Exemples de requêtes

Ce document propose des suggestions de requêtes pour faciliter la recherche de journaux importants à l'aide de l'explorateur de journaux de la console Google Cloud. Les requêtes répertoriées sont écrites dans le langage de requête Logging et peuvent être utilisées dans l'explorateur de journaux, l'API Logging ou l'interface de ligne de commande.

L'explorateur de journaux utilise des expressions booléennes pour spécifier un sous-ensemble parmi toutes les entrées de journal d'un projet. Vous pouvez utiliser ces requêtes pour choisir des entrées de journal provenant de journaux ou de services de journalisation spécifiques, ou qui remplissent les conditions définies sur les métadonnées ou les champs définis par l'utilisateur.

Avant de commencer

Pour afficher les journaux que vous envoyez à Logging depuis un compte Amazon Web Services (AWS), sélectionnez le projet de connecteur AWS dans le sélecteur de ressources de la console Google Cloud, puis utilisez l'explorateur de journaux. Le projet de connecteur AWS stocke le nom de ressource Amazon (ARN) de votre compte AWS et associe votre compte AWS aux services Google Cloud. Pour en savoir plus, consultez la page Collecter des métriques à partir de comptes AWS.

Assurez-vous de disposer des autorisations ou des rôles Identity and Access Management appropriés pour créer des requêtes à l'aide de l'explorateur de journaux. Pour en savoir plus sur les autorisations IAM nécessaires, consultez la section Autorisations pour la console Google Cloud.

Premiers pas

  1. Dans le panneau de navigation de la console Google Cloud, sélectionnez Logging, puis Explorateur de journaux :

    Accéder à l'explorateur de journaux

  2. Sélectionnez le projet Google Cloud approprié ou une autre ressource Google Cloud pour laquelle vous souhaitez afficher les journaux.

Utiliser les exemples de requêtes

Pour appliquer une requête à partir des tables suivantes, cliquez sur l'icône Content Copy (Copie de contenu) de l'expression, puis collez l'expression copiée dans le champ de l'éditeur de requête de l'explorateur de journaux:

L'éditeur de requête indique où saisir une requête

Si vous ne voyez pas le champ de l'éditeur de requête, activez Afficher la requête.

Après avoir examiné votre expression de requête, cliquez sur Exécuter la requête. Les journaux correspondant à votre requête sont répertoriés sous les résultats de la requête.

Certaines des requêtes répertoriées plus loin sur cette page incluent des variables que vous devez remplacer par des valeurs valides. Par exemple, lorsqu'une requête inclut logName, le PROJECT_ID que vous fournissez doit faire référence au projet Google Cloud actuellement sélectionné. Sinon, la requête ne fonctionnera pas.

Veuillez noter les points suivants :

  • Si l'une de vos requêtes comporte un horodatage, le sélecteur de période est désactivé et la requête utilise l'expression d'horodatage comme restriction de période. Si une requête n'utilise pas d'expression de code temporel, elle utilise le sélecteur de période comme restriction de période.

  • La longueur d'une requête ne peut pas dépasser 20 000 caractères.

  • Le langage de requête Logging n'est pas sensible à la casse, à l'exception des expressions régulières.

  • Vous pouvez utiliser la fonction log_id pour les requêtes avec une expression log_name. Par exemple, l'expression log_name="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access" est identique à log_id("cloudaudit.googleapis.com/data_access"). Pour en savoir plus sur la fonction log_id, consultez la page Langages de requête Logging: fonctions.

Pour découvrir comment effectuer des requêtes dans la console Google Cloud, consultez la page Créer des requêtes dans l'explorateur de journaux.

Les sections suivantes regroupent les requêtes par service Google Cloud.

Requêtes App Engine

Nom de la requête/du filtre Expression
Journaux App Engine du Nouvel An (dans le fuseau horaire UTC)

resource.type="gae_app" AND
severity>=ERROR AND
timestamp>="2018-12-31T00:00:00Z" AND timestamp<="2019-01-01T00:00:00Z" 
Journaux de requête App Engine avec erreurs serveur

resource.type="gae_app" AND
log_id("appengine.googleapis.com/request_log") AND
httpRequest.status>=500 
Échantillons de journaux d'erreurs HTTP

resource.type="gae_app" AND
protoPayload.status >= 400 AND
sample(insertId, 0.1) 
Recherche de l'ID de trace App Engine

resource.type="gae_app" AND
trace="projects/PROJECT_ID/traces/TRACE_ID" 
Journaux App Engine

resource.type="gae_app" AND
resource.labels.module_id="MODULE_ID" AND
resource.labels.version_id="VERSION_ID" 
Déploiements App Engine récents

resource.type="gae_app" AND
protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog" AND
protoPayload.serviceName="appengine.googleapis.com" 

Requêtes d'activation et de désactivation des API

Nom de la requête/du filtre Expression
Journaux d'activation de l'API Audit

protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.EnableService"
Journaux de désactivation de l'API Audit

protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.DisableService"

Requêtes BigQuery

Nom de la requête/du filtre Expression
Journaux d'audit BigQuery

resource.type=("bigquery_dataset" OR "bigquery_project") AND
logName:"cloudaudit.googleapis.com" 
Journaux d'audit BigQuery pour un projet

resource.type="bigquery_project" AND
logName:"cloudaudit.googleapis.com" 
Journaux d'audit BigQuery pour un ensemble de données

resource.type="bigquery_dataset" AND
logName:"cloudaudit.googleapis.com" 
Journaux d'audit BigQuery pour un modèle BI Engine

resource.type="bigquery_biengine_model" AND
logName:"cloudaudit.googleapis.com" 
Journaux d'audit BigQuery pour l'exécution du service de transfert de données.

resource.type="bigquery_dts_run" AND
logName:"cloudaudit.googleapis.com" 
Journaux d'audit BigQuery pour une configuration du service de transfert de données

resource.type="bigquery_dts_config" AND
logName:"cloudaudit.googleapis.com" 
Tâches de service de transfert de données BigQuery

resource.type=("bigquery_project") AND
protoPayload.requestMetadata.callerSuppliedUserAgent=
"BigQuery Data Transfer Service" AND
protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR
"google.cloud.bigquery.v2.JobService.Query") 
Journaux d'exécution de transfert BigQuery

resource.type="bigquery_dts_config" AND
labels.run_id="RUN_ID" AND
resource.labels.config_id="CONFIG_ID" 
Mises à jour des ensembles de données BigQuery

resource.type="bigquery_dataset" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName=
"google.cloud.bigquery.v2.DatasetService.UpdateDataset" 
Tâches BigQuery terminées

resource.type="bigquery_project" AND
log_id("cloudaudit.googleapis.com/data_access") AND
protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob"
OR "google.cloud.bigquery.v2.JobService.Query") 
Requêtes BigQuery volumineuses

resource.type="bigquery_project" AND
protoPayload.metadata.jobChange.job.jobStats.queryStats.totalBilledBytes
> 1073741824 
Quota BigQuery dépassé

resource.type=("bigquery_dataset" OR "bigquery_project")
AND
protoPayload.status.code=8 AND
severity>=WARNING 
Requête BigQuery démarrée

resource.type="bigquery_project" AND
protoPayload.metadata.jobInsertion.reason:*
Jobs de chargement/d'extraction simultanés dans BigQuery

resource.type="bigquery_resource" AND
protoPayload.methodName="jobservice.insert" AND
protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query:
"extract"

Requêtes Dataflow

Nom de la requête/du filtre Expression
Erreurs et avertissements dans les nœuds de calcul Dataflow

resource.type="dataflow_step" AND
log_id("dataflow.googleapis.com/worker") AND
severity>=WARNING 

Requêtes Dataproc

Nom de la requête/du filtre Expression
Journaux Dataproc Apache Hadoop

resource.type="cloud_dataproc_cluster" AND
jsonPayload.class:"org.apache.hadoop.mapreduce" 

Cloud Deployment Manager

Nom de la requête/du filtre Expression
Erreurs Deployment Manager

resource.type="deployment" AND
severity>=ERROR 

Requêtes Cloud Functions

Nom de la requête/du filtre Expression
Erreurs Cloud Functions

resource.type="cloud_function" AND
log_id("cloudfunctions.googleapis.com/cloud-functions") AND
severity>=ERROR 

Requêtes Cloud Monitoring

Nom de la requête/du filtre Expression
Afficher toutes les erreurs
du canal de notification

resource.type="stackdriver_notification_channel" AND
severity>=ERROR 
Afficher les erreurs
du canal de notification en raison d'une limitation

resource.type="stackdriver_notification_channel" AND
severity>=ERROR AND
jsonPayload.summary="Notification delivery throttled."
Afficher les journaux écrits par
la ressource de test de disponibilité

resource.type="uptime_url"
Afficher les requêtes reçues du
service de tests de disponibilité

"GoogleStackdriverMonitoring-UptimeChecks"

Requêtes Cloud Run

Nom de la requête/du filtre Expression
Journaux Cloud Run pour une tâche spécifique

resource.type="cloud_run_job" AND
resource.labels.service_name="JOB_NAME"
Journaux Cloud Run pour une révision et un service spécifiques

resource.type="cloud_run_revision" AND
resource.labels.service_name="SERVICE_NAME"

Requêtes Cloud Source Repositories

Nom de la requête/du filtre Expression
Journaux Cloud Source Repositories

resource.type="csr_repository" AND
resource.labels.name="REPOSITORY_NAME"

Requêtes Spanner

Nom de la requête/du filtre Expression
Journaux Cloud Spanner pour une instance Spanner spécifique

resource.type="spanner_instance" AND
resource.labels.instance_id="SPANNER_INSTANCE"

Requêtes Cloud SQL

Nom de la requête/du filtre Expression
Journaux d'audit Cloud SQL

resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudaudit.googleapis.com/activity")
Journaux d'erreurs MySQL Cloud SQL

resource.type="cloudsql_database" AND
log_id("cloudsql.googleapis.com/mysql.err")
Bases de données MySQL Cloud SQL

resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/mysql")
Bases de données Postgres Cloud SQL

resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/postgres.log")
Journaux d'erreurs Cloud SQL SQL Server

resource.type="cloudsql_database" AND
log_id("cloudsql.googleapis.com/sqlserver.err")
Bases de données SQL Server Cloud SQL

resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/sqlagent.out")

Requêtes Cloud Storage

Nom de la requête/du filtre Expression
Journaux des buckets GCS

resource.type="gcs_bucket" AND
resource.labels.bucket_name="BUCKET_NAME"
Journaux d'audit des buckets GCS

resource.type="gcs_bucket" AND
logName:"cloudaudit.googleapis.com" 
Journaux de création de buckets GCS

resource.type="gcs_bucket" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.method_name="storage.buckets.create" 
Journaux de suppression de bucket GCS

resource.type="gcs_bucket" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.method_name="storage.buckets.delete" 

Requêtes Cloud Tasks

Nom de la requête/du filtre Expression
Journaux de files d'attente Cloud Tasks

resource.type="cloud_tasks_queue" AND
resource.labels.queue_id="QUEUE_ID"

Requêtes Compute Engine​

Nom de la requête/du filtre Expression
Journaux pour les activités d'administration Compute Engine

resource.type="gce_instance" AND
log_id("cloudaudit.googleapis.com/activity")
Suppression d'une règle de pare-feu Compute Engine

resource.type="gce_firewall_rule" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"firewalls.delete" 
Journaux syslog de VM Compute Engine

resource.type="gce_instance" AND
log_id("syslog") 
Journaux d'authentification des VM Compute Engine

resource.type="gce_instance" AND
log_id("authlog") 
Erreur d'hôte Compute Engine

resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:"OnHostMaintenance"
OR
operation.producer:"OnHostMaintenance")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO 
Hôte Compute Engine migré

resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:
"compute.instances.migrateOnHostMaintenance" OR
operation.producer:
"compute.instances.migrateOnHostMaintenance")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO 
VM Compute Engine arrêtée/préemptée

resource.type="gce_instance"
protoPayload.methodName=
~"compute\.instances\.(guestTerminate|preempted)"
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID" 
Instance de VM Compute Engine créée

resource.type="gce_instance"
protoPayload.methodName:"compute.instances.insert"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.request.name="INSTANCE_NAME" 
Instance de VM Compute Engine redémarrée

resource.type="gce_instance"
protoPayload.methodName=~"compute\.instances\.(
stop|reset|automaticRestart|guestTerminate|
instanceManagerHaltForRestart)"
(log_id("cloudaudit.googleapis.com/activity")
OR log_id("cloudaudit.googleapis.com/system_event"))
resource.labels.instance_id="INSTANCE_ID" 
Échec de l'intégrité du démarrage de la VM protégée Compute Engine

resource.type="gce_instance"
log_id("compute.googleapis.com/shielded_vm_integrity")
jsonPayload.earlyBootReportEvent.policyEvaluationPassed="false"
resource.labels.instance_id="INSTANCE_ID" 
Instance de VM Compute Engine arrêtée par l'OS invité

resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:"compute.instances.guestTerminate" OR
operation.producer:"compute.instances.guestTerminate")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO 
Le fichier de démarrage de la VM protégée Compute Engine a été bloqué

resource.type="gce_instance"
log_id("serialconsole.googleapis.com/serial_port_1_output")
textPayload:("Security Violation")
resource.labels.instance_id="INSTANCE_ID" 
Disque persistant créé

resource.type="gce_disk" AND
protoPayload.methodName:"compute.disks.insert" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.resourceName: "PERSISTENT_DISK_NAME"
Nœuds ajoutés au nœud à locataire unique

resource.type="gce_node_group"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName=~("compute.nodeGroups.addNodes"
OR "compute.nodeGroups.insert")
resource.labels.node_group_id="NODE_GROUP_ID"
severity="INFO"
Événements liés à l'autoscaling dans le nœud à locataire unique

resource.type="gce_node_group"
log_id("cloudaudit.googleapis.com/system_event")
protoPayload.methodName=~("compute.nodeGroups.deleteNodes"
OR "compute.nodeGroups.addNodes")
resource.labels.node_group_id="NODE_GROUP_ID"
Instantané effectué manuellement

resource.type="gce_snapshot"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.snapshots.insert"
protoPayload.resourceName:"SNAPSHOT_NAME"
Instantané programmé pris

resource.type="gce_disk"
log_id("cloudaudit.googleapis.com/system_event")
protoPayload.methodName="ScheduledSnapshots"
protoPayload.response.operationType="createSnapshot"
protoPayload.response.targetLink="PERSISTENT_DISK_NAME"
Programmation d'instantanés créée

resource.type="gce_resource_policy"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.resourcePolicies.insert"
protoPayload.request.name="SCHEDULE_NAME"
Programmation des instantanés associée

resource.type="gce_disk"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.disks.addResourcePolicies"
protoPayload.request.resourcePolicys:"SCHEDULE_NAME"
protoPayload.resourceName:"PERSISTENT_DISK_NAME"
Quota dépassé

resource.type="gce_instance"
protoPayload.methodName:"compute.instances.insert"
protoPayload.status.message:"QUOTA_EXCEEDED"
severity=ERROR
Interroger les instances non opérationnelles dans le groupe d'instances

resource.type="gce_instance_group"
resource.labels.instance_group_name="INSTANCE_GROUP_NAME"
jsonPayload.healthCheckProbeResult.healthState="UNHEALTHY"
Interroger les membres du groupe d'instances sur une période donnée au format UTC

resource.type="gce_instance_group_manager"
resource.labels.instance_group_manager_name="INSTANCE_GROUP_NAME"
jsonPayload.@type=
"type.googleapis.com/compute.InstanceGroupManagerEvent"
jsonPayload.instanceHealthStateChange.detailedHealthState="HEALTHY"
timestamp >= START_TIME timestamp <= END_TIME 
Instances supprimées du groupe d'instances

resource.type="gce_instance_group"
protoPayload.methodName:"compute.instanceGroups.removeInstances"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.instance_group_name="INSTANCE_GROUP_NAME"
Modèle d'instance défini ou mis à jour

resource.type="gce_instance_group_manager"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName=
"v1.compute.instanceGroupManagers.setInstanceTemplate"
resource.labels.instance_group_manager_name="INSTANCE_GROUP_MANAGER"
Règle de pare-feu détectée

resource.type="gce_firewall_rule"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"firewalls.delete"
Journaux de pare-feu

resource.type="gce_subnetwork"
log_id("compute.googleapis.com/firewall")
jsonPayload.instance.vm_name="INSTANCE_NAME"

Requêtes d'observabilité Google Cloud

Nom de la requête/du filtre Expression
Activités de récepteur de journaux

resource.type="logging_sink" AND
log_id("cloudaudit.googleapis.com/activity")
Activités de création ou de mise à jour de métrique basée sur les journaux

resource.type="metric" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:(UpdateLogMetric OR CreateLogMetric)
Tests de disponibilité d'URL pour un hôte

resource.type="uptime_url" AND
resource.labels.host="URL"

Requêtes de gestion de l'authentification et des accès

Nom de la requête/du filtre Expression
Journaux de création de compte de service

resource.type="service_account" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.iam.admin.v1.CreateServiceAccount" 
Journaux des clés de création de compte de service

resource.type="service_account" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.iam.admin.v1.CreateServiceAccountKey" 
Journaux de définition des stratégies de contrôle d'accès

resource.type="project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="SetIamPolicy" 
Compte principal externe autorisé à accéder à l'organisation

resource.type="project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog" AND
protoPayload.request.@type:"IamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:* AND
NOT protoPayload.serviceData.policyDelta.bindingDeltas.member:"@DOMAIN_NAME.com" 
Création, modification ou suppression de ressources

log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:("create" OR "delete" OR "update")
Rôle attribué au compte principal

log_id("cloudaudit.googleapis.com/activity") AND
resource.type="project" AND
protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND
protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.action="Add" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID" 
Rôle supprimé du compte principal

log_id("cloudaudit.googleapis.com/activity") AND
resource.type="project" AND
protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND
protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.action="Remove" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID" 
Autorisation mise à jour dans un rôle personnalisé

log_id("cloudaudit.googleapis.com/activity") AND
resource.type="iam_role" AND
protoPayload.serviceName="iam.googleapis.com" AND
protoPayload.methodName:"UpdateRole" AND
resource.labels.role_name:"ROLE_ID" 

Requêtes associées à Kubernetes

Pour obtenir une présentation et des exemples de requêtes concernant le journal d'audit des activités d'administration, consultez celles fournies sur la page Journaux d'audit GKE.

Requêtes au niveau du cluster

Nom de la requête/du filtre Expression
Opérations du cluster Google Kubernetes Engine

resource.type="gke_cluster" AND
log_id("cloudaudit.googleapis.com/activity")
Création du cluster Google Kubernetes Engine

resource.type="gke_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.container.v1.ClusterManager.CreateCluster"
      
Déploiement du cluster Kubernetes

resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"deployments"
      
Échec de l'authentification du cluster Kubernetes

resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.authenticationInfo.principalEmail="system:anonymous"
      
Opérations et événements de cluster Kubernetes dans la zone us-central1-b

resource.type="k8s_cluster" AND
resource.labels.location="us-central1-b"
      
Requêtes de pod Kubernetes envoyées par des utilisateurs

resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"io.k8s.core.v1.pods" AND
protoPayload.authenticationInfo.principalEmail="USER_EMAIL"
      
Événements Kubernetes

resource.type="k8s_cluster" AND
log_id("events")
      
Mise à jour des points de terminaison Kubernetes

resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.request.kind="Endpoints"
      
Journaux du plan de contrôle Kubernetes

resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.serviceName="k8s.io"
      
Journaux du plan de contrôle Kubernetes Engine

resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.serviceName="container.googleapis.com"
      
Suppression des pods

resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName=~"io\.k8s\.core\.v1\.pods\.(create|delete)"
      
Journaux d'audit des pods Kubernetes à partir du plan de contrôle

resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.resourceName="core/v1/namespaces/POD_NAMESPACE/pods/POD_NAME
      
Évictions de pods Kubernetes

resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="io.k8s.core.v1.pods.eviction.create"
      
Journaux d'audit des nœuds Kubernetes à partir du plan de contrôle

resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"io.k8s.core.v1.nodes"
      
Plan de contrôle des clusters Kubernetes pour l'activité d'Addon Manager Activity

resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.authenticationInfo.principalEmail="system:addon-manager"
      
Erreurs du plan de contrôle Kubernetes (à l'exception de Conflict, ce qui est normal)

resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.status.message!="Conflict" AND
protoPayload.status.code!=0
      
Événements du contrôleur d'entrée

resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="loadbalancer-controller"
      
Événements du contrôleur de service (kube-controller-manager)

resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="service-controller"
      
Événements de l'autoscaler de cluster

resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="cluster-autoscaler"
      

Requêtes au niveau du pod

Nom du filtre Expression
Interrogation du pod lors de la création

resource.type="k8s_pod" AND
resource.labels.pod_name="POD_NAME" AND
log_id("events")
      
Le pod de la requête a été arrêté en raison de la pression des ressources

resource.type="k8s_pod" AND
        log_id("events") AND
        jsonPayload.reason="Evicted"
      
Événements du programmeur

resource.type="k8s_pod" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="default-scheduler"
      
Événements du programmeur (préemptions)

resource.type="k8s_pod" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="default-scheduler" AND
jsonPayload.reason="Preempted"
      

Requêtes au niveau du nœud

Nom du filtre Expression
Événements du nœud

resource.type="k8s_node" AND
log_id("events")
      
Consultation des journaux de Kube-proxy

resource.type="k8s_node" AND
log_id("kube-proxy")
      
Consultation des journaux dockerd

resource.type="k8s_node" AND
log_id("container-runtime")
      
Consultation des erreurs ou des échecs de kubelet

resource.type="k8s_node" AND
log_id("kubelet") AND
jsonPayload.MESSAGE:("error" OR "fail")
      
Afficher les journaux de nœuds pour les journaux système de GKE

resource.type = "k8s_node"
logName:( "logs/container-runtime" OR
"logs/docker" OR
"logs/kube-container-runtime-monitor" OR
"logs/kube-logrotate" OR
"logs/kube-node-configuration" OR
"logs/kube-node-installation" OR
"logs/kubelet" OR
"logs/kubelet-monitor" OR
"logs/node-journal" OR
"logs/node-problem-detector")
      

Requêtes d'espace de noms

Nom du filtre Expression
Journaux de conteneurs et de pods pour les journaux système GKE

resource.type = ("k8s_container" OR "k8s_pod")
resource.labels.namespace_name = (
"cnrm-system" OR
"config-management-system" OR
"gatekeeper-system" OR
"gke-connect" OR
"gke-system" OR
"istio-system" OR
"knative-serving" OR
"monitoring-system" OR
"kube-system")
      

Requêtes de conteneur

Nom du filtre Expression
Journaux de conteneurs Stdout sur tous les pods et conteneurs d'un cluster

resource.type="k8s_container" AND
log_id("stdout")
      
Journaux d'erreurs du conteneur sur tous les pods et conteneurs d'un cluster

resource.type="k8s_container" AND
log_id("stderr") AND
severity=ERROR
      
Journaux d'erreurs du conteneur pour un pod portant un nom spécifique

resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
severity=ERROR
      
Journaux d'erreurs du conteneur pour un conteneur dans un pod spécifique

resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
resource.labels.container_name="server" AND
severity=ERROR
      
Journaux d'erreurs du conteneur pour un espace de noms et un conteneur spécifiques

resource.type="k8s_container" AND
resource.labels.namespace_name="istio-system" AND
resource.labels.container_name="egressgateway" AND
severity=ERROR
      
Journaux de conteneurs pour un pod avec un libellé spécifique

resource.type="k8s_container" AND
labels."k8s-pod/app"="loadgenerator" AND
severity=ERROR
      
Journaux d'erreurs du conteneur pour les pods exécutés sur un nœud spécifique

resource.type="k8s_container" AND
labels."compute.googleapis.com/resource_name"=NODE_NAME AND
severity=ERROR
      
Journaux de conteneurs pour un pod avec un libellé généré à l'aide de Skaffold

resource.type="k8s_container" AND
labels."k8s-pod/app"="loadgenerator" AND
labels."k8s-pod/skaffold_dev/run-id"=SKAFFOLD_RUN_ID
severity=ERROR
      
Journaux d'erreurs du conteneur pour un pod spécifique contenant un objet POST dans le champ textPayload

resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
textPayload:"POST" AND
severity=ERROR
      
Journaux d'erreurs du conteneur pour un pod spécifique contenant un objet GET dans le fichier JSON structuré

resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
jsonPayload."http.req.method"="GET" AND
severity=ERROR
      
Journaux d'erreurs du conteneur dans l'espace de noms kube-system

resource.type="k8s_container" AND
resource.labels.namespace_name="kube-system" AND
severity=ERROR
      
Erreur de conteneur dans le journal d'insights du conteneur

resource.type="k8s_container" AND
log_id("clouderrorreporting.googleapis.com/insights")
      
Journaux de conteneur Kubernetes

resource.type="k8s_container" AND
resource.labels.container_name="CONTAINER_NAME"
      

Requêtes du plan de contrôle

Remarque: Les journaux du plan de contrôle GKE doivent être activés.
Nom du filtre Expression
Journaux du serveur d'API Kubernetes

resource.type="k8s_control_plane_component"
        resource.labels.component_name="apiserver"
        resource.labels.location="CLUSTER_LOCATION"
        resource.labels.cluster_name="CLUSTER_NAME"
      
Journaux du programmeur Kubernetes

resource.type="k8s_control_plane_component"
        resource.labels.component_name="scheduler"
        resource.labels.location="CLUSTER_LOCATION"
        resource.labels.cluster_name="CLUSTER_NAME"
      
Journaux du gestionnaire de contrôleurs Kubernetes

resource.type="k8s_control_plane_component"
        resource.labels.component_name="controller-manager"
        resource.labels.location="CLUSTER_LOCATION"
        resource.labels.cluster_name="CLUSTER_NAME"
      

Requêtes d'application de l'agent Logging

Nom de la requête/du filtre Expression
Journaux Apache

resource.type="gce_instance" AND
(logName:"/apache-access" OR logName:"/apache-error")
Journaux Cassandra

resource.type="gce_instance" AND
log_id("cassandra")
Journaux Chef

resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/chef-"
Journaux gitlab

resource.type="gce_instance"
logName:"projects/PROJECT_ID/logs/gitlab-" 
Journaux Jenkins

resource.type="gce_instance" AND
log_id("jenkins")
Journaux Jetty

resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/jetty-"
Journaux Joomla

resource.type="gce_instance" AND
log_id("joomla")
Journaux syslog Linux

resource.type="gce_instance" AND
log_id("syslog")
Journaux Magneto

resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/magneto-"
Journaux MediaWiki

resource.type="gce_instance" AND
log_id("mediawiki")
Journaux memcached

resource.type="gce_instance" AND
log_id("memcached")
Journaux Mongodb

resource.type="gce_instance" AND
log_id("mongodb")
Journaux MySQL

resource.type="gce_instance" AND
log_id("mysql")
Journaux Nginx

resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/nginx-"
Journaux PostgreSQL

resource.type="gce_instance" AND
log_id("postgresql")
Journaux Puppet

resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/puppet-"
Journaux RabbitMQ

resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/rabbitmq-"
Journaux Redmine

resource.type="gce_instance" AND
log_id("redmine")
Journaux Salt

resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/salt-"
Requêtes MySQL lentes

resource.type="gce_instance" AND
log_id("mysql-slow")
Journaux Solr

resource.type="gce_instance" AND
log_id("solr")
Journaux SugarCRM

resource.type="gce_instance" AND
log_id("sugarcrm")
Journaux Tomcat

resource.type="gce_instance" AND
log_id("tomcat")
Journaux Zookeeper

resource.type="gce_instance" AND
log_id("zookeeper")

Requêtes de mise en réseau

Nom de la requête/du filtre Expression
Tous les journaux de pare-feu

resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall")
Journaux de pare-feu pour un pays donné

resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
jsonPayload.remote_location.country=COUNTRY_ISO_ALPHA_3
Journaux de pare-feu d'une VM

resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
jsonPayload.instance.vm_name="INSTANCE_NAME"
Journaux de sous-réseau de pare-feu

resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
resource.labels.subnetwork_name="SUBNET_NAME"
Journaux de trafic d'un sous-réseau Compute Engine vers un sous-réseau

resource.type="gce_subnetwork" AND
ip_in_net(jsonPayload.connection.dest_ip, "SUBNET_IP")
Journaux de flux VPC

resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows")
Journaux de flux VPC pour un port et un protocole spécifiques

resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
jsonPayload.connection.src_port="PORT_ID" AND
jsonPayload.connection.protocol="PROTOCOL"
Journaux de flux VPC pour un sous-réseau spécifique

resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
resource.labels.subnetwork_name"=SUBNET_NAME"
Journaux de flux VPC pour un préfixe de sous-réseau spécifique

resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
ip_in_net(jsonPayload.connection.dest_ip,SUBNET_IP)
Journaux de flux VPC pour une VM spécifique

resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
jsonPayload.src_instance.vm_name="VM_NAME"
Journaux de passerelle VPN

resource.type="vpn_gateway" AND
resource.labels.gateway_id="GATEWAY_ID"
Erreurs 5xx de l'équilibreur de charge HTTP

resource.type="http_load_balancer" AND
httpRequest.status>=500
Requêtes de l'équilibreur de charge HTTP à phpMyAdmin

resource.type="http_load_balancer" AND
httpRequest.request_url:"phpmyadmin"

Requêtes de journaux de sécurité

Nom de la requête/du filtre Expression
Tous les journaux d'audit

logName:"cloudaudit.googleapis.com"
Journaux d'audit pour Access Transparency (AXT)

log_id("cloudaudit.googleapis.com/access_transparency")
Journaux d'audit des activités d'administration

log_id("cloudaudit.googleapis.com/activity")
Journaux d'audit de l'accès aux données

log_id("cloudaudit.googleapis.com/data_access")
Journaux d'audit des événements système

log_id("cloudaudit.googleapis.com/system_event")

Dépannage

Pour obtenir des instructions sur la résolution des problèmes courants liés à l'utilisation de l'explorateur de journaux, consultez la section Utiliser l'explorateur de journaux: dépannage.

Étapes suivantes

Pour en savoir plus sur la syntaxe des requêtes, qui permet de les personnaliser, consultez la page Langage de requête Logging.

Pour en savoir plus sur l'exécution de requêtes dans la console Google Cloud, consultez la page Créer des requêtes à l'aide du langage de requête Logging.