Beispielabfragen

Dieses Dokument enthält Vorschläge für Abfragen, mit denen Sie wichtige Logs mit dem Log-Explorer in der Google Cloud Console leichter finden können. Die aufgeführten Abfragen sind in der Logging-Abfragesprache geschrieben und können im Log-Explorer, der Logging API oder der Befehlszeile verwendet werden.

Im Log-Explorer werden boolesche Ausdrücke verwendet, um eine Teilmenge aller Logeinträge in Ihrem Projekt anzugeben. Sie können diese Abfragen verwenden, um Logeinträge aus bestimmten Logs oder Logdiensten oder solche auszuwählen, die Bedingungen für Metadaten oder benutzerdefinierte Felder erfüllen.

Hinweise

Zum Aufrufen der Logs, die Sie von einem Amazon Web Services-Konto (AWS) an Logging senden, wählen Sie in der Ressourcenauswahl der Google Cloud Console das AWS-Connector-Projekt aus und verwenden dann den Log-Explorer. Das AWS-Verbindungsprojekt speichert den ANR (Amazon Resource Name) für Ihr AWS-Konto und verknüpft Ihr AWS-Konto mit Google Cloud-Diensten. Weitere Informationen finden Sie unter Messwerte aus AWS-Konten erfassen.

Prüfen Sie, ob Sie die erforderlichen Identity and Access Management-Berechtigungen oder -Rollen zum Erstellen von Abfragen mit dem Log-Explorer haben. Weitere Informationen zu den erforderlichen IAM-Berechtigungen finden Sie unter Berechtigungen für die Google Cloud Console.

Mehr erfahren

Wählen Sie im Navigationsbereich der Google Cloud Console Logging und anschließend Log-Explorer aus:
Zum Log-Explorer
Wählen Sie das entsprechende Google Cloud-Projekt oder eine andere Google Cloud-Ressource aus, für die Sie Logs ansehen möchten.

Beispielabfragen verwenden

Klicken Sie zum Anwenden einer Abfrage aus den folgenden Tabellen auf das Symbol Inhaltskopie für den Ausdruck und fügen Sie den kopierten Ausdruck in das Feld für den Abfrageeditor im Log-Explorer ein:

Der Query Editor zeigt an, wo eine Abfrage eingegeben werden kann

Wenn das Feld des Abfrageeditors nicht angezeigt wird, aktivieren Sie Abfrage anzeigen.

Nachdem Sie den Abfrageausdruck überprüft haben, klicken Sie auf Abfrage ausführen. Logs, die Ihrer Abfrage entsprechen, werden dann unter Abfrageergebnisse aufgeführt.

Einige der weiter unten auf dieser Seite aufgeführten Abfragen enthalten Variablen, die Sie durch gültige Werte ersetzen sollten. Wenn eine Abfrage beispielsweise logName enthält, muss sich die von Ihnen angegebene PROJECT_ID auf das aktuell ausgewählte Google Cloud-Projekt beziehen. Andernfalls funktioniert die Abfrage nicht.

Wichtige Hinweise:

Bei einer Abfrage mit einem Zeitstempel ist die Zeitraumauswahl deaktiviert und die Abfrage verwendet den Zeitstempelausdruck als Zeitraumbeschränkung. Wenn eine Abfrage keinen Zeitstempelausdruck verwendet, verwendet sie die Zeitraumauswahl als Zeitraumbeschränkung.
Die Länge einer Abfrage darf 20.000 Zeichen nicht überschreiten.
Bei der Logging-Abfragesprache wird mit Ausnahme regulärer Ausdrücke nicht zwischen Groß- und Kleinschreibung unterschieden.
Sie können die Funktion log_id für Abfragen mit einem log_name-Ausdruck verwenden. Der Ausdruck log_name="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access" ist beispielsweise mit log_id("cloudaudit.googleapis.com/data_access") identisch. Weitere Informationen zur Funktion log_id finden Sie unter Logging-Abfragesprache: Funktionen.

Eine Anleitung zu Abfragen in der Google Cloud Console finden Sie unter Abfragen im Log-Explorer erstellen.

In den folgenden Abschnitten sind die Abfragen nach Google Cloud-Diensten gruppiert.

App Engine-Abfragen

Abfrage-/Filtername	Ausdruck
App Engine-Logs von Silvester (in UTC-Zeit)	resource.type="gae_app" AND severity>=ERROR AND timestamp>="2018-12-31T00:00:00Z" AND timestamp<="2019-01-01T00:00:00Z"
App Engine-Anfragelogs mit Serverfehlern	resource.type="gae_app" AND log_id("appengine.googleapis.com/request_log") AND httpRequest.status>=500
Abgerufene HTTP-Fehlerlogs	resource.type="gae_app" AND protoPayload.status >= 400 AND sample(insertId, 0.1)
Nach App Engine-Trace-ID suchen	resource.type="gae_app" AND trace="projects/`PROJECT_ID`/traces/`TRACE_ID`"
App Engine-Logs	resource.type="gae_app" AND resource.labels.module_id="`MODULE_ID`" AND resource.labels.version_id="`VERSION_ID`"
Letzte App Engine-Bereitstellungen	resource.type="gae_app" AND protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog" AND protoPayload.serviceName="appengine.googleapis.com"

Abfragen über die API aktivieren und deaktivieren

Abfrage-/Filtername	Ausdruck
Audit API-Aktivierungslogs	protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.EnableService"
Deaktivierungsprotokolle der Audit API	protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.DisableService"

BigQuery-Abfragen

Abfrage-/Filtername	Ausdruck
BigQuery-Audit-Logs	resource.type=("bigquery_dataset" OR "bigquery_project") AND logName:"cloudaudit.googleapis.com"
BigQuery-Audit-Logs für ein Projekt	resource.type="bigquery_project" AND logName:"cloudaudit.googleapis.com"
BigQuery-Audit-Logs für ein Dataset	resource.type="bigquery_dataset" AND logName:"cloudaudit.googleapis.com"
BigQuery-Audit-Logs für das BI Engine-Modell	resource.type="bigquery_biengine_model" AND logName:"cloudaudit.googleapis.com"
BigQuery-Audit-Logs für eine Data Transfer Service-Ausführung.	resource.type="bigquery_dts_run" AND logName:"cloudaudit.googleapis.com"
BigQuery-Audit-Logs für eine Data Transfer Service-Konfiguration.	resource.type="bigquery_dts_config" AND logName:"cloudaudit.googleapis.com"
Jobs in BigQuery Data Transfer Service	resource.type=("bigquery_project") AND protoPayload.requestMetadata.callerSuppliedUserAgent= "BigQuery Data Transfer Service" AND protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR "google.cloud.bigquery.v2.JobService.Query")
Logs zu BigQuery-Übertragungsausführungen	resource.type="bigquery_dts_config" AND labels.run_id="`RUN_ID`" AND resource.labels.config_id="`CONFIG_ID`"
Aktualisierungen von BigQuery-Datasets	resource.type="bigquery_dataset" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName= "google.cloud.bigquery.v2.DatasetService.UpdateDataset"
Abgeschlossene Jobs in BigQuery	resource.type="bigquery_project" AND log_id("cloudaudit.googleapis.com/data_access") AND protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR "google.cloud.bigquery.v2.JobService.Query")
Große BigQuery-Abfragen	resource.type="bigquery_project" AND protoPayload.metadata.jobChange.job.jobStats.queryStats.totalBilledBytes > 1073741824
Überschrittenes Kontingent in BigQuery	resource.type=("bigquery_dataset" OR "bigquery_project") AND protoPayload.status.code=8 AND severity>=WARNING
Gestartete BigQuery-Abfrage	resource.type="bigquery_project" AND protoPayload.metadata.jobInsertion.reason:*
Gleichzeitige BigQuery-Jobs zum Laden/Extrahieren	resource.type="bigquery_resource" AND protoPayload.methodName="jobservice.insert" AND protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query: "extract"

Dataflow-Abfragen

Abfrage-/Filtername	Ausdruck
Fehler und Warnungen in Dataflow-Workern	resource.type="dataflow_step" AND log_id("dataflow.googleapis.com/worker") AND severity>=WARNING

Dataproc-Abfragen

Abfrage-/Filtername	Ausdruck
Apache Hadoop-Logs in Dataproc	resource.type="cloud_dataproc_cluster" AND jsonPayload.class:"org.apache.hadoop.mapreduce"

Cloud Deployment Manager

Abfrage-/Filtername	Ausdruck
Fehler in Deployment Manager	resource.type="deployment" AND severity>=ERROR

Cloud Functions-Abfragen

Abfrage-/Filtername	Ausdruck
Fehler in Cloud Functions	resource.type="cloud_function" AND log_id("cloudfunctions.googleapis.com/cloud-functions") AND severity>=ERROR

Cloud Monitoring-Abfragen

Abfrage-/Filtername	Ausdruck
Alle Fehler für den Benachrichtigungskanal anzeigen	resource.type="stackdriver_notification_channel" AND severity>=ERROR
Fehler aufgrund von Drosselung für Benachrichtigungskanäle anzeigen	resource.type="stackdriver_notification_channel" AND severity>=ERROR AND jsonPayload.summary="Notification delivery throttled."
Logs anzeigen, die von der Verfügbarkeitsressource geschrieben wurden	resource.type="uptime_url"
Vom Verfügbarkeitsdiagnose-Dienst erhaltene Anfragen anzeigen	"GoogleStackdriverMonitoring-UptimeChecks"

Cloud Run-Abfragen

Abfrage-/Filtername	Ausdruck
Cloud Run-Logs für einen bestimmten Job	resource.type="cloud_run_job" AND resource.labels.service_name="`JOB_NAME`"
Cloud Run-Logs für eine bestimmte Version und einen bestimmten Dienst	resource.type="cloud_run_revision" AND resource.labels.service_name="`SERVICE_NAME`"

Cloud Source Repositories-Abfragen

Abfrage-/Filtername	Ausdruck
Logs für Cloud Source Repositories	resource.type="csr_repository" AND resource.labels.name="`REPOSITORY_NAME`"

Spanner-Abfragen

Abfrage-/Filtername	Ausdruck
Cloud Spanner-Logs für spezifische Spanner-Instanzen	resource.type="spanner_instance" AND resource.labels.instance_id="`SPANNER_INSTANCE`"

Cloud SQL-Abfragen

Abfrage-/Filtername	Ausdruck
Cloud SQL-Audit-Logs	resource.type="cloudsql_database" AND resource.labels.database_id="`DATABASE_ID`" AND log_id("cloudaudit.googleapis.com/activity")
MySQL-Fehlerlogs in Cloud SQL	resource.type="cloudsql_database" AND log_id("cloudsql.googleapis.com/mysql.err")
MySQL-basierte Datenbanken in Cloud SQL	resource.type="cloudsql_database" AND resource.labels.database_id="`DATABASE_ID`" AND log_id("cloudsql.googleapis.com/mysql")
Postgres-basierte Datenbanken in Cloud SQL	resource.type="cloudsql_database" AND resource.labels.database_id="`DATABASE_ID`" AND log_id("cloudsql.googleapis.com/postgres.log")
SQL Server-Fehlerlogs in Cloud SQL	resource.type="cloudsql_database" AND log_id("cloudsql.googleapis.com/sqlserver.err")
SQL Server-basierte Datenbanken in Cloud SQL	resource.type="cloudsql_database" AND resource.labels.database_id="`DATABASE_ID`" AND log_id("cloudsql.googleapis.com/sqlagent.out")

Cloud Storage-Abfragen

Abfrage-/Filtername	Ausdruck
Bucket-Logs in GCS	resource.type="gcs_bucket" AND resource.labels.bucket_name="`BUCKET_NAME`"
Bucket-Audit-Logs in GCS	resource.type="gcs_bucket" AND logName:"cloudaudit.googleapis.com"
Bucket-Erstellungslogs in GCS	resource.type="gcs_bucket" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.method_name="storage.buckets.create"
Logs zu gelöschten Buckets in GCS	resource.type="gcs_bucket" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.method_name="storage.buckets.delete"

Cloud Tasks-Abfragen

Abfrage-/Filtername	Ausdruck
Aufgabenwarteschlangenlogs in Cloud Tasks	resource.type="cloud_tasks_queue" AND resource.labels.queue_id="`QUEUE_ID`"

Compute Engine-Abfragen

Abfrage-/Filtername	Ausdruck
Logs zur Administratoraktivität in Compute Engine	resource.type="gce_instance" AND log_id("cloudaudit.googleapis.com/activity")
Compute Engine-Firewallregel löschen	resource.type="gce_firewall_rule" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"firewalls.delete"
VM-Syslogs in Compute Engine	resource.type="gce_instance" AND log_id("syslog")
Compute Engine-VM-Authentifizierungslogs	resource.type="gce_instance" AND log_id("authlog")
Compute Engine-Hostfehler	resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName:"OnHostMaintenance" OR operation.producer:"OnHostMaintenance") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="`INSTANCE_ID`" severity=INFO
Compute Engine-Host migriert	resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName: "compute.instances.migrateOnHostMaintenance" OR operation.producer: "compute.instances.migrateOnHostMaintenance") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="`INSTANCE_ID`" severity=INFO
Compute Engine-VM beendet/vorzeitig beendet	resource.type="gce_instance" protoPayload.methodName= ~"compute\.instances\.(guestTerminate\|preempted)" log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="`INSTANCE_ID`"
Compute Engine-VM-Instanz erstellt	resource.type="gce_instance" protoPayload.methodName:"compute.instances.insert" log_id("cloudaudit.googleapis.com/activity") protoPayload.request.name="`INSTANCE_NAME`"
Compute Engine-VM-Instanz mit Namen gelöscht	resource.type="gce_instance" protoPayload.methodName:"compute.instances.delete" log_id("cloudaudit.googleapis.com/activity") protoPayload.resourceName:"`INSTANCE_NAME`"
Compute Engine-VM-Instanz mit ID gelöscht	resource.type="gce_instance" protoPayload.methodName:"compute.instances.delete" log_id("cloudaudit.googleapis.com/activity") resource.labels.instance_id="`INSTANCE_ID`"
Compute Engine-VM-Instanz neu gestartet	resource.type="gce_instance" protoPayload.methodName=~"compute\.instances\.( stop\|reset\|automaticRestart\|guestTerminate\| instanceManagerHaltForRestart)" (log_id("cloudaudit.googleapis.com/activity") OR log_id("cloudaudit.googleapis.com/system_event")) resource.labels.instance_id="`INSTANCE_ID`"
Shielded VM-Bootintegritätsfehler in Compute Engine	resource.type="gce_instance" log_id("compute.googleapis.com/shielded_vm_integrity") jsonPayload.earlyBootReportEvent.policyEvaluationPassed="false" resource.labels.instance_id="`INSTANCE_ID`"
Compute Engine-VM-Instanz durch Gastbetriebssystem beendet	resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName:"compute.instances.guestTerminate" OR operation.producer:"compute.instances.guestTerminate") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="`INSTANCE_ID`" severity=INFO
Shielded VM-Bootdatei von Compute Engine wurde blockiert	resource.type="gce_instance" log_id("serialconsole.googleapis.com/serial_port_1_output") textPayload:("Security Violation") resource.labels.instance_id="`INSTANCE_ID`"
Nichtflüchtiger Speicher erstellt	resource.type="gce_disk" AND protoPayload.methodName:"compute.disks.insert" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.resourceName: "`PERSISTENT_DISK_NAME`"
Knoten im Knoten für einzelne Mandanten hinzugefügt	resource.type="gce_node_group" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName=~("compute.nodeGroups.addNodes" OR "compute.nodeGroups.insert") resource.labels.node_group_id="`NODE_GROUP_ID`" severity="INFO"
Autoscaling-Ereignisse im Knoten für einzelne Mandanten	resource.type="gce_node_group" log_id("cloudaudit.googleapis.com/system_event") protoPayload.methodName=~("compute.nodeGroups.deleteNodes" OR "compute.nodeGroups.addNodes") resource.labels.node_group_id="`NODE_GROUP_ID`"
Manuell aufgenommen	resource.type="gce_snapshot" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.snapshots.insert" protoPayload.resourceName:"`SNAPSHOT_NAME`"
Geplanter Snapshot erstellt	resource.type="gce_disk" log_id("cloudaudit.googleapis.com/system_event") protoPayload.methodName="ScheduledSnapshots" protoPayload.response.operationType="createSnapshot" protoPayload.response.targetLink="`PERSISTENT_DISK_NAME`"
Snapshot-Zeitplan erstellt	resource.type="gce_resource_policy" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.resourcePolicies.insert" protoPayload.request.name="`SCHEDULE_NAME`"
Snapshot-Zeitplan angehängt	resource.type="gce_disk" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.disks.addResourcePolicies" protoPayload.request.resourcePolicys:"`SCHEDULE_NAME`" protoPayload.resourceName:"`PERSISTENT_DISK_NAME`"
Kontingent überschritten	resource.type="gce_instance" protoPayload.methodName:"compute.instances.insert" protoPayload.status.message:"QUOTA_EXCEEDED" severity=ERROR
Fehlerhafte Instanzen in Instanzgruppe abfragen	resource.type="gce_instance_group" resource.labels.instance_group_name="`INSTANCE_GROUP_NAME"` jsonPayload.healthCheckProbeResult.healthState="UNHEALTHY"
Instanzgruppenmitglieder innerhalb eines Zeitraums im UTC-Zeitformat abfragen	resource.type="gce_instance_group_manager" resource.labels.instance_group_manager_name="`INSTANCE_GROUP_NAME`" jsonPayload.@type= "type.googleapis.com/compute.InstanceGroupManagerEvent" jsonPayload.instanceHealthStateChange.detailedHealthState="HEALTHY" timestamp >= `START_TIME` timestamp <= `END_TIME`
Instanzen aus Instanzgruppe entfernt	resource.type="gce_instance_group" protoPayload.methodName:"compute.instanceGroups.removeInstances" log_id("cloudaudit.googleapis.com/activity") resource.labels.instance_group_name="`INSTANCE_GROUP_NAME`"
Instanzvorlagen festgelegt oder aktualisiert	resource.type="gce_instance_group_manager" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName= "v1.compute.instanceGroupManagers.setInstanceTemplate" resource.labels.instance_group_manager_name="`INSTANCE_GROUP_MANAGER`"
Firewallregel wurde gelöscht	resource.type="gce_firewall_rule" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"firewalls.delete"
Firewalllogs	resource.type="gce_subnetwork" log_id("compute.googleapis.com/firewall") jsonPayload.instance.vm_name="`INSTANCE_NAME`"

Google Cloud-Beobachtbarkeitsabfragen

Abfrage-/Filtername	Ausdruck
Logs zu Senkenaktivitäten	resource.type="logging_sink" AND log_id("cloudaudit.googleapis.com/activity")
Aktivitäten zur Erstellung oder Aktualisierung logbasierter Messwerte	resource.type="metric" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:(UpdateLogMetric OR CreateLogMetric)
URL-Verfügbarkeitsprüfung nach Host	resource.type="uptime_url" AND resource.labels.host="`URL`"

Abfrage-/Filtername

Ausdruck

Logs zu Senkenaktivitäten


resource.type="logging_sink" AND
log_id("cloudaudit.googleapis.com/activity")

Aktivitäten zur Erstellung oder Aktualisierung logbasierter Messwerte


resource.type="metric" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:(UpdateLogMetric OR CreateLogMetric)

URL-Verfügbarkeitsprüfung nach Host


resource.type="uptime_url" AND
resource.labels.host="URL"

Abfragen der Identitäts- und Zugriffsverwaltung

Abfrage-/Filtername	Ausdruck
Logs zur Erstellung von Dienstkonten	resource.type="service_account" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.iam.admin.v1.CreateServiceAccount"
Schlüssellogs zur Erstellung von Dienstkonten	resource.type="service_account" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.iam.admin.v1.CreateServiceAccountKey"
Logs für Zugriffssteuerungsrichtlinien	resource.type="project" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="SetIamPolicy"
Externes Hauptkonto mit Zugriff auf die Organisation	resource.type="project" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog" AND protoPayload.request.@type:"IamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:* AND NOT protoPayload.serviceData.policyDelta.bindingDeltas.member:"@`DOMAIN_NAME`.com"
Ressourcen erstellen, ändern oder löschen	log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:("create" OR "delete" OR "update")
Dem Hauptkonto gewährte Rolle	log_id("cloudaudit.googleapis.com/activity") AND resource.type="project" AND protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.action="Add" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:"`EMAIL_ID`"
Rolle aus Hauptkonto entfernt	log_id("cloudaudit.googleapis.com/activity") AND resource.type="project" AND protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.action="Remove" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:"`EMAIL_ID`"
Berechtigung in einer benutzerdefinierten Rolle aktualisiert	log_id("cloudaudit.googleapis.com/activity") AND resource.type="iam_role" AND protoPayload.serviceName="iam.googleapis.com" AND protoPayload.methodName:"UpdateRole" AND resource.labels.role_name:"`ROLE_ID`"

Kubernetes-bezogene Abfragen

Eine Übersicht und Beispiele für Audit-Logabfragen zu Administratoraktivitäten finden Sie auf der Seite zum GKE-Audit-Logging.

Abfragen auf Clusterebene

Abfrage-/Filtername	Ausdruck
Google Kubernetes Engine-Clustervorgänge	resource.type="gke_cluster" AND log_id("cloudaudit.googleapis.com/activity")
Google Kubernetes Engine-Cluster erstellen	resource.type="gke_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.container.v1.ClusterManager.CreateCluster"
Kubernetes-Clusterbereitstellung	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"deployments"
Fehler bei Kubernetes-Clusterauthentifizierung	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.authenticationInfo.principalEmail="system:anonymous"
Kubernetes-Clustervorgänge und Ereignisse in `us-central1-b`	resource.type="k8s_cluster" AND resource.labels.location="us-central1-b"
Kubernetes Pod-Anfragen von Nutzern	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"io.k8s.core.v1.pods" AND protoPayload.authenticationInfo.principalEmail="`USER_EMAIL`"
Kubernetes-Ereignisse	resource.type="k8s_cluster" AND log_id("events")
Kubernetes-Endpunkt-Update	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.request.kind="Endpoints"
Logs der Steuerungsebene in Kubernetes	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.serviceName="k8s.io"
Logs der Steuerungsebene in Kubernetes	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.serviceName="container.googleapis.com"
Pod löschen	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName=~"io\.k8s\.core\.v1\.pods\.(create\|delete)"
Kubernetes-Pod-Audit-Logs der Steuerungsebene	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.resourceName="core/v1/namespaces/`POD_NAMESPACE`/pods/`POD_NAME`
Kubernetes-Pods entfernen	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="io.k8s.core.v1.pods.eviction.create"
Audit-Logs zu Kubernetes-Knoten der Steuerungsebene	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"io.k8s.core.v1.nodes"
Steuerungsebene des Kubernetes-Clusters für Addon-Manager-Aktivitäten	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.authenticationInfo.principalEmail="system:addon-manager"
Fehler auf Kubernetes-Steuerungsebene (ohne `Conflict`, was normal ist)	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.status.message!="Conflict" AND protoPayload.status.code!=0
Ingress-Controller-Ereignisse	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="loadbalancer-controller"
Service Controller-Ereignisse (kube-controller-manager)	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="service-controller"
Cluster Autoscaler-Ereignisse	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="cluster-autoscaler"

Abfragen auf Pod-Ebene

Filtername	Ausdruck
Pod während der Erstellung abfragen	resource.type="k8s_pod" AND resource.labels.pod_name="`POD_NAME`" AND log_id("events")
Abfrage-Pod aufgrund von Ressourcenauslastung beendet	resource.type="k8s_pod" AND log_id("events") AND jsonPayload.reason="Evicted"
Planer-Ereignisse	resource.type="k8s_pod" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="default-scheduler"
Planer-Ereignisse (vorzeitiges Beenden)	resource.type="k8s_pod" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="default-scheduler" AND jsonPayload.reason="Preempted"

Abfragen auf Knotenebene

Filtername	Ausdruck
Knotenereignisse	resource.type="k8s_node" AND log_id("events")
Kube-Proxy-Logs aufrufen	resource.type="k8s_node" AND log_id("kube-proxy")
Dockerd-Logs aufrufen	resource.type="k8s_node" AND log_id("container-runtime")
Kubelet-Fehler oder -Ausfälle aufrufen	resource.type="k8s_node" AND log_id("kubelet") AND jsonPayload.MESSAGE:("error" OR "fail")
Knotenlogs für GKE-Systemlogs aufrufen	resource.type = "k8s_node" logName:( "logs/container-runtime" OR "logs/docker" OR "logs/kube-container-runtime-monitor" OR "logs/kube-logrotate" OR "logs/kube-node-configuration" OR "logs/kube-node-installation" OR "logs/kubelet" OR "logs/kubelet-monitor" OR "logs/node-journal" OR "logs/node-problem-detector")

Namespace-Abfragen

Filtername	Ausdruck
Container- und Pod-Logs für GKE-Systemlogs	resource.type = ("k8s_container" OR "k8s_pod") resource.labels.namespace_name = ( "cnrm-system" OR "config-management-system" OR "gatekeeper-system" OR "gke-connect" OR "gke-system" OR "istio-system" OR "knative-serving" OR "monitoring-system" OR "kube-system")

Filtername

Ausdruck

Container- und Pod-Logs für GKE-Systemlogs


resource.type = ("k8s_container" OR "k8s_pod")
resource.labels.namespace_name = (
"cnrm-system" OR
"config-management-system" OR
"gatekeeper-system" OR
"gke-connect" OR
"gke-system" OR
"istio-system" OR
"knative-serving" OR
"monitoring-system" OR
"kube-system")

Containerabfragen

Filtername	Ausdruck
Stdout-Containerlogs für alle Pods und Container in einem Cluster	resource.type="k8s_container" AND log_id("stdout")
Containerfehlerlogs für alle Pods und Container in einem Cluster	resource.type="k8s_container" AND log_id("stderr") AND severity=ERROR
Containerfehlerlogs für einen Pod mit einem bestimmten Namen	resource.type="k8s_container" AND resource.labels.pod_name="`POD_NAME`" AND severity=ERROR
Containerfehlerlogs für einen bestimmten Container in einem bestimmten Pod	resource.type="k8s_container" AND resource.labels.pod_name="`POD_NAME`" AND resource.labels.container_name="server" AND severity=ERROR
Containerfehlerlogs für einen bestimmten Namespace und einen bestimmten Container	resource.type="k8s_container" AND resource.labels.namespace_name="istio-system" AND resource.labels.container_name="egressgateway" AND severity=ERROR
Containerlogs für einen Pod mit einem bestimmten Label	resource.type="k8s_container" AND labels."k8s-pod/app"="loadgenerator" AND severity=ERROR
Containerfehlerlogs für Pods, die auf einem bestimmten Knoten ausgeführt werden	resource.type="k8s_container" AND labels."compute.googleapis.com/resource_name"=NODE_NAME AND severity=ERROR
Containerlogs für einen Pod mit einem Label, das mit Skaffold generiert wurde	resource.type="k8s_container" AND labels."k8s-pod/app"="loadgenerator" AND labels."k8s-pod/skaffold_dev/run-id"=`SKAFFOLD_RUN_ID` severity=ERROR
Containerfehlerlogs für einen bestimmten Pod mit einem `POST` im textPayload	resource.type="k8s_container" AND resource.labels.pod_name="`POD_NAME`" AND textPayload:"POST" AND severity=ERROR
Container-Fehlerlogs für einen bestimmten Pod, der in der strukturierten JSON-Datei einen `GET` enthält	resource.type="k8s_container" AND resource.labels.pod_name="`POD_NAME`" AND jsonPayload."http.req.method"="GET" AND severity=ERROR
Containerfehlerlogs im kube-system-Namespace	resource.type="k8s_container" AND resource.labels.namespace_name="kube-system" AND severity=ERROR
Containerfehler im Insight-Log des Containers	resource.type="k8s_container" AND log_id("clouderrorreporting.googleapis.com/insights")
Kubernetes-Containerlogs	resource.type="k8s_container" AND resource.labels.container_name="`CONTAINER_NAME`"

Abfragen der Steuerungsebene

Hinweis: Logs der GKE-Steuerungsebene müssen aktiviert sein.

Filtername	Ausdruck
Kubernetes API-Serverlogs	resource.type="k8s_control_plane_component" resource.labels.component_name="apiserver" resource.labels.location="`CLUSTER_LOCATION`" resource.labels.cluster_name="`CLUSTER_NAME`"
Kubernetes-Planerlogs	resource.type="k8s_control_plane_component" resource.labels.component_name="scheduler" resource.labels.location="`CLUSTER_LOCATION`" resource.labels.cluster_name="`CLUSTER_NAME`"
Logs des Kubernetes-Controller-Managers	resource.type="k8s_control_plane_component" resource.labels.component_name="controller-manager" resource.labels.location="`CLUSTER_LOCATION`" resource.labels.cluster_name="`CLUSTER_NAME`"

Filtername

Ausdruck

Kubernetes API-Serverlogs


resource.type="k8s_control_plane_component"
        resource.labels.component_name="apiserver"
        resource.labels.location="CLUSTER_LOCATION"
        resource.labels.cluster_name="CLUSTER_NAME"

Kubernetes-Planerlogs


resource.type="k8s_control_plane_component"
        resource.labels.component_name="scheduler"
        resource.labels.location="CLUSTER_LOCATION"
        resource.labels.cluster_name="CLUSTER_NAME"

Logs des Kubernetes-Controller-Managers


resource.type="k8s_control_plane_component"
        resource.labels.component_name="controller-manager"
        resource.labels.location="CLUSTER_LOCATION"
        resource.labels.cluster_name="CLUSTER_NAME"

Logging-Agent-Anwendungsabfragen

Abfrage-/Filtername	Ausdruck
Apache-Logs	resource.type="gce_instance" AND (logName:"/apache-access" OR logName:"/apache-error")
Cassandra-Logs	resource.type="gce_instance" AND log_id("cassandra")
Chef-Logs	resource.type="gce_instance" AND logName:"projects/`PROJECT_ID`/logs/chef-"
Gitlab-Logs	resource.type="gce_instance" logName:"projects/`PROJECT_ID`/logs/gitlab-"
Jenkins-Logs	resource.type="gce_instance" AND log_id("jenkins")
Jetty-Logs	resource.type="gce_instance" AND logName:"projects/`PROJECT_ID`/logs/jetty-"
Joomla-Logs	resource.type="gce_instance" AND log_id("joomla")
Linux-Syslogs	resource.type="gce_instance" AND log_id("syslog")
Magneto-Logs	resource.type="gce_instance" AND logName:"projects/`PROJECT_ID`/logs/magneto-"
Mediawiki-Logs	resource.type="gce_instance" AND log_id("mediawiki")
memcached-Logs	resource.type="gce_instance" AND log_id("memcached")
MongoDB-Logs	resource.type="gce_instance" AND log_id("mongodb")
MySQL-Logs	resource.type="gce_instance" AND log_id("mysql")
Nginx-Logs	resource.type="gce_instance" AND logName:"projects/`PROJECT_ID`/logs/nginx-"
PostgreSQL-Logs	resource.type="gce_instance" AND log_id("postgresql")
Puppet-Logs	resource.type="gce_instance" AND logName:"projects/`PROJECT_ID`/logs/puppet-"
RabbitMQ-Logs	resource.type="gce_instance" AND logName:"projects/`PROJECT_ID`/logs/rabbitmq-"
Redmine-Logs	resource.type="gce_instance" AND log_id("redmine")
Salt-Logs	resource.type="gce_instance" AND logName:"projects/`PROJECT_ID`/logs/salt-"
Langsame MySQL-Abfragen	resource.type="gce_instance" AND log_id("mysql-slow")
Solr-Logs	resource.type="gce_instance" AND log_id("solr")
SugarCRM-Logs	resource.type="gce_instance" AND log_id("sugarcrm")
Tomcat-Logs	resource.type="gce_instance" AND log_id("tomcat")
Zookeeper-Logs	resource.type="gce_instance" AND log_id("zookeeper")

Netzwerkabfragen

Abfrage-/Filtername	Ausdruck
Firewall, alle Logs	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall")
Firewalllogs für ein bestimmtes Land	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND jsonPayload.remote_location.country=`COUNTRY_ISO_ALPHA_3`
Firewalllogs von einer VM	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND jsonPayload.instance.vm_name="`INSTANCE_NAME`"
Firewall-Subnetzlogs	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND resource.labels.subnetwork_name="`SUBNET_NAME`"
Logs für Traffic im Subnetzwerk für Compute Engine	resource.type="gce_subnetwork" AND ip_in_net(jsonPayload.connection.dest_ip, "`SUBNET_IP`")
VPC-Flow-Logs	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows")
VPC-Flow-Logs für bestimmte Ports und Protokolle	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND jsonPayload.connection.src_port="`PORT_ID`" AND jsonPayload.connection.protocol="`PROTOCOL`"
VPC-Flow-Logs für bestimmtes Subnetz	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND resource.labels.subnetwork_name"=`SUBNET_NAME`"
VPC-Flow-Logs für bestimmtes Subnetzpräfix	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND ip_in_net(jsonPayload.connection.dest_ip,`SUBNET_IP`)
VPC-Flusslogs für eine bestimmte VM	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND jsonPayload.src_instance.vm_name="`VM_NAME`"
VPN-Gateway-Logs	resource.type="vpn_gateway" AND resource.labels.gateway_id="`GATEWAY_ID`"
5xx Fehler in HTTP-Load-Balancer	resource.type="http_load_balancer" AND httpRequest.status>=500
Anfragen an PHPMyAdmin in HTTP-Load-Balancer	resource.type="http_load_balancer" AND httpRequest.request_url:"phpmyadmin"

Abfragen zum Sicherheits-Logging

Abfrage-/Filtername	Ausdruck
Audit-Logs – alle	logName:"cloudaudit.googleapis.com"
Audit-Logs, Zugriffstransparenz (AXT)	log_id("cloudaudit.googleapis.com/access_transparency")
Audit-Logs, Administratoraktivitäten	log_id("cloudaudit.googleapis.com/activity")
Audit-Logs, Datenzugriff	log_id("cloudaudit.googleapis.com/data_access")
Audit-Logs, Systemereignisse	log_id("cloudaudit.googleapis.com/system_event")

Fehlerbehebung

Eine Anleitung zur Behebung häufiger Probleme bei der Verwendung des Log-Explorers finden Sie unter Log-Explorer verwenden: Fehlerbehebung.

Nächste Schritte

Weitere Informationen zur Abfragesyntax, mit der Sie diese Abfragen anpassen können, finden Sie unter Logging-Abfragesprache.

Weitere Informationen zu Abfragen in der Google Cloud Console finden Sie unter Abfragen mit der Logging-Abfragesprache erstellen.