在日志浏览器中构建查询

本文档介绍如何在 Google Cloud Console 日志浏览器中构建查询以检索和分析日志。

如需详细了解如何在日志浏览器中进行查询,请参阅使用日志浏览器

准备工作

如需查看您从 Amazon Web Services (AWS) 帐号发送到 Logging 的日志,请在 Google Cloud Console 资源选择器中选择 AWS 连接器项目,然后使用日志浏览器。AWS 连接器项目会存储您的 AWS 帐号的 Amazon 资源名称 (ARN),并将您的 AWS 帐号关联到 Google Cloud 服务。如需了解详情,请参阅查看 AWS 帐号的指标

确保您具有使用日志浏览器构建查询的正确 Identity and Access Management 权限或角色。如需详细了解必要的 IAM 权限,请参阅通过 IAM 进行访问权限控制:控制台权限

开始

如需开始使用控制台构建查询,请导航至日志浏览器:

前往日志浏览器

选择要查看其日志的相应 Cloud 项目或其他 Google Cloud 资源。

构建查询

在日志浏览器中构建查询时,您主要使用查询窗格:

日志浏览器查询窗格

Query 窗格提供了多种构建和运行查询表达式的方法:

  • 在所有日志字段中搜索文本。
  • 从过滤条件菜单中选择所需选项。
  • 使用 Logging 查询语言编写高级查询。
  • 最近已保存建议标签页中查看、修改或运行查询。

下面几部分详细介绍了这些功能。

在日志字段中搜索文本

要在所有日志字段中搜索文本并查找所有匹配的日志条目,请在搜索字段中输入搜索字词:

查询窗格中的日志浏览器搜索字段。

如需查找包含短语的日志条目,请用引号括住搜索字词;您也可以在搜索表达式中使用布尔运算符。如需查看查询表达式中的搜索字词,请启用显示查询

输入搜索字词后,点击运行查询或按 Enter 键。查询结果会显示在查询结果窗格中。

布尔运算符

您的搜索字段条目会转换为布尔值表达式,以指定所选 Google Cloud 资源中所有日志条目的子集。

搜索字段支持使用布尔运算符 ANDORNOT。在搜索表达式中使用布尔运算符时,请注意以下事项:

  • 不得使用圆括号嵌套规则。系统会将搜索表达式中的所有括号解析为搜索字词。
  • 布尔值运算符必须大写。小写的 andornot 会被解析为搜索字词,而不是运算符。

如果您不添加任何运算符,则所有搜索字词和短语都会由 AND 连接。您可以省略搜索字词之间的 AND 运算符。

ANDOR 运算符是短路运算符。您可以在同一表达式中组合使用 ANDOR 规则。例如,混用两个运算符时,表达式 a AND b OR c AND d 会变成以下 Logging 查询语言表达式:

"a"
"b" OR "c"
"d"

NOT 运算符具有最高优先级,OR 次之,AND 最低。

NOT 运算符会对下一个字词取反。例如,NOT error 将返回不包含 error 的日志条目。您还可以将 NOT 运算符替换为 -(减号)运算符。例如,以下两个查询是相同的:

response AND successful AND NOT error
response successful -error

如果 -(减号)运算符不在引号内,此逻辑也适用于短语。例如,以下两个查询是相同的:

-"response successful"
NOT "response successful"

使用过滤条件菜单

您可以使用查询窗格中的过滤条件菜单将资源、日志名称和日志严重性参数添加到查询编辑器字段中。这些选项对应于 Logging 中所有日志的 LogEntry 字段。

查询编辑器的菜单

  • 资源:可让您指定 resource.type 以及关联的 resource.labels。您可以使用此过滤条件菜单选择单个资源类型,也可以为查询应用零个或多个资源类型。资源参数通过逻辑运算符 AND 连接。
  • 日志名称:允许您指定 logName。您可以选择多个日志名称以应用于您的查询。选择多个日志名称时,会使用逻辑运算符 OR
  • 严重程度:可让您指定严重程度。您可以同时选择多个严重级别进行添加,以应用到您的查询。选择多个严重级别时,会使用逻辑运算符 OR

如需使用任何过滤器菜单,请执行以下操作:

  1. 展开 Query 窗格中的任何过滤器菜单。

  2. 优化过滤条件参数。

  3. 点击应用。您会在查询编辑器字段中看到参数。

    要查看查询表达式中的搜索字词,请启用显示查询

  4. 查看查询后,点击运行查询。查询结果会显示在查询结果窗格中。

对于某些 Compute Engine 资源类型(例如 gce_instancegce_network),您会看到以资源 ID 作为辅助文本的资源名称。例如,对于 gce_instance 资源类型,您可以在虚拟机 ID 旁边看到虚拟机名称。资源名称有助于您确定要据以构建查询的正确资源 ID。

编写具有时间限制的查询

您可以通过以下两种方式根据时间查询日志:

  1. 使用时间范围选择器进行查询。
  2. 在查询编辑器字段中使用时间戳表达式进行查询。

如需快速查询秒、分钟、小时或天,请使用预设值,或使用时间范围选择器输入自定义时间范围。

如需直接向查询编辑器字段添加时间戳表达式,请使用 Logging 查询语言

如果查询编辑器字段包含带时间戳的表达式,则会停用时间范围选择器,并且查询会将时间戳表达式用作其时间范围限制。如果查询不使用时间戳表达式,则会使用该时间范围选择器作为其时间范围限制。

使用时间范围选择器

通过时间范围选择器,您可以按时间范围限制查询结果:

查询窗格中的时间范围选择器。

如需使用时间范围选择器,请执行以下操作:

  1. 点击查询窗格中的时间范围选择器。

  2. 选择您要查看其日志的相应时间范围。

  3. 点击应用。您会在查询编辑器字段中看到参数。

    查询结果窗格会根据您选择的时间范围进行调整。

默认时间范围是 1 小时。您可以使用跳转到指定时间选项,将时间范围限制在特定时间戳的中心。

您可以从时间范围选择器中设置区域偏好设置,包括日期和时间格式:

  1. 选择输入自定义范围
  2. 选择更改日期与时间格式
  3. 语言和区域菜单中,更新您的偏好设置。
  4. 点击保存

    刷新浏览器后,您希望使用的日期和时间格式会显示在日志浏览器中。

使用 Logging 查询语言编写高级查询

您可以使用 Logging 查询语言在日志浏览器查询编辑器字段中构建更高级的查询:

  1. 如果您在查询窗格中没有看到查询编辑器字段,请启用显示查询

  2. 直接在查询编辑器字段中输入查询表达式。

    如果您在搜索字段中添加了任何搜索字词或选择了过滤条件菜单中的任何参数,则这些搜索字词也会显示在查询编辑器字段中,并作为查询表达式的一部分进行评估。

  3. 检查查询后,点击运行查询

    与查询匹配的日志列在查询结果窗格下。直方图日志字段窗格也会根据查询表达式进行调整。

如需了解您想要使用的常见查询示例,请参阅使用日志浏览器的查询示例

使用近期查询

当您运行任何查询时,该查询都会添加到“最近”查询列表,其中包含 30 天内的最后 10000 次唯一查询。

如需查看近期查询,请在查询窗格中选择最近标签页。 在我最近用过标签页中,您可以执行以下操作:

  • 流式传输:要运行查询并流式传输结果,请选择此选项。
  • 运行:要运行查询,请选择此选项。
  • 更多选项 :可让您查看查询表达式以及用于运行查询或将其保存到已保存查询列表的选项。您也可以直接选择查询来获取这些选项。

    如需保存查询,请执行以下操作:

    1. 点击另存为。系统会打开保存查询对话框。
    2. 填写以下字段:

      • Name(必填):为您的查询提供一个名称。名称不得超过 64 个字符。
      • 说明(可选):提供说明以帮助标识查询的用途。
      • 包含摘要字段(可选):启用包含摘要字段,然后输入要显示的摘要字段
      • 截断摘要字段(可选):启用截断摘要字段,然后选择要截断的字符数,以及是在字段的开头还是末尾处执行截断操作。
    3. 点击保存查询。您现在可以在“已保存的查询”列表中找到该查询。

您还可以对最近查询进行排序和过滤;过滤器与查询表达式中的文本匹配。

保存查询

Query 窗格有一个 Saved 标签页,您可以在其中访问已保存的查询。已保存的查询可让您存储查询表达式,以便更一致、更高效地探索日志。

如需保存您在查询编辑器字段中构建的查询表达式,请执行以下操作:

  1. 点击查询窗格中的保存。系统会打开保存查询对话框,其中查询表达式位于查询编辑器字段中。

  2. 填写以下字段:

    • Name(必填):为您的查询提供一个名称。名称不得超过 64 个字符。
    • 说明(可选):提供说明以帮助标识查询的用途。
    • 包含摘要字段(可选):启用包含摘要字段,然后输入要显示的摘要字段
    • 截断摘要字段(可选):启用截断摘要字段,然后选择要截断的字符数,以及是在字段的开头还是末尾处执行截断操作。
    1. 点击保存查询。已保存的查询会显示在已保存标签页下的列表中。

如需运行已保存的查询,请点击运行。如需运行查询并流式传输结果,请点击流式传输

您还可以对已保存的查询进行排序和过滤;该过滤条件与查询表达式中的文本匹配。

共享查询

通过共享查询,Cloud 项目的用户可以互相共享已保存的查询。您可以在已保存标签页中查看共享的查询。

如需了解查看和修改共享查询所需的角色和权限,请参阅控制台权限。请注意,具有 IAM 角色 roles/logging.adminroles/editor 的用户可以修改其他用户的共享查询。

创建共享查询

您可以共享已保存的查询,也可以共享新查询。

如需创建和共享查询,请执行以下操作:

  1. 在查询编辑器字段中输入查询。

  2. 点击保存

  3. 填写保存查询对话框中的字段。

  4. 启用与项目共享

  5. 点击保存查询

您的查询现已与 Cloud 项目的其他用户共享。

如需共享已保存的查询,请执行以下操作:

  1. 选择已保存标签页。

  2. 选择更多选项 &gt修改 ,或直接选择该查询。

  3. 修改查询对话框中,启用与项目共享,然后点击更新查询

您的查询现已与 Cloud 项目的其他用户共享。

查看共享查询

如需快速查看所有共享查询,请对公开范围列进行排序以首先显示共享查询:

  1. 选择已保存标签页。

  2. 点击全部

  3. 公开范围列进行排序。

公开范围列指明了是否共享查询以及如何共享:

  • 由我共享:您保存并与 Cloud 项目的其他用户共享的查询。
  • 共享:Cloud 项目的其他用户共享的查询。
  • 不公开:您已保存但未与 Cloud 项目的其他用户共享的查询。

仅查看查询

如需查看您创建或分享的已保存查询,请点击我的查询。您现在会看到您已创建并保存的查询列表。在公开范围列中,您可以看到未共享的不公开查询。您共享的查询通过由我共享表示。

使用建议的查询

Logging 会根据您的 Cloud 项目的上下文(例如您正在使用的 Google Cloud 产品)生成建议的查询。建议的查询可帮助您发现问题并为您提供系统总体运行状况的数据洞见。例如,检测您是否正在使用 Google Kubernetes Engine,日志记录可能会建议一个查询来查找您的容器的所有错误日志。

如需查看和运行建议的查询,请在查询窗格中选择建议标签页。建议标签页会显示一系列查询,其中每个查询都包含说明和以下选项:

  • 流式传输:要运行查询并流式传输结果,请选择此选项。
  • 运行:要运行查询,请选择此选项。
  • 更多选项 :可让您查看查询表达式的详细信息,并提供用于运行查询或保存查询的选项。您也可以直接选择查询来获取这些选项。

    如需查看建议查询的详细信息,请执行以下任一操作:

    • 选择该查询所在的行。

    • 点击更多 ,然后选择查看。系统会打开查询详情对话框。

    查询详情对话框中,您可以看到该查询以及运行流式传输另存为选项:

    • 如需保存查询,请执行以下操作:

      1. 点击另存为
      2. 填写保存查询对话框中的字段。

      修改后的查询会显示在已保存列表中,您可在此处选择稍后运行查询。

    • 如需立即运行查询,请点击运行。该查询会运行并出现在查询编辑器字段中。

    • 如需立即运行查询并流式传输结果,请点击流式传输

    • 如需关闭该对话框并返回到建议的查询列表,请点击关闭

请注意以下预期行为:

  • 连续的网页加载可能不会以相同的顺序显示相同的查询。
  • 您可能会看到 0 个建议的查询。
  • 有时,运行建议的查询不会返回任何日志。

从库中选择查询

Logging 根据常见使用场景和 Google Cloud 产品提供查询库。这些查询可帮助您在时间关键的问题排查会话期间高效查找日志,并浏览您的日志以更好地了解有哪些日志记录数据可用。

要查看并运行库的查询,请执行以下操作:

  1. Query 窗格中选择 Library 标签页。

  2. 所有查询列中,您可以看到广泛类别的可用查询和基于 Google Cloud 产品的查询子集。如需缩小显示的查询选择范围,请点击任意产品。

    您还可以使用搜索字段,按类别、说明或查询表达式的内容来搜索可用查询。

  3. 如需查看查询表达式,请执行以下任一操作:

    a. 点击该查询所在的行。

    b. 点击更多 并选择查看

  4. 查询详情对话框中,您可以看到该查询以及运行流式传输另存为选项:

    • 如需保存查询,请执行以下操作:

      1. 点击另存为
      2. 填写保存查询对话框中的字段。

      修改后的查询会显示在已保存列表中,您可在此处选择稍后运行查询。

    • 如需立即运行查询,请点击运行。该查询会运行并出现在查询编辑器字段中。

    • 如需立即运行查询并流式传输结果,请点击流式传输

    • 如需关闭该对话框并返回到建议的查询列表,请点击关闭