogue Détails de la requête s'ouvre.

    Dans la boîte de dialogue Détails de la requête, la requête et les options Exécuter, Flux ou Enregistrer sous s'affichent :

    • Pour enregistrer la requête, procédez comme suit:

      1. Cliquez sur Enregistrer sous.
      2. Renseignez les champs de la boîte de dialogue Enregistrer la requête.

      La requête modifiée apparaît dans la liste Enregistré, où vous pouvez choisir d'exécuter la requête ultérieurement.

    • Pour exécuter la requête maintenant, cliquez sur Run (Exécuter). La requête s'exécute et apparaît dans le champ de l'éditeur de requête.

    • Pour exécuter la requête maintenant et diffuser les résultats, cliquez sur Flux.

    • Pour fermer la boîte de dialogue et revenir à la liste des requêtes suggérées, cliquez sur Fermer.

Notez les comportements attendus suivants:

  • Les chargements de page suivants peuvent ne pas afficher les mêmes requêtes dans le même ordre.
  • Il est possible qu'aucune suggestion de requête ne s'affiche.
  • Parfois, l'exécution d'une requête suggérée ne renvoie aucun journal.

Sélectionner des requêtes dans la bibliothèque

Logging fournit une bibliothèque de requêtes basées sur des cas d'utilisation courants et des produits Google Cloud. Ces requêtes peuvent vous aider à trouver efficacement les journaux lors de sessions de dépannage urgentes et à les explorer pour mieux comprendre les données de journalisation disponibles.

Pour afficher et exécuter les requêtes de la bibliothèque, procédez comme suit:

  1. Sélectionnez l'onglet Bibliothèque dans le volet Requête.

  2. La colonne Toutes les requêtes contient des catégories générales de requêtes et de sous-ensembles de requêtes basées sur les produits Google Cloud. Pour affiner la sélection de requêtes affichées, cliquez sur l'un des produits.

    Vous pouvez également utiliser le champ de recherche pour rechercher les requêtes disponibles par catégorie, description ou contenu de l'expression de requête.

  3. Pour examiner une expression de requête, effectuez l'une des opérations suivantes:

    a. Cliquez sur la ligne de la requête.

    b. Cliquez sur Plus et sélectionnez View (Afficher).

  4. Dans la boîte de dialogue Détails de la requête, vous voyez la requête et les options Run (Exécuter), Stream (Flux) ou Save As (Enregistrer sous) :

    • Pour enregistrer la requête, procédez comme suit:

      1. Cliquez sur Enregistrer sous.
      2. Renseignez les champs de la boîte de dialogue Enregistrer la requête.

      La requête modifiée apparaît dans la liste Enregistré, où vous pouvez choisir d'exécuter la requête ultérieurement.

    • Pour exécuter la requête maintenant, cliquez sur Run (Exécuter). La requête s'exécute et apparaît dans le champ de l'éditeur de requête.

    • Pour exécuter la requête maintenant et diffuser les résultats, cliquez sur Flux.

    • Pour fermer la boîte de dialogue et revenir à la liste des requêtes suggérées, cliquez sur Fermer.

Étapes suivantes