Dieses Dokument enthält Vorschläge für Abfragen, mit denen Sie wichtige Logs mit dem Log-Explorer in der Google Cloud Console leichter finden können.
Die aufgeführten Abfragen sind in der Logging-Abfragesprache geschrieben und können im Log-Explorer, der Logging API oder der Befehlszeile verwendet werden.
Im Log-Explorer werden boolesche Ausdrücke verwendet, um eine Teilmenge aller Logeinträge in Ihrem Projekt anzugeben. Sie können diese Abfragen verwenden, um Logeinträge aus bestimmten Logs oder Logdiensten oder solche auszuwählen, die Bedingungen für Metadaten oder benutzerdefinierte Felder erfüllen.
Hinweise
Zum Aufrufen der Logs, die Sie von einem Amazon Web Services-Konto (AWS) an Logging senden, wählen Sie in der Ressourcenauswahl der Google Cloud Console das
AWS-Connector-Projekt aus und verwenden dann den
Log-Explorer.
Das AWS-Verbindungsprojekt speichert den ANR (Amazon Resource Name) für Ihr AWS-Konto und verknüpft Ihr AWS-Konto mit Google Cloud-Diensten. Weitere Informationen finden Sie unter
Messwerte aus AWS-Konten erfassen.
Prüfen Sie, ob Sie die erforderlichen Identity and Access Management-Berechtigungen oder -Rollen zum Erstellen von Abfragen mit dem Log-Explorer haben. Weitere Informationen zu den erforderlichen IAM-Berechtigungen finden Sie unter Berechtigungen für die Google Cloud Console.
Mehr erfahren
-
Wählen Sie im Navigationsbereich der Google Cloud Console Logging und anschließend Log-Explorer aus:
Zum Log-Explorer
Wählen Sie das entsprechende Google Cloud-Projekt oder eine andere Google Cloud-Ressource aus, für die Sie Logs ansehen möchten.
Beispielabfragen verwenden
Klicken Sie zum Anwenden einer Abfrage aus den folgenden Tabellen auf das Symbol Inhaltskopie content_copy für den Ausdruck und fügen Sie den kopierten Ausdruck in das Feld für den Abfrageeditor im Log-Explorer ein:
Wenn das Feld des Abfrageeditors nicht angezeigt wird, aktivieren Sie Abfrage anzeigen.
Nachdem Sie den Abfrageausdruck überprüft haben, klicken Sie auf Abfrage ausführen. Logs, die Ihrer Abfrage entsprechen, werden dann unter Abfrageergebnisse aufgeführt.
Einige der weiter unten auf dieser Seite aufgeführten Abfragen enthalten Variablen, die Sie durch gültige Werte ersetzen sollten. Wenn eine Abfrage beispielsweise logName
enthält, muss sich die von Ihnen angegebene PROJECT_ID auf das aktuell ausgewählte Google Cloud-Projekt beziehen. Andernfalls funktioniert die Abfrage nicht.
Wichtige Hinweise:
Bei einer Abfrage mit einem Zeitstempel ist die Zeitraumauswahl deaktiviert und die Abfrage verwendet den Zeitstempelausdruck als Zeitraumbeschränkung. Wenn eine Abfrage keinen Zeitstempelausdruck verwendet, verwendet sie die Zeitraumauswahl als Zeitraumbeschränkung.
Die Länge einer Abfrage darf 20.000 Zeichen nicht überschreiten.
Bei der Logging-Abfragesprache wird mit Ausnahme regulärer Ausdrücke nicht zwischen Groß- und Kleinschreibung unterschieden.
Sie können die Funktion log_id
für Abfragen mit einem log_name
-Ausdruck verwenden. Der Ausdruck log_name="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access"
ist beispielsweise mit log_id("cloudaudit.googleapis.com/data_access")
identisch.
Weitere Informationen zur Funktion log_id
finden Sie unter Logging-Abfragesprache: Funktionen.
Eine Anleitung zu Abfragen in der Google Cloud Console finden Sie unter Abfragen im Log-Explorer erstellen.
In den folgenden Abschnitten sind die Abfragen nach Google Cloud-Diensten gruppiert.
App Engine-Abfragen
Abfrage-/Filtername |
Ausdruck |
App Engine-Logs von Silvester (in UTC-Zeit) |
resource.type="gae_app" AND
severity>=ERROR AND
timestamp>="2018-12-31T00:00:00Z" AND timestamp<="2019-01-01T00:00:00Z" |
App Engine-Anfragelogs mit Serverfehlern |
resource.type="gae_app" AND
log_id("appengine.googleapis.com/request_log") AND
httpRequest.status>=500 |
Abgerufene HTTP-Fehlerlogs |
resource.type="gae_app" AND
protoPayload.status >= 400 AND
sample(insertId, 0.1)
|
Nach App Engine-Trace-ID suchen |
resource.type="gae_app" AND
trace="projects/PROJECT_ID/traces/TRACE_ID" |
App Engine-Logs |
resource.type="gae_app" AND
resource.labels.module_id="MODULE_ID" AND
resource.labels.version_id="VERSION_ID" |
Letzte App Engine-Bereitstellungen |
resource.type="gae_app" AND
protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog" AND
protoPayload.serviceName="appengine.googleapis.com" |
Abfragen über die API aktivieren und deaktivieren
Abfrage-/Filtername |
Ausdruck |
Audit API-Aktivierungslogs |
protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.EnableService" |
Deaktivierungsprotokolle der Audit API |
protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.DisableService" |
BigQuery-Abfragen
Abfrage-/Filtername |
Ausdruck |
BigQuery-Audit-Logs |
resource.type=("bigquery_dataset" OR "bigquery_project") AND
logName:"cloudaudit.googleapis.com" |
BigQuery-Audit-Logs für ein Projekt |
resource.type="bigquery_project" AND
logName:"cloudaudit.googleapis.com" |
BigQuery-Audit-Logs für ein Dataset |
resource.type="bigquery_dataset" AND
logName:"cloudaudit.googleapis.com" |
BigQuery-Audit-Logs für das BI Engine-Modell |
resource.type="bigquery_biengine_model" AND
logName:"cloudaudit.googleapis.com" |
BigQuery-Audit-Logs für eine Data Transfer Service-Ausführung. |
resource.type="bigquery_dts_run" AND
logName:"cloudaudit.googleapis.com" |
BigQuery-Audit-Logs für eine Data Transfer Service-Konfiguration. |
resource.type="bigquery_dts_config" AND
logName:"cloudaudit.googleapis.com" |
Jobs in BigQuery Data Transfer Service |
resource.type=("bigquery_project") AND
protoPayload.requestMetadata.callerSuppliedUserAgent=
"BigQuery Data Transfer Service" AND
protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR
"google.cloud.bigquery.v2.JobService.Query") |
Logs zu BigQuery-Übertragungsausführungen |
resource.type="bigquery_dts_config" AND
labels.run_id="RUN_ID" AND
resource.labels.config_id="CONFIG_ID" |
Aktualisierungen von BigQuery-Datasets |
resource.type="bigquery_dataset" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName=
"google.cloud.bigquery.v2.DatasetService.UpdateDataset" |
Abgeschlossene Jobs in BigQuery |
resource.type="bigquery_project" AND
log_id("cloudaudit.googleapis.com/data_access") AND
protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob"
OR "google.cloud.bigquery.v2.JobService.Query") |
Große BigQuery-Abfragen |
resource.type="bigquery_project" AND
protoPayload.metadata.jobChange.job.jobStats.queryStats.totalBilledBytes
> 1073741824 |
Überschrittenes Kontingent in BigQuery |
resource.type=("bigquery_dataset" OR "bigquery_project")
AND
protoPayload.status.code=8 AND
severity>=WARNING |
Gestartete BigQuery-Abfrage |
resource.type="bigquery_project" AND
protoPayload.metadata.jobInsertion.reason:* |
Gleichzeitige BigQuery-Jobs zum Laden/Extrahieren |
resource.type="bigquery_resource" AND
protoPayload.methodName="jobservice.insert" AND
protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query:
"extract" |
Dataflow-Abfragen
Abfrage-/Filtername |
Ausdruck |
Fehler und Warnungen in Dataflow-Workern |
resource.type="dataflow_step" AND
log_id("dataflow.googleapis.com/worker") AND
severity>=WARNING |
Dataproc-Abfragen
Abfrage-/Filtername |
Ausdruck |
Apache Hadoop-Logs in Dataproc |
resource.type="cloud_dataproc_cluster" AND
jsonPayload.class:"org.apache.hadoop.mapreduce" |
Cloud Deployment Manager
Abfrage-/Filtername |
Ausdruck |
Fehler in Deployment Manager |
resource.type="deployment" AND
severity>=ERROR |
Cloud Functions-Abfragen
Abfrage-/Filtername |
Ausdruck |
Fehler in Cloud Functions |
resource.type="cloud_function" AND
log_id("cloudfunctions.googleapis.com/cloud-functions") AND
severity>=ERROR |
Cloud Monitoring-Abfragen
Abfrage-/Filtername |
Ausdruck |
Alle Fehler für den Benachrichtigungskanal anzeigen |
resource.type="stackdriver_notification_channel" AND
severity>=ERROR |
Fehler aufgrund von Drosselung für Benachrichtigungskanäle anzeigen |
resource.type="stackdriver_notification_channel" AND
severity>=ERROR AND
jsonPayload.summary="Notification delivery throttled." |
Logs anzeigen, die von der Verfügbarkeitsressource geschrieben wurden |
resource.type="uptime_url" |
Vom Verfügbarkeitsdiagnose-Dienst erhaltene Anfragen anzeigen |
"GoogleStackdriverMonitoring-UptimeChecks" |
Cloud Run-Abfragen
Abfrage-/Filtername |
Ausdruck |
Cloud Run-Logs für einen bestimmten Job |
resource.type="cloud_run_job" AND
resource.labels.service_name="JOB_NAME"
|
Cloud Run-Logs für eine bestimmte Version und einen bestimmten Dienst |
resource.type="cloud_run_revision" AND
resource.labels.service_name="SERVICE_NAME" |
Cloud Source Repositories-Abfragen
Abfrage-/Filtername |
Ausdruck |
Logs für Cloud Source Repositories |
resource.type="csr_repository" AND
resource.labels.name="REPOSITORY_NAME" |
Spanner-Abfragen
Abfrage-/Filtername |
Ausdruck |
Cloud Spanner-Logs für spezifische Spanner-Instanzen |
resource.type="spanner_instance" AND
resource.labels.instance_id="SPANNER_INSTANCE" |
Cloud SQL-Abfragen
Abfrage-/Filtername |
Ausdruck |
Cloud SQL-Audit-Logs |
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudaudit.googleapis.com/activity") |
MySQL-Fehlerlogs in Cloud SQL |
resource.type="cloudsql_database" AND
log_id("cloudsql.googleapis.com/mysql.err") |
MySQL-basierte Datenbanken in Cloud SQL |
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/mysql") |
Postgres-basierte Datenbanken in Cloud SQL |
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/postgres.log") |
SQL Server-Fehlerlogs in Cloud SQL |
resource.type="cloudsql_database" AND
log_id("cloudsql.googleapis.com/sqlserver.err") |
SQL Server-basierte Datenbanken in Cloud SQL |
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/sqlagent.out") |
Cloud Storage-Abfragen
Abfrage-/Filtername |
Ausdruck |
Bucket-Logs in GCS |
resource.type="gcs_bucket" AND
resource.labels.bucket_name="BUCKET_NAME" |
Bucket-Audit-Logs in GCS |
resource.type="gcs_bucket" AND
logName:"cloudaudit.googleapis.com" |
Bucket-Erstellungslogs in GCS |
resource.type="gcs_bucket" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.method_name="storage.buckets.create" |
Logs zu gelöschten Buckets in GCS |
resource.type="gcs_bucket" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.method_name="storage.buckets.delete" |
Cloud Tasks-Abfragen
Abfrage-/Filtername |
Ausdruck |
Aufgabenwarteschlangenlogs in Cloud Tasks |
resource.type="cloud_tasks_queue" AND
resource.labels.queue_id="QUEUE_ID" |
Compute Engine-Abfragen
Abfrage-/Filtername |
Ausdruck |
Logs zur Administratoraktivität in Compute Engine |
resource.type="gce_instance" AND
log_id("cloudaudit.googleapis.com/activity") |
Compute Engine-Firewallregel löschen |
resource.type="gce_firewall_rule" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"firewalls.delete" |
VM-Syslogs in Compute Engine |
resource.type="gce_instance" AND
log_id("syslog") |
Compute Engine-VM-Authentifizierungslogs |
resource.type="gce_instance" AND
log_id("authlog") |
Compute Engine-Hostfehler |
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:"OnHostMaintenance"
OR
operation.producer:"OnHostMaintenance")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO |
Compute Engine-Host migriert |
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:
"compute.instances.migrateOnHostMaintenance" OR
operation.producer:
"compute.instances.migrateOnHostMaintenance")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO |
Compute Engine-VM beendet/vorzeitig beendet |
resource.type="gce_instance"
protoPayload.methodName=
~"compute\.instances\.(guestTerminate|preempted)"
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID" |
Compute Engine-VM-Instanz erstellt |
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.insert"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.request.name="INSTANCE_NAME" |
Compute Engine-VM-Instanz mit Namen gelöscht |
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.delete"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.resourceName:"INSTANCE_NAME" |
Compute Engine-VM-Instanz mit ID gelöscht |
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.delete"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.instance_id="INSTANCE_ID" |
Compute Engine-VM-Instanz neu gestartet |
resource.type="gce_instance"
protoPayload.methodName=~"compute\.instances\.(
stop|reset|automaticRestart|guestTerminate|
instanceManagerHaltForRestart)"
(log_id("cloudaudit.googleapis.com/activity")
OR log_id("cloudaudit.googleapis.com/system_event"))
resource.labels.instance_id="INSTANCE_ID" |
Shielded VM-Bootintegritätsfehler in Compute Engine |
resource.type="gce_instance"
log_id("compute.googleapis.com/shielded_vm_integrity")
jsonPayload.earlyBootReportEvent.policyEvaluationPassed="false"
resource.labels.instance_id="INSTANCE_ID" |
Compute Engine-VM-Instanz durch Gastbetriebssystem beendet |
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:"compute.instances.guestTerminate" OR
operation.producer:"compute.instances.guestTerminate")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO |
Shielded VM-Bootdatei von Compute Engine wurde blockiert |
resource.type="gce_instance"
log_id("serialconsole.googleapis.com/serial_port_1_output")
textPayload:("Security Violation")
resource.labels.instance_id="INSTANCE_ID" |
Nichtflüchtiger Speicher erstellt |
resource.type="gce_disk" AND
protoPayload.methodName:"compute.disks.insert" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.resourceName: "PERSISTENT_DISK_NAME" |
Knoten im Knoten für einzelne Mandanten hinzugefügt |
resource.type="gce_node_group"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName=~("compute.nodeGroups.addNodes"
OR "compute.nodeGroups.insert")
resource.labels.node_group_id="NODE_GROUP_ID"
severity="INFO" |
Autoscaling-Ereignisse im Knoten für einzelne Mandanten |
resource.type="gce_node_group"
log_id("cloudaudit.googleapis.com/system_event")
protoPayload.methodName=~("compute.nodeGroups.deleteNodes"
OR "compute.nodeGroups.addNodes")
resource.labels.node_group_id="NODE_GROUP_ID" |
Manuell aufgenommen |
resource.type="gce_snapshot"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.snapshots.insert"
protoPayload.resourceName:"SNAPSHOT_NAME" |
Geplanter Snapshot erstellt |
resource.type="gce_disk"
log_id("cloudaudit.googleapis.com/system_event")
protoPayload.methodName="ScheduledSnapshots"
protoPayload.response.operationType="createSnapshot"
protoPayload.response.targetLink="PERSISTENT_DISK_NAME" |
Snapshot-Zeitplan erstellt |
resource.type="gce_resource_policy"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.resourcePolicies.insert"
protoPayload.request.name="SCHEDULE_NAME" |
Snapshot-Zeitplan angehängt |
resource.type="gce_disk"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.disks.addResourcePolicies"
protoPayload.request.resourcePolicys:"SCHEDULE_NAME"
protoPayload.resourceName:"PERSISTENT_DISK_NAME" |
Kontingent überschritten |
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.insert"
protoPayload.status.message:"QUOTA_EXCEEDED"
severity=ERROR |
Fehlerhafte Instanzen in Instanzgruppe abfragen |
resource.type="gce_instance_group"
resource.labels.instance_group_name="INSTANCE_GROUP_NAME"
jsonPayload.healthCheckProbeResult.healthState="UNHEALTHY" |
Instanzgruppenmitglieder innerhalb eines Zeitraums im UTC-Zeitformat abfragen |
resource.type="gce_instance_group_manager"
resource.labels.instance_group_manager_name="INSTANCE_GROUP_NAME"
jsonPayload.@type=
"type.googleapis.com/compute.InstanceGroupManagerEvent"
jsonPayload.instanceHealthStateChange.detailedHealthState="HEALTHY"
timestamp >= START_TIME timestamp <= END_TIME |
Instanzen aus Instanzgruppe entfernt |
resource.type="gce_instance_group"
protoPayload.methodName:"compute.instanceGroups.removeInstances"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.instance_group_name="INSTANCE_GROUP_NAME" |
Instanzvorlagen festgelegt oder aktualisiert |
resource.type="gce_instance_group_manager"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName=
"v1.compute.instanceGroupManagers.setInstanceTemplate"
resource.labels.instance_group_manager_name="INSTANCE_GROUP_MANAGER" |
Firewallregel wurde gelöscht |
resource.type="gce_firewall_rule"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"firewalls.delete" |
Firewalllogs |
resource.type="gce_subnetwork"
log_id("compute.googleapis.com/firewall")
jsonPayload.instance.vm_name="INSTANCE_NAME" |
Google Cloud-Beobachtbarkeitsabfragen
Abfrage-/Filtername |
Ausdruck |
Logs zu Senkenaktivitäten |
resource.type="logging_sink" AND
log_id("cloudaudit.googleapis.com/activity") |
Aktivitäten zur Erstellung oder Aktualisierung logbasierter Messwerte |
resource.type="metric" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:(UpdateLogMetric OR CreateLogMetric) |
URL-Verfügbarkeitsprüfung nach Host |
resource.type="uptime_url" AND
resource.labels.host="URL" |
Abfragen der Identitäts- und Zugriffsverwaltung
Abfrage-/Filtername |
Ausdruck |
Logs zur Erstellung von Dienstkonten |
resource.type="service_account" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.iam.admin.v1.CreateServiceAccount" |
Schlüssellogs zur Erstellung von Dienstkonten |
resource.type="service_account" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.iam.admin.v1.CreateServiceAccountKey" |
Logs für Zugriffssteuerungsrichtlinien |
resource.type="project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="SetIamPolicy" |
Externes Hauptkonto mit Zugriff auf die Organisation |
resource.type="project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog" AND
protoPayload.request.@type:"IamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:* AND
NOT protoPayload.serviceData.policyDelta.bindingDeltas.member:"@DOMAIN_NAME.com" |
Ressourcen erstellen, ändern oder löschen |
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:("create" OR "delete" OR "update") |
Dem Hauptkonto gewährte Rolle |
log_id("cloudaudit.googleapis.com/activity") AND
resource.type="project" AND
protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND
protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.action="Add" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID" |
Rolle aus Hauptkonto entfernt |
log_id("cloudaudit.googleapis.com/activity") AND
resource.type="project" AND
protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND
protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.action="Remove" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID" |
Berechtigung in einer benutzerdefinierten Rolle aktualisiert |
log_id("cloudaudit.googleapis.com/activity") AND
resource.type="iam_role" AND
protoPayload.serviceName="iam.googleapis.com" AND
protoPayload.methodName:"UpdateRole" AND
resource.labels.role_name:"ROLE_ID" |
Kubernetes-bezogene Abfragen
Eine Übersicht und Beispiele für Audit-Logabfragen zu Administratoraktivitäten finden Sie auf der
Seite zum GKE-Audit-Logging.
Abfragen auf Clusterebene
Abfrage-/Filtername |
Ausdruck |
Google Kubernetes Engine-Clustervorgänge |
resource.type="gke_cluster" AND
log_id("cloudaudit.googleapis.com/activity") |
Google Kubernetes Engine-Cluster erstellen |
resource.type="gke_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.container.v1.ClusterManager.CreateCluster"
|
Kubernetes-Clusterbereitstellung |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"deployments"
|
Fehler bei Kubernetes-Clusterauthentifizierung |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.authenticationInfo.principalEmail="system:anonymous"
|
Kubernetes-Clustervorgänge und Ereignisse in us-central1-b |
resource.type="k8s_cluster" AND
resource.labels.location="us-central1-b"
|
Kubernetes Pod-Anfragen von Nutzern |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"io.k8s.core.v1.pods" AND
protoPayload.authenticationInfo.principalEmail="USER_EMAIL"
|
Kubernetes-Ereignisse |
resource.type="k8s_cluster" AND
log_id("events")
|
Kubernetes-Endpunkt-Update |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.request.kind="Endpoints"
|
Logs der Steuerungsebene in Kubernetes |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.serviceName="k8s.io"
|
Logs der Steuerungsebene in Kubernetes |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.serviceName="container.googleapis.com"
|
Pod löschen |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName=~"io\.k8s\.core\.v1\.pods\.(create|delete)"
|
Kubernetes-Pod-Audit-Logs der Steuerungsebene |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.resourceName="core/v1/namespaces/POD_NAMESPACE/pods/POD_NAME
|
Kubernetes-Pods entfernen |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="io.k8s.core.v1.pods.eviction.create"
|
Audit-Logs zu Kubernetes-Knoten der Steuerungsebene |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"io.k8s.core.v1.nodes"
|
Steuerungsebene des Kubernetes-Clusters für Addon-Manager-Aktivitäten |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.authenticationInfo.principalEmail="system:addon-manager"
|
Fehler auf Kubernetes-Steuerungsebene (ohne Conflict , was normal ist) |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.status.message!="Conflict" AND
protoPayload.status.code!=0
|
Ingress-Controller-Ereignisse |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="loadbalancer-controller"
|
Service Controller-Ereignisse (kube-controller-manager) |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="service-controller"
|
Cluster Autoscaler-Ereignisse |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="cluster-autoscaler"
|
Abfragen auf Pod-Ebene
Filtername |
Ausdruck |
Pod während der Erstellung abfragen |
resource.type="k8s_pod" AND
resource.labels.pod_name="POD_NAME" AND
log_id("events")
|
Abfrage-Pod aufgrund von Ressourcenauslastung beendet |
resource.type="k8s_pod" AND
log_id("events") AND
jsonPayload.reason="Evicted"
|
Planer-Ereignisse |
resource.type="k8s_pod" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="default-scheduler"
|
Planer-Ereignisse (vorzeitiges Beenden) |
resource.type="k8s_pod" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="default-scheduler" AND
jsonPayload.reason="Preempted"
|
Abfragen auf Knotenebene
Filtername |
Ausdruck |
Knotenereignisse |
resource.type="k8s_node" AND
log_id("events")
|
Kube-Proxy-Logs aufrufen |
resource.type="k8s_node" AND
log_id("kube-proxy")
|
Dockerd-Logs aufrufen |
resource.type="k8s_node" AND
log_id("container-runtime")
|
Kubelet-Fehler oder -Ausfälle aufrufen |
resource.type="k8s_node" AND
log_id("kubelet") AND
jsonPayload.MESSAGE:("error" OR "fail")
|
Knotenlogs für GKE-Systemlogs aufrufen |
resource.type = "k8s_node"
logName:( "logs/container-runtime" OR
"logs/docker" OR
"logs/kube-container-runtime-monitor" OR
"logs/kube-logrotate" OR
"logs/kube-node-configuration" OR
"logs/kube-node-installation" OR
"logs/kubelet" OR
"logs/kubelet-monitor" OR
"logs/node-journal" OR
"logs/node-problem-detector")
|
Namespace-Abfragen
Filtername |
Ausdruck |
Container- und Pod-Logs für GKE-Systemlogs |
resource.type = ("k8s_container" OR "k8s_pod")
resource.labels.namespace_name = (
"cnrm-system" OR
"config-management-system" OR
"gatekeeper-system" OR
"gke-connect" OR
"gke-system" OR
"istio-system" OR
"knative-serving" OR
"monitoring-system" OR
"kube-system")
|
Containerabfragen
Filtername |
Ausdruck |
Stdout-Containerlogs für alle Pods und Container in einem Cluster |
resource.type="k8s_container" AND
log_id("stdout")
|
Containerfehlerlogs für alle Pods und Container in einem Cluster |
resource.type="k8s_container" AND
log_id("stderr") AND
severity=ERROR
|
Containerfehlerlogs für einen Pod mit einem bestimmten Namen |
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
severity=ERROR
|
Containerfehlerlogs für einen bestimmten Container in einem bestimmten Pod |
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
resource.labels.container_name="server" AND
severity=ERROR
|
Containerfehlerlogs für einen bestimmten Namespace und einen bestimmten Container |
resource.type="k8s_container" AND
resource.labels.namespace_name="istio-system" AND
resource.labels.container_name="egressgateway" AND
severity=ERROR
|
Containerlogs für einen Pod mit einem bestimmten Label |
resource.type="k8s_container" AND
labels."k8s-pod/app"="loadgenerator" AND
severity=ERROR
|
Containerfehlerlogs für Pods, die auf einem bestimmten Knoten ausgeführt werden |
resource.type="k8s_container" AND
labels."compute.googleapis.com/resource_name"=NODE_NAME AND
severity=ERROR
|
Containerlogs für einen Pod mit einem Label, das mit Skaffold generiert wurde |
resource.type="k8s_container" AND
labels."k8s-pod/app"="loadgenerator" AND
labels."k8s-pod/skaffold_dev/run-id"=SKAFFOLD_RUN_ID
severity=ERROR
|
Containerfehlerlogs für einen bestimmten Pod mit einem POST im textPayload
|
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
textPayload:"POST" AND
severity=ERROR
|
Container-Fehlerlogs für einen bestimmten Pod, der in der strukturierten JSON-Datei einen GET enthält |
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
jsonPayload."http.req.method"="GET" AND
severity=ERROR
|
Containerfehlerlogs im kube-system-Namespace |
resource.type="k8s_container" AND
resource.labels.namespace_name="kube-system" AND
severity=ERROR
|
Containerfehler im Insight-Log des Containers |
resource.type="k8s_container" AND
log_id("clouderrorreporting.googleapis.com/insights")
|
Kubernetes-Containerlogs |
resource.type="k8s_container" AND
resource.labels.container_name="CONTAINER_NAME"
|
Abfragen der Steuerungsebene
Hinweis: Logs der GKE-Steuerungsebene müssen aktiviert sein.
Filtername |
Ausdruck |
Kubernetes API-Serverlogs |
resource.type="k8s_control_plane_component"
resource.labels.component_name="apiserver"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
|
Kubernetes-Planerlogs |
resource.type="k8s_control_plane_component"
resource.labels.component_name="scheduler"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
|
Logs des Kubernetes-Controller-Managers |
resource.type="k8s_control_plane_component"
resource.labels.component_name="controller-manager"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
|
Logging-Agent-Anwendungsabfragen
Abfrage-/Filtername |
Ausdruck |
Apache-Logs |
resource.type="gce_instance" AND
(logName:"/apache-access" OR logName:"/apache-error") |
Cassandra-Logs |
resource.type="gce_instance" AND
log_id("cassandra") |
Chef-Logs |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/chef-" |
Gitlab-Logs |
resource.type="gce_instance"
logName:"projects/PROJECT_ID/logs/gitlab-" |
Jenkins-Logs |
resource.type="gce_instance" AND
log_id("jenkins") |
Jetty-Logs |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/jetty-" |
Joomla-Logs |
resource.type="gce_instance" AND
log_id("joomla") |
Linux-Syslogs |
resource.type="gce_instance" AND
log_id("syslog") |
Magneto-Logs |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/magneto-" |
Mediawiki-Logs |
resource.type="gce_instance" AND
log_id("mediawiki") |
memcached-Logs |
resource.type="gce_instance" AND
log_id("memcached") |
MongoDB-Logs |
resource.type="gce_instance" AND
log_id("mongodb") |
MySQL-Logs |
resource.type="gce_instance" AND
log_id("mysql") |
Nginx-Logs |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/nginx-" |
PostgreSQL-Logs |
resource.type="gce_instance" AND
log_id("postgresql") |
Puppet-Logs |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/puppet-" |
RabbitMQ-Logs |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/rabbitmq-" |
Redmine-Logs |
resource.type="gce_instance" AND
log_id("redmine") |
Salt-Logs |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/salt-" |
Langsame MySQL-Abfragen |
resource.type="gce_instance" AND
log_id("mysql-slow") |
Solr-Logs |
resource.type="gce_instance" AND
log_id("solr") |
SugarCRM-Logs |
resource.type="gce_instance" AND
log_id("sugarcrm") |
Tomcat-Logs |
resource.type="gce_instance" AND
log_id("tomcat") |
Zookeeper-Logs |
resource.type="gce_instance" AND
log_id("zookeeper") |
Netzwerkabfragen
Abfrage-/Filtername |
Ausdruck |
Firewall, alle Logs |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") |
Firewalllogs für ein bestimmtes Land |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
jsonPayload.remote_location.country=COUNTRY_ISO_ALPHA_3 |
Firewalllogs von einer VM |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
jsonPayload.instance.vm_name="INSTANCE_NAME" |
Firewall-Subnetzlogs |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
resource.labels.subnetwork_name="SUBNET_NAME" |
Logs für Traffic im Subnetzwerk für Compute Engine |
resource.type="gce_subnetwork" AND
ip_in_net(jsonPayload.connection.dest_ip, "SUBNET_IP") |
VPC-Flow-Logs |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") |
VPC-Flow-Logs für bestimmte Ports und Protokolle |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
jsonPayload.connection.src_port="PORT_ID" AND
jsonPayload.connection.protocol="PROTOCOL" |
VPC-Flow-Logs für bestimmtes Subnetz |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
resource.labels.subnetwork_name"=SUBNET_NAME" |
VPC-Flow-Logs für bestimmtes Subnetzpräfix |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
ip_in_net(jsonPayload.connection.dest_ip,SUBNET_IP) |
VPC-Flusslogs für eine bestimmte VM |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
jsonPayload.src_instance.vm_name="VM_NAME" |
VPN-Gateway-Logs |
resource.type="vpn_gateway" AND
resource.labels.gateway_id="GATEWAY_ID" |
5xx Fehler in HTTP-Load-Balancer |
resource.type="http_load_balancer" AND
httpRequest.status>=500 |
Anfragen an PHPMyAdmin in HTTP-Load-Balancer |
resource.type="http_load_balancer" AND
httpRequest.request_url:"phpmyadmin" |
Abfragen zum Sicherheits-Logging
Abfrage-/Filtername |
Ausdruck |
Audit-Logs – alle |
logName:"cloudaudit.googleapis.com" |
Audit-Logs, Zugriffstransparenz (AXT) |
log_id("cloudaudit.googleapis.com/access_transparency") |
Audit-Logs, Administratoraktivitäten |
log_id("cloudaudit.googleapis.com/activity") |
Audit-Logs, Datenzugriff |
log_id("cloudaudit.googleapis.com/data_access") |
Audit-Logs, Systemereignisse |
log_id("cloudaudit.googleapis.com/system_event") |
Fehlerbehebung
Eine Anleitung zur Behebung häufiger Probleme bei der Verwendung des Log-Explorers finden Sie unter Log-Explorer verwenden: Fehlerbehebung.
Nächste Schritte
Weitere Informationen zur Abfragesyntax, mit der Sie diese Abfragen anpassen können, finden Sie unter Logging-Abfragesprache.
Weitere Informationen zu Abfragen in der Google Cloud Console finden Sie unter Abfragen mit der Logging-Abfragesprache erstellen.