Ce document présente l'explorateur de journaux de la console Google Cloud, que vous pouvez utiliser pour récupérer, afficher et analyser les entrées de journal stockées dans des buckets de journaux. L'affichage et l'analyse d'entrées de journal individuelles et d'une séquence d'entrées de journal peuvent vous aider à résoudre les problèmes. Vous pouvez également lire les données de journal à l'aide de l'API Logging et de la Google Cloud CLI.
Pour effectuer des opérations agrégées sur vos entrées de journal, comme compter le nombre de les entrées de journal contenant un modèle spécifique, mettez à niveau le bucket de journaux pour qu'il utilise l'outil Analyse de journaux, puis exécuter des requêtes depuis l'outil Analyse de journaux ; de la console Google Cloud. Vous pouvez continuer à utiliser Explorateur de journaux pour afficher les journaux dans des buckets de journaux mis à niveau pour utiliser l'Analyse de journaux. Pour en savoir plus, consultez la page Présentation de Log Analytics.
Le reste de ce document explique comment utiliser l'explorateur de journaux.
Avant de commencer
Pour obtenir les autorisations nécessaires pour utiliser l'explorateur de journaux afin d'afficher les entrées de journal, demandez à votre administrateur de vous accorder le rôles IAM suivants:
-
Pour afficher les entrées de journal dans le bucket
_Required
et celles de la vue_Default
sur le bucket_Default
, ou pour sélectionner une portée de journal : Afficheur de journaux (roles/logging.viewer
) sur votre projet, votre dossier ou votre organisation. -
Pour afficher toutes les entrées de journal dans les buckets
_Required
et_Default
: Lecteur de journaux privés (roles/logging.privateLogViewer
) sur votre projet, dossier ou organisation. -
Pour afficher les champs
LogEntry
restreints dans un bucket de journaux : Accesseur de champ de journaux (roles/logging.fieldAccessor
) sur le projet, le dossier ou l'organisation qui stocke le bucket de journaux. Pour savoir comment restreindre l'accès aux champsLogEntry
, consultez Configurer l'accès au niveau d'un champ. -
Pour afficher les entrées de journal stockées dans une vue des journaux sur un bucket de journaux : Accès à la vue des journaux (
roles/logging.viewAccessor
) sur le projet, le dossier ou l'organisation qui contient le bucket de journaux. Pour savoir comment accéder uniquement à une vue de journal spécifique, consultez Contrôler l'accès à une vue de journal.
Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.
Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.
Commencer
Pour commencer à utiliser l'explorateur de journaux, procédez comme suit :
-
Dans la console Google Cloud, accédez à la page Explorateur de journaux.
Accéder à l'explorateur de journaux
Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Logging.
Sélectionnez un projet, un dossier ou une organisation Google Cloud.
Les entrées de journal affichées sur la page Explorateur de journaux dépendent de la suivantes:
- Ressources recherchées pour les entrées de journal.
- Paramètre de la période.
- Vos rôles IAM (Identity and Access Management) sur les ressources recherchées.
- Votre requête filtre les résultats de recherche.
Par exemple, l'ajout de la requête
severity>=ERROR
génère n'affiche que les entrées de journal présentant un niveau de gravité deERROR
au minimum.
Par défaut, la page Explorateur de journaux recherche les ressources listées dans le champ d'application des journaux par défaut ; pour les entrées de journaux. Si ce champ d'application n'est pas accessible, la page recherche les entrées de journal provenant du projet, du dossier ou de l'organisation que vous avez sélectionnés. Lorsqu'un projet est sélectionné, les résultats de recherche incluent les entrées de journal acheminées vers le projet par un récepteur dans un autre projet, puis stockées dans un bucket de journaux.
Une fois la page Explorateur de journaux ouverte, vous pouvez sélectionner les ressources pour lesquelles l'explorateur de journaux recherche des entrées de journal. les modifications que vous apportez à l'aide du menu Affiner le champ d'application ; ne s'appliquent qu'à la session en cours.
Interface de l'explorateur de journaux
L'interface de l'explorateur de journaux vous permet d'afficher des entrées de journal, de les analyser et de les interpréter, et de spécifier des paramètres de requête. L'explorateur de journaux contient les sections suivantes, qui sont détaillées sur cette page :
- Barre d'outils principale
- Volet Requête
- Volet Champs de journal
- Calendrier
- Barre d'outils Résultats de la requête
- Volet des résultats de la requête
Barre d'outils principale
La barre d'outils principale vous permet d'effectuer les opérations suivantes :
- menu_book Bibliothèque de requêtes : affichez les requêtes enregistrées, récentes et suggérées. Pour en savoir plus, consultez les sections Enregistrer des requêtes et Partager des requêtes.
- link Partager le lien: créez une URL abrégée de la requête et
dans le presse-papiers, ce qui facilite
le partage d'une requête.
L'URL copiée est associée à la période absolue correspondante représentée par le
la période de votre requête ; Exemple :
7:49:37 PM - 8:49:37 PM
. - settings Préférences: ajustez l'affichage des Explorateur de journaux, puis personnalisez le format des résultats de votre requête. Pour en savoir plus, consultez la section Définir des préférences pour afficher les données de journal.
- Sélecteur de période : spécifiez une période pour les entrées de journal que vous souhaitez afficher. Pour en savoir plus, consultez utilisez le sélecteur de période.
- Diffuser les journaux : affichez les entrées de journal à mesure que Logging les stocke dans des buckets de journaux. Pour en savoir plus, consultez la section Diffuser les journaux.
- school En savoir plus: affichez les liens vers la documentation et les rubriques pertinentes.
Afficher les requêtes récentes, enregistrées et suggérées
Pour afficher les requêtes que vous avez récemment exécutées, celles que vous avez enregistrées pour une utilisation ultérieure et les suggestions de requêtes, cliquez sur le bouton menu_bookBibliothèque de requêtes.
Dans l'onglet Bibliothèque de requêtes, vous pouvez afficher les éléments suivants:
Requêtes récentes : affichez les requêtes que vous avez récemment exécutées. Pour en savoir plus, consultez la section Utiliser les requêtes récentes.
Requêtes enregistrées : affichez vos requêtes enregistrées et celles que d'autres utilisateurs du projet Google Cloud ont partagées avec vous. Pour en savoir plus, consultez les sections Enregistrer des requêtes et Partager des requêtes.
Requêtes suggérées : affichez les requêtes suggérées en fonction des ressources de votre projet Google Cloud. Pour en savoir plus, consultez Utilisez les requêtes suggérées.
Requêtes fournies par Google Cloud : consultez les requêtes fournies par Google Cloud en fonction des cas d'utilisation courants de divers services Google Cloud. Pour en savoir plus, consultez Sélectionner des requêtes dans la bibliothèque.
Définir les préférences d'affichage des données des journaux
Pour personnaliser la présentation des données de vos journaux dans les résultats de la requête, cliquez sur le bouton settings Préférences, puis sélectionnez Affichage, Format ou Gérer les champs récapitulatifs :
Pour afficher ou masquer les volets Chronologie et Champs du journal, pour masquer les chips récapitulatifs dans les résultats de votre requête ou pour modifier l'ordre de tri de vos journaux, sélectionnez Affichage.
Pour configurer la colonne Heure des résultats de votre requête, sélectionnez Format : Pour en savoir plus, consultez Configurer la colonne Heure.
Pour afficher jusqu'à 10 lignes pour chaque entrée de journal, sélectionnez Format, puis cliquez sur Mettre en forme les lignes. Par défaut, le contenu de chaque entrée de journal est tronqué pour dans une seule ligne. Les espaces vides sont conservés dans chaque entrée de journal.
Pour trouver des tendances dans vos journaux à l'aide de champs de résumé, sélectionnez Manage summary fields (Gérer les champs de résumé). Pour en savoir plus, consultez Identifiez des tendances dans vos journaux à l'aide des champs de résumé.
Configurez la colonne Heure.
La colonne Heure du volet Résultats de la requête affiche les codes temporels de vos entrées de journal. Vous pouvez personnaliser la colonne Heure afin que seules certaines certaines parties de l'horodatage sont visibles. Cela crée plus d'espace horizontal afin que vous puissiez afficher plus d'informations dans l'entrée de journal.
Pour sélectionner les parties de l'horodatage à afficher, cliquez sur l'icône settings Préférences, sélectionnez Format, puis sélectionnez l'une des options suivantes:
Date, heure et fuseau horaire
Date et heure (par défaut)
Heure uniquement
Identifier des tendances dans vos journaux à l'aide de champs récapitulatifs
Supposons que vous examiniez les entrées de journal dans les résultats de votre requête et que vous souhaitiez parcourir rapidement les résultats en fonction d'un certain champ LogEntry
. Vous pouvez également regrouper vos entrées de journal en fonction d'une paire champ/valeur spécifique. Vous pouvez ajouter
des champs de résumé à vos résultats, qui s'affichent sous forme de chips au début de chaque
d'entrée de journal.
L'explorateur de journaux propose des champs de résumé par défaut et des champs de résumé personnalisés.
Les champs de résumé par défaut dépendent des résultats de votre requête actuelle, et les champs de résumé personnalisés vous permettent de sélectionner n'importe quel champ dans LogEntry
.
Pour afficher ou masquer tous les chips de champ récapitulatif dans les résultats de votre requête, cliquez sur le bouton settings Préférences, sélectionnez Affichage, puis Afficher les chips récapitulatifs. Lorsque cette option est activée, les résultats sont affiché au format texte brut.
Pour masquer des champs de résumé spécifiques, activez Champs de résumé, puis cliquez sur Masquer le champ de résumé. Pour modifier les champs de résumé, procédez comme suit:
Cliquez sur le bouton settings Préférences, puis sélectionnez Gérer les champs de résumé.
Dans la boîte de dialogue Gérer les champs récapitulatifs, vous pouvez effectuer les opérations suivantes :
Ajoutez des noms de champs personnalisés aux champs de résumé personnalisés.
Le champ de synthèse prend en charge la saisie semi-automatique et la correction du champ pour les caractères juridiques entre guillemets. Par exemple, si vous saisissez
jsonPayload.id-field
, il est remplacé parjsonPayload."id-field"
.Vous pouvez également sélectionner n'importe quel champ
LogEntry
, quel que soit est suggérée ou non avec la fonction de saisie semi-automatique.Pour supprimer un champ de résumé personnalisé existant, cliquez sur
X
dans son chip.Activez ou désactivez la troncature pour vos champs de résumé personnalisés.
Pour réduire l'affichage des valeurs des champs de synthèse, utilisez l'option toggle_off à côté de Tronquer les champs de synthèse personnalisés. Vous pouvez choisir le nombre de caractères à afficher avant que le champ ne soit tronqué, et si le début ou la fin du champ est affiché.
Masquer ou afficher les champs de résumé par défaut :
Pour personnaliser les champs de résumé par défaut affichés dans les résultats de votre requête, développez le menu Masquer ou afficher les champs de résumé par défaut.
Cliquez sur Appliquer.
Vos champs récapitulatifs sont désormais mis à jour dans les résultats de vos requêtes.
Afficher les journaux par période
Pour spécifier une période pour les entrées de journal que vous souhaitez afficher, utilisez le sélecteur de période.
Pour effectuer une actualisation forcée des résultats de votre requête afin d'inclure l'heure actuelle, Cliquez sur keyboard_tab Heure actuelle.
Diffuser les journaux
Vous pouvez diffuser des journaux à mesure que Logging les stocke dans des buckets de journaux, ou ajouter une requête pour ne diffuser que les journaux correspondant à la requête.
Pour diffuser des journaux en fonction d'une requête, ajoutez une requête dans le volet Requête, puis puis sélectionnez le bouton Diffuser les journaux dans la barre d'outils principale. Comme Logging stocke les données de journalisation dans des buckets de journaux, seuls les journaux correspondant à la requête sont affichés dans le volet Résultats de la requête. Lorsqu'aucune requête n'est fournie, Logging affiche chaque entrée de journal au fur et à mesure de son stockage.
Pour arrêter la diffusion, cliquez sur stop Arrêter la diffusion ou faites défiler la page manuellement pour mettre la diffusion en pause.
Volet Requête
Pour créer une requête dans l'explorateur de journaux, utilisez le volet de requête. Dans la requête vous pouvez créer et affiner des requêtes à l'aide des fonctionnalités suivantes:
Rechercher dans tous les champs : recherchez les entrées de journaux qui correspondent à vos termes ou expressions de recherche. Tous les termes de recherche ajoutés au champ Rechercher dans tous les champs sont ajoutés au champ de l'éditeur de requête et sont évalués dans l'expression de votre requête. Pour en savoir plus, consultez Rechercher du texte dans les champs de journal.
Filtrer les menus: créez des requêtes en sélectionnant des ressources à l'aide de divers menus. les noms de journaux, les niveaux de gravité et la corrélation avec d'autres journaux. Pour en savoir plus, consultez Utilisez les menus de filtrage.
Champ de l'éditeur de requêtes : créez des requêtes avancées à l'aide du langage de requête Logging. Si le champ de l'éditeur de requête n'apparaît pas, activez Afficher la requête. Pour en savoir plus, consultez la page Écrire des requêtes avancées à l'aide du langage de requête Logging.
Après avoir examiné votre requête, cliquez sur Exécuter la requête. Les journaux correspondant à votre requête sont répertoriés dans le volet Résultats de la requête. La Volets Chronologie et Champs de journal ou ajuster en fonction de l'expression de la requête.
Ressources sélectionnées pour rechercher des entrées de journal
Lorsque vous ouvrez la page Explorateur de journaux, les entrées de journal sont récupérées.
qui proviennent de la ressource que vous avez sélectionnée et que vous êtes autorisé à
vue.
Pour les projets Google Cloud, les entrées de journal récupérées incluent également celles
sont acheminés vers le projet par un récepteur dans un autre projet.
Si vous saisissez une requête, l'explorateur de journaux n'affiche que les entrées de journal récupérées qui correspondent également à la requête.
Par exemple, l'ajout de la requête severity>=ERROR
génère
n'affiche que les entrées de journal présentant un niveau de gravité de
ERROR
au minimum.
Pour votre session actuelle, vous pouvez configurer les ressources L'explorateur de journaux recherche des entrées de journal à l'aide du champ d'application Affiner . Par exemple, lors du dépannage, vous pouvez choisir d'examiner uniquement les entrées de journal incluses dans une vue de journal ou provenant d'un projet Google Cloud spécifique.
Le menu Affiner le champ d'application vous permet de rechercher par projet actuel, par vue de journal ou par champ d'application des journaux :
Pour rechercher des éléments en fonction du projet, du dossier ou de l'organisation sélectionnés avec le sélecteur de projet, développez le menu Affiner le champ d'application, puis sélectionnez Projet en cours.
Pour toutes les ressources, les résultats de recherche incluent les entrées de journal provenant de la ressource. Pour les projets Google Cloud, la recherche les résultats incluent aussi les entrées de journal acheminées vers le projet par un récepteur dans un autre projet.
Pour rechercher des vues de journaux, développez le menu Affiner la portée, sélectionnez Vue de journal, puis sélectionnez une ou plusieurs vues de journaux dans le menu.
Lorsqu'un projet est sélectionné avec le sélecteur de projet, le menu liste les vues de journal sur les buckets de journaux stockés par le projet sélectionné. Toutefois, lorsqu'un dossier ou une organisation est sélectionné, le menu liste toutes les vues de journal qui stockent des entrées de journal provenant de ces ressources.
Modifier le menu "Vue des journaux" pour inclure les vues de journaux dans les buckets de journaux stockées dans un projet, cliquez sur add_circle Importer un projet, puis sélectionnez le projet.
Pour effectuer une recherche dans les ressources incluses dans un champ d'application de journal qui peuvent inclure des projets et des vues de journaux, développez le menu Affiner le champ d'application, sélectionnez Champ d'application de journal, puis choisissez un champ d'application de journal.
Si vous souhaitez configurer vos champs d'application de journaux, cliquez sur Gérer les champs d'application. Pour en savoir plus, consultez la section Créer et gérer des champs d'action de journaux.
Les portées de journalisation sont disponibles en version Preview publique.
Volet Champs du journal
Le volet Champs de journal offre une synthèse brève des données de journaux et permet d'affiner efficacement une requête. Le volet affiche les entrées de journal non fonctionnelles selon différentes dimensions, correspondant aux champs de ces entrées.
Après avoir exécuté la requête dans le champ de l'éditeur de requête, vous pouvez accéder au volet Champs de journal. est renseigné en fonction des résultats de la requête. Ce volet affiche le nombre d'entrées de journal pour chaque dimension compatible. Pour chaque dimension, vous pouvez effectuer une sélection. Les dimensions suivantes sont toujours disponibles:
Type de ressource
Si vous utilisez BindPlane pour écrire des journaux sur site etcloud hybrides, puis sélectionnez le type de ressource Nœud générique :
Gravité
Si vous souhaitez que votre requête filtre par plusieurs niveaux de gravité, utilisez le menu Gravité.
Vous pouvez voir une dimension Service :
Si vous disposez de journaux dont le type de ressource est Conteneur Kubernetes, Si vous n'avez pas filtré vos journaux par type de ressource, le menu Service s'affiche. Les entrées de ce menu sont déterminées dynamiquement par les valeurs du libellé
k8s-pod/app
de la ressource.Par exemple, si une entrée de journal semblable à la suivante s'affiche en réponse à votre requête, le menu des services inclut le service nommé
myservice
:{ ... labels: { compute.googleapis.com/resource_name: "mycluster1" k8s-pod/app: "myservice" k8s-pod/pod-template-hash: "5ffcd94fdd" } logName: "projects/my-project/logs/stdout" resource: { labels: {6} type: "k8s_container" } ... }
Si vous filtrez selon le type de ressource Ressource auditée, le menu Service est renseigné. Les entrées de ce menu sont déterminées dynamiquement par les valeurs du libellé
service
de la ressource.
D'autres dimensions, telles que l'ID de projet, sont listées en fonction de votre sélectionnées. Par exemple, la dimension ID de projet est listée lorsque votre requête limite les entrées de journal à celles dont le type de ressource est Conteneur Kubernetes ou lorsque vous avez sélectionné une vue de journal.
Affiner votre requête
Pour affiner votre requête, sélectionnez une valeur dans le volet Champs de journal. Par exemple :
si vous sélectionnez Erreur dans l'en-tête Gravité, le
Le volet de requête a été mis à jour pour inclure severity=ERROR
.
Pour supprimer un élément sélectionné, cliquez sur le bouton Effacer.
Ajouter des champs au volet Champs du journal
Vous pouvez ajouter certaines paires clé/valeur LogEntry
au volet Champs du journal à partir des entrées de journal renseignées dans le volet Résultats de la requête. Par exemple :
si vous filtrez fréquemment en fonction de la valeur du champ jsonPayload.message
, alors
ajoutez-le au volet Champ de journaux.
Pour ajouter un champ au volet Champs du journal, procédez comme suit :
Dans le volet Résultats de la requête, développez une entrée de journal en cliquant sur chevron_right Développez cette entrée de journal.
Sélectionnez la valeur d'un champ. Dans le menu, sélectionnez Ajouter un champ au volet des champs du journal.
Le champ personnalisé apparaît dans le volet Champs du journal sous la forme d'une liste de paires clé/valeur.
Pour supprimer un champ personnalisé du volet Champs du journal, cliquez sur Supprimer à côté du champ.
Notez que les types de champs suivants ne peuvent pas être ajoutés au volet Champs du journal :
- Champs liés au temps, par exemple,
receiveTimestamp
etprotoPayload.startTime
. - Champs à cardinalité élevée, par exemple,
insertId
etprotoPayload.latency
. - Champs comportant des index de tableau dans leur chemin, par exemple,
protoPayload.authorizationInfo[0].resource
.
Chronologie
Le panneau Chronologie vous permet de visualiser la répartition des journaux au fil du temps. La chronologie est générée à nouveau lorsque vous exécutez une requête, ce qui facilite la visualisation des tendances dans vos données de journaux ainsi que la résolution des problèmes.
Pour afficher ou masquer le volet Chronologie, cliquez sur keyboard_capslock Réduire la chronologie.
Fonctionnalités de la timeline
Barres de chronologie : chaque barre de chronologie représente une période. Chaque barre contient une répartition en trois couleurs des niveaux de gravité des journaux enregistrés pendant la période correspondant à chaque barre. Les couleurs représentent les niveaux de gravité suivants :
- Bleu (gravité faible) : Par défaut, Débogage, Informations et Avis.
- Jaune : (gravité moyenne) : Avertissement.
- Rouge (gravité élevée) : Erreur, Critique, Alerte et Alerte.
Chaque barre de la chronologie comporte un menu avec des options permettant d'analyser vos journaux.
Commandes temporelles : vous permettent d'ajuster la période des journaux affichés dans le volet Résultats de requête. Pour en savoir plus sur ces options, consultez la page Analyser les journaux à l'aide des commandes temporelles.
Période : indique la période des journaux représentés par les barres d'histogramme. La chronologie vous aide à accéder aux journaux que vous consultez au sein de la période plus large concernée par votre requête.
Analyser les journaux à l'aide des commandes temporelles
Vous pouvez utiliser des commandes temporelles dans la chronologie pour vous aider à enquêter et pour analyser les données de journaux.
Régler les commandes temporelles
La chronologie fournit des commandes temporelles qui vous permettent d'ajuster les données que vous voyez dans l'explorateur de journaux:
Marqueurs de temps: faites glisser les poignées de la timeline vers l'intérieur pour réduire les données ou pour élargir les données dans la chronologie. Cliquez sur Exécuter.
Faites glisser la chronologie vers l'avant et l'arrière : cliquez sur la flèche avant chevron_right pour faire glisser la chronologie vers une date ultérieure. Cliquez sur chevron_left Flèche arrière pour faire glisser la chronologie vers un moment antérieur.
Zoom avant et arrière : cliquez sur zoom_out Zoom arrière pour élargir l'affichage des données sur la chronologie. Cliquez sur zoom_in Zoom avant pour affiner l'affichage des données sur la chronologie.
Masquer la chronologie : cliquez sur keyboard_capslock Réduire la chronologie pour masquer la chronologie.
Les modifications de la chronologie doivent se situer entre l'heure actuelle ("maintenant") et jusqu'à 30 jours en arrière.
Défilement ou zoom vers un temps T
En plus des commandes temporelles listées précédemment, la chronologie fournit les fonctionnalités de Défilement vers un temps T et de Zoom vers un temps T pour vous permettre de contrôler plus finement la chronologie et les données affichées dans les autres volets de l'explorateur de journaux. Peut-être qu'une barre particulière de la chronologie vous intéresse en fonction de sa de taille ou de gravité. Vous pouvez sélectionner cette barre pour ajuster les données de journaux affichées dans l'explorateur de journaux.
Vous pouvez utiliser la fonctionnalité Défilement jusqu'à l'heure pour parcourir vos données de journaux sans les modifier. les valeurs des volets Chronologie et Champs de journal. Lorsque vous sélectionnez la fonctionnalité Défilement vers un temps T, voici ce qui se produit :
Les données de journaux que vous voyez dans le volet Résultats de la requête s'ajustent en fonction de la période enregistrée par la barre de chronologie sélectionnée.
La requête n'est pas exécutée, mais une actualisation partielle des données peut se produire pour garantir le volet Résultats de la requête contient des journaux correspondant aux la période de la barre chronologique sélectionnée.
L'URL de la console est mise à jour de façon à inclure le
timestamp
du journal le plus récent. capturées par la période de la barre de timeline sélectionnée.
Pour sélectionner la fonctionnalité Défilement vers un temps T, procédez comme suit :
Maintenez le pointeur sur une barre de la chronologie. Un volet contenant des informations récapitulatives sur les données des journaux pour la période spécifiée s'affiche.
Dans le volet, sélectionnez Défilement vers un temps T.
Vous pouvez aussi cliquer sur une barre de chronologie équivaut à sélectionner Défilement jusqu'à l'heure.
La fonctionnalité Zoom vers un temps T est semblable à Défilement vers un temps T, mais elle exécute une requête sur vos données de journaux en fonction de la période capturée par une barre de chronologie sélectionnée. Lorsque vous sélectionnez la fonctionnalité Zoom vers un temps T, voici ce qui se produit :
- Les données de journaux que vous voyez dans le volet Résultats de la requête sont actualisées et réduit en fonction de la restriction de période de la chronologie sélectionnée sur la barre d'adresse.
- L'URL de la console est mise à jour pour contenir le
timestamp
du journal le plus récent capturé par la période temporelle correspondant à la barre de chronologie sélectionnée. - La chronologie change pour n'afficher que les journaux dont la valeur
timestamp
est comprise dans la période correspondant à la barre de chronologie sélectionnée. par la barre de chronologie sélectionnée. - Les données du volet Champs du journal s'ajustent en fonction de la période capturée par la barre de chronologie sélectionnée.
Pour sélectionner la fonctionnalité Zoom vers un temps T, procédez comme suit :
Maintenez le pointeur sur une barre de la chronologie. Un volet contenant des informations récapitulatives sur les données des journaux pour la période spécifiée s'affiche.
Dans le volet, sélectionnez Zoom vers un temps T.
Barre d'outils Résultats de la requête
Dans la barre d'outils Résultats de la requête, vous disposez des options suivantes:
- manage_search Analyser les résultats: agrégez et représentez graphiquement vos résultats de requête à l'aide de l'Analyse de journaux. Ce bouton n'est visible que si la portée que vous avez sélectionnée contient un bucket de journaux qui a été mis à niveau pour utiliser l'Analyse de journaux. Pour plus d'informations, consultez la section Analyser les résultats de ce document.
Actions : plusieurs options vous permettent d'analyser les données de vos journaux plus en détail.
- ink_highlighter Mettre en surbrillance dans les résultats: saisissez le texte à mettre en surbrillance. mis en évidence dans les résultats de votre requête.
- add_chart Créer une métrique: configurez une métrique métrique basée sur les journaux.
- call_merge Créer un récepteur : créez un récepteur de journaux qui renseigne automatiquement le filtre d'inclusion du récepteur avec l'expression de requête actuelle.
- add_alert Créer une alerte de journal: configurez une règle d'alerte basée sur les journaux.
- edit Gérer les alertes : affichez et gérez les règles d'alerte.
- download Télécharger : téléchargez vos journaux au format CSV ou JSON. Pour en savoir plus, consultez la section Télécharger les journaux.
Analyser les résultats
Vous pouvez agréger, analyser et représenter graphiquement vos données de journaux à l'aide de requêtes SQL sur la page Analyse de journaux lorsque votre projet contient des buckets de journaux mis à niveau pour utiliser l'Analyse de journaux. Pour accéder à la page "Analyse de journaux", l'explorateur de journaux, dans la barre d'outils Résultats, cliquez sur manage_search Analyser les résultats
Le bouton Analyser les résultats manage_search n'est visible que lorsque le champ d'application que vous avez sélectionné contient un bucket de journaux qui a été mis à niveau pour utiliser dans l'Analyse de journaux. Par exemple, si vous avez sélectionné Vue de journal Utilisez le menu Affiner le champ d'application, puis la commande manage_search Le bouton Analyser les résultats s'affiche lorsqu'au moins un bucket dans l'espace de stockage le champ d'application est mis à niveau pour utiliser l'Analyse de journaux. Pour en savoir plus, consultez Mettez à niveau un bucket de journaux pour utiliser l'Analyse de journaux.
Voici ce qui se produit lorsque vous cliquez sur manage_search Analyser résultats:
Il est possible que la période dans l'explorateur de journaux soit automatiquement ajustée que la page Analyse de journaux contient des données de journal pertinentes.
La page Log Analytics s'ouvre dans un nouvel onglet et traduit automatiquement la requête actuelle en langage de requête Logging en requête SQL.
La ressource sélectionnée par le sélecteur de projets Google Cloud et la valeur du paramètre Affiner le champ d'application déterminent la façon dont la clause
FROM
de la requête SQL est construite. La ressource sélectionnée peut être un projet, un dossier ou une organisation :Lorsque le menu Affiner le champ d'application affiche Projet, les buckets
_Required
et_Default
de la ressource sont alors interrogés.Lorsque le menu Affiner le champ d'application affiche Vue, les vues de journaux les buckets de journaux du projet actuel sont interrogés. Les vues de journaux sur les buckets de journaux stockés par différentes ressources sont ignorées.
Lorsque le paramètre Affiner le champ d'application indique le nom d'un champ d'application de journal, les règles précédentes sont appliquées aux ressources listées dans le champ d'application de journal sélectionné. Par exemple, si le champ d'action de journaux contient des vues de journaux, seules ces vues de journaux sur les buckets de journaux stockés par la ressource sont interrogées. Les portées de journalisation sont disponibles en version Preview publique.
Sur la page Log Analytics, vous pouvez afficher vos résultats sous forme de tableau ou de graphique. Dans l'onglet Graphique, vous pouvez sélectionner les données à représenter, personnaliser la configuration du graphique ou l'enregistrer dans un tableau de bord personnalisé. Pour en savoir plus sur la création de graphiques à partir des résultats de vos requêtes et leur enregistrement dans un tableau de bord personnalisé, consultez la section Graphiquer les résultats de requête avec Log Analytics.
Pour plus d'informations sur l'utilisation de SQL pour écrire des requêtes, consultez Interroger et afficher des journaux dans l'Analyse de journaux
Rechercher dans les résultats de votre requête
Pour rechercher du contenu dans les résultats de la requête, cliquez sur Mettre en surbrillance dans les résultats dans le volet Résultats de la requête, puis saisissez votre terme de recherche. Ce filtre vous permet de trouver des informations dans vos entrées de journal sans créer de nouvelle requête.
Les termes correspondant aux critères de recherche sont mis en surbrillance dans les entrées de journal du volet Résultats de la requête :
Télécharger les journaux
Vous pouvez télécharger les journaux au format CSV ou JSON. Vous devez disposer de l'un des rôles Identity and Access Management suivants pour télécharger les journaux :
- Administrateur Logging (
roles/logging.admin
) - Accesseur de vues de journaux (
roles/logging.viewAccessor
)
Pour télécharger des journaux, procédez comme suit :
Dans le menu Actions du volet Résultats de la requête, cliquez sur Télécharger.
Dans la boîte de dialogue Télécharger les journaux, sélectionnez le format CSV ou JSON, puis cliquez sur Télécharger.
Sélectionnez ce que vous souhaitez faire des données de journal. Vous pouvez :
- Téléchargez les données sur votre ordinateur.
- Téléchargez les données dans Google Drive.
- Affichez les données dans un nouvel onglet.
Lorsque vous enregistrez un fichier CSV et que vous sélectionnez Google Drive, vous pouvez ouvrir le fichier dans Google Sheets.
Pour obtenir des informations de dépannage, consultez Échec du téléchargement des journaux
Volet Résultats de la requête
Pour afficher les résultats de vos requêtes, utilisez le volet Résultats de la requête. Pour vous aider à dépanner vos applications, vous pouvez afficher les détails des entrées de journal individuelles, et regrouper et analyser les entrées de journal pour trouver des modèles dans vos journaux.
Afficher les entrées de journal similaires
Vous pouvez afficher les entrées de journal qui sont similaires à une entrée de journal sélectionnée, ce qui vous permet de vous concentrer sur les journaux qui vous intéressent.
Pour afficher des entrées de journal similaires, procédez comme suit :
Dans le volet Résultats de la requête, cliquez sur chevron_right Développer sur une entrée de journal.
Cliquez sur Entrées semblables, puis sélectionnez Afficher les entrées semblables.
La requête est mise à jour avec une requête semblable à la suivante et actualise résultats de la requête:
--Show similar entries protoPayload.methodName="io.k8s.core.v1.configmaps.update" --End of show similar entries
Pour afficher un aperçu des entrées de journal similaires, procédez comme suit :
Dans le volet Résultats de la requête, sur une entrée de journal, cliquez sur chevron_right Développer.
Développez le menu Entrées semblables, puis sélectionnez Prévisualiser les entrées semblables.
Une boîte de dialogue distincte s'ouvre avec les informations suivantes:
- Le modèle qui a été trouvé
- Pourcentage d'entrées de journal contenant le format
- Exemples d'entrées de journal contenant le format
Dans cette boîte de dialogue, vous pouvez masquer ou afficher les entrées de journal :
Masquer les entrées de journal similaires
Vous pouvez masquer des entrées de journal similaires, ce qui vous permet de supprimer des journaux des résultats de votre requête.
Il existe deux façons de masquer les entrées de journal similaires:
Masquez de grandes quantités d'entrées de journal regroupées automatiquement. Lorsque vous exécuter une requête, les résultats sont analysés pour déterminer et les entrées de journal sont ensuite automatiquement regroupées en fonction le contenu du champ.
Si un schéma important est détecté, une bannière apparaît dans le Volet Résultats de la requête affichant le pourcentage de résultats pouvant être masquées.
Masquer les entrées similaires: ce bouton permet d'ajouter une clause à la requête et d'actualiser les résultats de la requête.
Aperçu : une fenêtre distincte s'ouvre, qui décrit le modèle détecté et affiche des exemples des entrées.
Lorsque vous masquez des journaux similaires, aucune information n'est enregistrée en dehors de la session de l'explorateur de journaux. Chaque requête produit une nouvelle analyse, uniquement sur les journaux affichés. Différentes requêtes analysent différentes parties des entrées de journal en fonction des types de journaux renvoyés.
Masquer les entrées de journal semblables à une entrée de journal spécifique.
Pour masquer les entrées de journal semblables à une entrée de journal, cliquez sur chevron_right Développez, cliquez sur le menu Entrées similaires, puis sélectionnez Masquer les entrées similaires.
La requête est mise à jour et le volet Résultats de la requête est actualisé. Les entrées de journal similaires à l'entrée de journal sélectionnée ne sont pas affichées.
Afficher ou masquer les entrées de journal correspondant à un champ
Vous pouvez afficher ou masquer les entrées de journal correspondant à un champ d'une entrée de journal, ce qui permet vous vous concentrez sur les entrées qui ont le même contenu de champ.
Pour afficher ou masquer les entrées de journal correspondant à un champ spécifique d'une entrée de journal, procédez comme suit : suivantes:
Dans le volet Résultats de la requête, sur l'entrée de journal, cliquez sur chevron_right Développer.
Cliquez sur la valeur d'un champ dans l'entrée de journal, par exemple
compute.googleapis.com
, qui est uneserviceName
.Dans le menu, sélectionnez Afficher les entrées correspondantes ou Masquer les entrées correspondantes.
La requête est mise à jour avec une requête qui affiche ou masque les entrées similaires, et les résultats de la requête sont actualisés avec de nouveaux résultats.
Épingler des entrées de journal
Après avoir exécuté une requête, vous pouvez mettre en surbrillance une entrée de journal en l'épinglant. L'entrée de journal épinglée reste centrée dans le volet Résultats de la requête. Si vous exécutez une nouvelle requête et que l'entrée de journal épinglée n'est pas incluse, vous êtes invité à retirer le journal entrée.
Pour épingler une entrée de journal, procédez comme suit :
- Pointez sur l'entrée de journal que vous souhaitez épingler.
- Cliquez sur push_pin Épingler.
Après avoir épinglé une entrée de journal, son arrière-plan s'assombrit
push_pin L'icône Épingler s'affiche. Une icône en forme de punaise
apparaît également dans le volet Timeline (Chronologie) en fonction de l'état :
timestamp
Pour retirer une entrée de journal, cliquez à nouveau sur l'icône en forme de punaise.
Afficher les journaux correspondant à la ressource d'une entrée de journal épinglée
Une fois qu'une entrée de journal est épinglée, vous pouvez exécuter une nouvelle requête qui affiche les entrées de journal correspondant au type de ressource ou aux libellés de ressource du journal épinglé.
Pour épingler une entrée de journal et afficher les entrées de journal qui correspondent au même type de ressource ou étiquettes de ressources, procédez comme suit:
Cliquez sur arrow_drop_down Flèche vers le bas à côté du journal épinglé pour développer le menu d'épinglage.
Effectuez votre sélection dans le menu Épingler:
Pour réexécuter la requête avec le même
resource.type
que le journal épinglé, sélectionnez Même resource.type.Par exemple, supposons que vous épinglez une entrée de journal avec un
resource.type
dek8s_node
Si vous sélectionnez Même resource.type, la requête est réexécutée pour afficher toutes les entrées de journal avecresource.type="k8s_node"
.Pour réexécuter la requête avec le même
resource.labels
comme Dans le journal épinglé, sélectionnez Same resource.labels.
- Pour réexécuter la requête avec le même
trace
que le journal épinglé, sélectionnez Même trace.
- Pour effacer la requête et afficher toutes les entrées de journal, sélectionnez Tout afficher.
afficher une entrée de journal épinglée dans la chronologie ;
Vous pouvez utiliser la timeline pour mettre en surbrillance, faire défiler et examiner plus en détail une entrée de journal épinglée.
À l'aide de Timeline, cliquez sur push_pin Épingler. puis choisissez l'une des options de menu suivantes:
- Faire défiler jusqu'à l'entrée de journal: permet de placer l'entrée de journal dans la section Volet Résultats de la requête et affichez l'entrée de journal épinglée dans le le contexte des journaux à proximité.
- Zoomer sur l'entrée de journal : limite la période affichée dans le volet Chronologie et affine votre requête pour isoler les journaux à proximité du journal épinglé.
- Retirer : retirez une entrée de journal.
Afficher les données de trace
Lorsqu'une entrée de journal contient à la fois le champ trace
et celui lié à la latence, les icônes de latence et de trace apparaissent.
Lorsqu'une entrée de journal ne contient que le champ trace
, seule l'icône de trace s'affiche.
Pour afficher les données de trace associées à l'entrée de journal, cliquez sur l'icône de trace. Vous pouvez :
- Afficher les détails des traces : affiche le délai parent et les traces enfantes, ainsi que les détails de la trace. Pour afficher plus de détails sur la trace, accédez à Cloud Trace en cliquant sur Afficher dans Trace. Pour en savoir plus sur le contenu du panneau de détails, consultez la section Rechercher et explorer des traces.
Afficher tous les journaux de cette trace : affine et exécute la requête en ajoutant le champ
trace
défini sur l'identifiant de la trace associée à l'entrée de journal.Afficher uniquement les requêtes tracées : permet d'affiner et d'exécuter la requête en ajoutant le champ
traceSampled
défini surTrue
. Pour en savoir plus sur l'échantillonnage, consultez la section Taux d'échantillonnage.
Afficher les données Monitoring
Pour certains journaux, tels que les journaux GKE et Compute Engine, vous pouvez sélectionner le type de ressource sur la ligne récapitulative du journal pour afficher avec les options suivantes:
- Afficher les détails de la surveillance : ouvre un panneau de détails pour une ressource GKE. Pour en savoir plus sur le panneau de détails, consultez la section Afficher les détails des ressources.
- Afficher dans Monitoring : s'ouvre sur une page Monitoring de la ressource.
- Afficher dans GKE ou Afficher dans Compute Engine : ouvre la page Détails de la ressource dans l'interface utilisateur GKE ou Compute Engine.
Copier un lien dans une entrée de journal
Pour partager un lien vers un journal, développez une entrée de journal, puis sélectionnez content_copy Copier. Vous pouvez choisir de copier un journal au format JSON au journal. Le lien est copié dans le presse-papiers. Vous pouvez envoyer le lien aux utilisateurs qui ont accès au projet Google Cloud. Lorsqu'un utilisateur colle le dans un navigateur ou le sélectionne, Logging épingle l'entrée de journal dans le volet Résultats de la requête.
Exemples de requêtes
Pour obtenir des suggestions de requêtes, classées par produit Google Cloud et cas d'utilisation, consultez la page Exemples de requêtes avec l'explorateur de journaux. Par exemple, vous pouvez exécuter des requêtes requêtes pour trouver Journaux Google Kubernetes Engine
Afficher les journaux Compute Engine
Pour certains types de ressources Compute Engine, tels que gce_instance
et
gce_network
, vous voyez le nom de la ressource avec l'ID de ressource comme sous-texte dans
plusieurs emplacements dans l'explorateur de journaux. Par exemple, pour gce_instance
type de ressource, son nom s'affiche à côté de son ID. Les noms de ressources vous aident à identifier le bon ID de ressource, sur lequel vous pouvez créer des requêtes.
Vous pouvez voir des noms de ressources Compute Engine aux endroits suivants:
- Menus de filtre du volet "Requête" : les types de ressources Compute Engine affichent les noms des ressources, avec leurs ID de ressources correspondants en sous-texte.
- Champs de journal: types de ressources Compute Engine affiche le nom de la ressource plutôt que son ID dans les dimensions du champ.
- Résultats de la requête : pour les journaux d'instance de VM Compute Engine, le champ
resource.labels
affiche les métadonnées avec le nom de ressource correspondant. - Champs récapitulatifs : pour les journaux d'instance de VM Compute Engine, le chip affiche le nom de la ressource au lieu de son ID.
Résoudre les problèmes
Cette section fournit des instructions permettant de résoudre des problèmes courants liés à l'utilisation de l'explorateur de journaux.
Si vous rencontrez des problèmes lorsque vous essayez d'afficher des journaux dans les destinations de récepteurs, consultez la section Résoudre les problèmes liés au routage et aux récepteurs.
Échec du téléchargement des journaux
Vous utilisez l'explorateur de journaux et cliquez sur download Télécharger. La commande démarre, mais ne se termine pas ou renvoie une erreur.
Pour résoudre ce problème, réduisez le temps nécessaire à l'exécution de la commande en procédant comme suit:
- Dans la boîte de dialogue Télécharger les journaux, réduisez la valeur du Nombre maximal d'entrées de journal.
- Réduisez la période sur laquelle les journaux sont interrogés.
- Dans la barre d'outils des résultats de la requête, cliquez sur Masquer les entrées similaires avant de commencer le téléchargement.
- Modifiez votre requête pour utiliser des champs indexés.
Impossible de trouver les journaux de la console d'une instance de VM
Il est possible que les journaux écrits dans la console d'une instance Compute Engine ne soient pas disponibles dans l'explorateur de journaux. Pour afficher ces journaux, procédez comme suit:
-
Dans la console Google Cloud, accédez à la page Instances de VM :
Accéder à la page Instances de VM
Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Compute Engine.
Sélectionnez l'instance, puis Port série 1 (console) dans la section Journaux de la page.
Vous pouvez configurer vos instances de sorte que la sortie du port série envoyées à Cloud Logging. Pour en savoir plus, consultez Activez et désactivez la journalisation des données en sortie du port série.
Obtenir l'ID du projet ou de l'organisation Google Cloud
Pour obtenir un ID de projet ou d'organisation Google Cloud n'importe où dans la console Google Cloud, développez la liste des projets Google Cloud à partir du sélecteur de projet et d'organisation Google Cloud, puis recherchez l'ID du projet Google Cloud dans la colonne ID.
Impossible d'afficher les entrées de journal
Si aucune entrée de journal ne s'affiche, vérifiez les points suivants :
Vérifiez que le bon projet Google Cloud est sélectionné.
Vérifiez que votre projet Google Cloud utilise des ressources qui génèrent des journaux et qu'il y a de l'activité sur ces ressources. Même si le projet Google Cloud est nouveau, des journaux d'audit devraient être présents et confirmer la création du projet. Pour savoir comment vérifier vous utilisez une ressource qui génère des journaux, Mapper des services sur des types de ressources
Assurez-vous que la période n'est pas trop restreinte.
Affichez vos requêtes d'exclusion actives pour vous assurer que les journaux que vous recherchez ne sont pas accidentellement exclus.
Assurez-vous d'être autorisé à afficher les entrées de journal des projets et les vues de journaux référencées à l'aide du paramètre du menu Affiner le champ d'application. Pour savoir comment ajuster l'étendue de votre recherche, consultez Affiner le champ d'application :
Ma requête est correcte, mais les entrées de journal ne s'affichent toujours pas
Vous ne pouvez pas afficher les entrées de journal antérieures à la durée de conservation de Logging. Reportez-vous à la section Durée de conservation des journaux pour la période de conservation des journaux en vigueur.
Pendant les périodes de charges importantes, des retards peuvent être observés lors de l'envoi de journaux à Logging, ou lors de leur réception et de leur affichage.
L'explorateur de journaux n'affiche pas les entrées de journal présentant des horodatages futurs tant que cette date n'est pas passée. Cette situation inhabituelle est probablement causée par un décalage au niveau de l'application envoyant les journaux.
Le champ d'application de la requête a été défini trop grand et n'a pas pu aboutir dans un délai raisonnable de temps. Le message affiché peut par exemple être "délai expiré avant la fin de l'opération". Essayez de rendre votre requête plus spécifique ou de réduire la période.
La requête renvoie une erreur
Si vous envoyez une requête sur une ressource sans spécifier de bucket, alors :
Cloud Logging utilise l'historique des récepteurs du projet Google Cloud pour
déterminer où les entrées ont pu être écrites pour cette ressource. Si Cloud Logging identifie plus de 200 buckets dans lesquels des entrées ont pu être écrites, la requête échoue avec le message Error: Invalid query
.
Pour résoudre ce problème, affinez le champ d'application de votre requête sur un sous-ensemble de l'espace de stockage. Pour en savoir plus, consultez la section Affiner le champ d'application.
La période des résultats de requête ne correspond pas à la requête
Les données de journaux affichées dans les volets Résultats de requête et Champs du journal s'adaptent en fonction de la période capturée par la chronologie de l'histogramme. Vous pouvez ajuster la chronologie de l'histogramme à l'aide des commandes temporelles ou du sélecteur de période. Le réglage de ces commandes temporelles n'a aucune incidence L'expression de requête dans le volet Requête
Lorsque vous rédigez une requête avec un code temporel, le sélecteur de période est désactivé. La requête utilise l'expression d'horodatage comme restriction de période. Si une requête n'utilise pas d'expression d'horodatage, la requête utilise le sélecteur de période comme restriction.
Obtenir de l'aide
Pour savoir comment obtenir de l'aide, consultez les Page d'assistance Google Cloud Observability.