使用日志浏览器

本指南介绍了如何使用 Google Cloud Console 中的日志浏览器搜索和查看日志。

如需查看从 Amazon Web Services (AWS) 帐号发送到 Logging 的日志,请使用旧版日志查看器

使用入门

要使用日志浏览器,请执行以下操作:

  • 确保您拥有可以查看日志的正确 Identity and Access Management 角色。如需了解 IAM 权限,请参阅访问权限控制指南

  • 如需转到日志浏览器,请执行以下操作:

    1. 转到 Google Cloud 导航菜单 ,然后选择 Logging > 日志浏览器
      转到日志浏览器
    2. 选择 Cloud 项目。
    3. 升级菜单中,从旧版日志查看器切换到日志浏览器

    您现在位于日志浏览器中。

日志浏览器界面

通过日志浏览器界面,您可以检索日志、解析和分析日志数据以及优化查询参数。

日志浏览器的界面

Logs Explorer 包含以下窗格:

  1. 操作栏
  2. 查询构建器
  3. 日志字段
  4. 直方图
  5. 查询结果

操作栏

操作栏窗格

操作栏窗格提供以下功能:

  1. 选项:允许您转到旧版日志查看器、发送反馈以及查看 Logging 的新功能摘要。
  2. 优化范围:允许您仅使用当前 Cloud 项目中的日志或者一个或多个存储视图来缩小搜索范围。如需详细了解如何范围界定,请参阅优化范围
  3. 分享链接:允许您为当前查询创建缩短后的网址并将其复制到剪贴板,以便更轻松地共享查询。系统提供了两个选项:使用绝对时间范围复制使用相对时间范围进行复制。如果您选择复制绝对时间范围,则复制的网址会具有由当前时间范围表示的相应绝对时间范围;例如 7:49:37 PM - 8:49:37 PM。如果您选择复制相对时间范围,则复制的网址会选择当前的相对时间范围;例如 1 hour
  4. 时间范围选择器:允许您按时间范围限制查询结果。默认时间范围为 1 小时。
  5. 页面布局:可让您启用和停用直方图日志字段浏览器窗格。
  6. 学习:允许您查看相关文档的链接。

优化范围

您可以通过优化范围选项优化日志浏览器中显示的日志的范围。您可以只搜索当前 Cloud 项目内的日志,也可以在一个或多个存储视图中搜索日志。如需优化日志浏览器的范围,请执行以下操作:

  1. 操作栏窗格中,选择优化范围

  2. 优化范围对话框上,选择范围选项。

    “优化范围”对话框

    • 按项目确定范围允许您搜索当前 Cloud 项目生成的日志。

    • 按存储空间确定范围允许您根据一个或多个存储视图搜索日志。如需详细了解日志视图,请参阅管理日志存储分区中的日志视图

  3. 如果您选择按存储空间确定范围,请选择要查看的一个或多个存储分区。

    该对话框会列出满足以下条件的存储视图:

    • 用户拥有对该存储视图的访问权限。
    • 这些日志存储桶属于所选 Cloud 项目,或者所选 Cloud 项目先前已路由到了日志存储桶。
  4. 点击应用

查询构建器

查询构建器

查询构建器窗格中,您可以执行以下操作:

  1. 查询构建器字段:可让您使用 Logging 查询语言构建查询。
  2. 查询构建器下拉菜单:允许您根据资源日志名称严重性添加查询表达式。如需了解详情,请参阅查询构建器下拉菜单
  3. 最近:可让您查看最近查询。如需了解详情,请参阅最近查询
  4. 已保存:可让您查看已保存的查询,以及 Cloud 项目的其他用户与您共享的查询。如需了解详情,请参阅已保存的查询共享查询
  5. 建议:允许您根据您的 Cloud 项目中的资源查看建议的查询。如需了解详情,请参阅建议的查询
  6. 保存:您可以保存查询,并从已保存标签页查看和运行保存的查询。
  7. 流式传输日志:可让您在 Logging 提取日志条目时查看它们。 如需了解详情,请参阅流式传输日志
  8. 运行:允许您在查询构建器字段中构建查询后运行查询。

流式传输日志

您可以在 Logging 提取日志的同时流式传输日志,也可以添加查询,仅流式传输与该查询匹配的日志。

如需根据查询流式传输日志,请向“查询构建器”字段添加查询,然后选择流式传输日志。当 Logging 提取日志数据时,查询结果窗格中仅显示与查询匹配的日志。如果未提供查询,则 Logging 会在提取日志时显示每个日志。

请先添加查询,然后再选择流式传输日志

如需停止流式传输,请选择停止流式传输,或在查询结果窗格中向下滚动。

日志字段窗格

日志字段窗格可提供日志数据的简明摘要,并提供了一种更高效的查询优化方法。 它会显示按不同维度细分的日志条目,对应于这些条目中的字段。对于每个字段,日志字段窗格会按降序频率显示值及其事件。日志字段计数与时间范围选择器中的时间范围相对应。

启用日志字段窗格

要启用日志字段窗格,请选择页面布局,然后选中日志字段复选框。此时将显示日志字段窗格。

处于选中状态的日志字段窗格

要停用日志字段窗格,请清除日志字段复选框。

日志字段窗格特性

系统会根据查询构建器中的执行的查询填充和更新日志字段窗格。

如果查询为空,则日志字段窗格会按资源类型严重程度字段显示日志条目的计数。

日志字段窗格。

如果您选择了按存储确定范围,您还会看到项目 ID 和相应的日志条目计数。

如果从日志字段窗格中选择资源类型,则系统会根据资源标签填充一组相关字段。这样您就可以调查该特定资源类型的日志数据。您可以通过点击资源类型字段旁边的清除来移除它们。

日志字段窗格中添加字段

您可以将特定 LogEntry 键值对从查询结果窗格中填充的日志条目添加到日志字段窗格。如需在日志字段窗格中添加字段,请执行以下操作:

  1. 查询结果窗格中,点击展开按钮 展开日志条目。

  2. 点击字段的值。从菜单中选择在“日志字段”窗格中添加字段

    包含添加字段选项的菜单。

    自定义字段会以键值对列表形式显示在日志字段窗格中。

如需从日志字段窗格中移除自定义字段,请点击该字段旁边的移除。您还可以从列表中移除自定义字段,方法是:在查询结果窗格中点击该字段,然后选择从日志字段中移除

请注意,无法在日志字段窗格中添加以下类型的字段:

  • 与时间相关的字段;例如 receiveTimestampprotoPayload.startTime
  • 基数较高的字段;例如 insertIdprotoPayload.latency
  • 路径中包含数组索引的字段;(例如 protoPayload.authorizationInfo[0].resource)。

使用日志字段窗格分析日志

如需缩小查询范围和优化查询,您可以将日志字段窗格中的字段值对添加到查询构建器表达式中。为此,请在日志字段窗格中,点击字段的值。此操作会将键值对添加到使用 AND 运算符的表达式。然后,查询将运行。

您可以在日志字段窗格中添加嵌套的字段值对以及顶级字段值对。

例如,假设您在日志字段窗格中添加了 jsonPayload.message。如果您选择特定的 jsonPayload.message 值,则它会填充查询构建器窗格:

添加了自定义字段的日志字段和查询构建器窗格。

直方图查询结果窗格也会更改,以反映当前查询。

执行查询时,系统会扫描日志条目并更改日志字段数量。查询完成后,系统会显示所有日志字段的总计数。

直方图

您可以通过直方图窗格查看日志随时间的分布情况。系统会在您运行查询时重新生成直方图,以便您更轻松地查看日志数据中的趋势并进行问题排查。

启用直方图窗格

要启用直方图窗格,请选择页面布局,然后选中直方图复选框。此时会显示直方图窗格。

“页面布局”处于打开状态,且“直方图”已选中

要停用直方图窗格,请清除直方图复选框。

直方图特性

直方图窗格。

  1. 直方图条柱:每个直方图条柱代表一个时间范围。每个条柱都包含各条柱时间段内捕获的日志严重性等级的三色明细。这些颜色表示以下日志严重程度:

    • 蓝色:低严重程度,例如 默认调试信息通知
    • 黄色:中等严重程度,例如警告
    • 红色:高严重程度,例如错误严重提醒紧急

    每个直方图条柱都有一个菜单,其中包含分析日志的选项。

  2. 时间控件:允许您调整查询的时间范围。如需详细了解这些选项,请参阅使用时间控件分析日志

  3. 直方图时间轴:显示日志时间范围(由直方图条柱表示),当前在查询结果窗格中显示。时间轴可帮助您熟悉您当前在查询的更大时间范围内查看的日志。

使用时间控制分析日志

您可以使用直方图的时间控件调查和分析日志数据。

快速调整时间

直方图提供时间控件,让您能够快速调整 Logs Explorer 中显示的数据。

直方图窗格时间轴显示快速时间控件。

  • 时间句柄:朝里拖动时间轴句柄可缩小数据范围,向外拖动可扩大直方图时间轴中的数据范围。点击运行

  • 前后滑动时间轴:点击 前进箭头,将时间轴滑动到稍后的时间。点击 后退箭头,将时间轴滑动到更早的时间。

  • 放大和缩小:点击 缩小图标可扩大时间轴中显示的数据范围。点击 放大图标可缩小时间轴中显示的数据范围。

使用这些时间控件时,查询结果日志字段窗格中的日志数据会根据直方图时间轴捕获的时间范围进行调整。

请注意,对时间轴的修改仅限于当前时间(“现在”)和 30 天前。

滚动或缩放到指定时间

除了上述时间控件外,直方图还提供滚动到指定时间缩放到指定时间功能,便于您更深入地控制直方图以及您在 Logs Explorer 的其他窗格中看到的数据。

直方图窗格时间轴显示“滚动到指定时间”和“缩放到指定时间”控件。

根据直方图条柱的相对大小或严重性级别,您可能会对特定直方图条柱感兴趣。您可以选择该直方图条来调整 Logs Explorer 中显示的日志数据。

借助滚动到指定时间功能,您可以浏览日志数据,而无需更改直方图日志字段窗格中的值。如果选择滚动到指定时间功能,则会发生以下情况:

  • 您在查询结果窗格中看到的日志数据会根据所选直方图条柱捕获的时间范围进行调整。

    查询未运行,但系统可能会重新加载部分数据,以确保您在查询结果窗格中看到的日志与选定的直方图条柱的时间范围相对应。

  • 控制台网址会更新为包含截止到所选直方图条柱的时间范围所捕获到的最新日志的 timestamp

如需选择滚动到指定时间功能,请执行以下操作:

  1. 将鼠标悬停在直方图时间轴中的条柱上。此时会显示一个窗格,其中包含指定时间范围内的日志数据的摘要信息。

  2. 在该窗格中选择滚动到指定时间

    或者,点击直方图条柱而不是将鼠标悬停在其上方,此操作相当于选择滚动到指定时间

缩放到指定时间功能类似于滚动到指定时间,但可根据选定的直方图条柱捕获的时间范围对日志数据运行查询。如果选择缩放到指定时间功能,则会发生以下情况:

  • 您在查询结果窗格中看到的日志数据会根据所选直方图条柱的时间范围限制重新加载和缩小范围。
  • 控制台网址会更新为包含截止到所选直方图条柱的时间范围所捕获到的最新日志的 timestamp
  • 直方图会发生变化,以便仅显示 timestamp 值在所选直方图条柱时间范围内的日志。
  • 时间范围选择器将更新至所选直方图条柱捕获的时间范围。
  • 日志字段窗格中的数据会根据选定的直方图条柱捕获的时间范围进行调整。

如需选择缩放到指定时间功能,请执行以下操作:

  1. 将鼠标悬停在直方图时间轴中的条柱上。此时会显示一个窗格,其中包含指定时间范围内的日志数据的摘要信息。

  2. 在该窗格中选择缩放到指定时间

查询结果

查询结果窗格

借助查询结果窗格,您可以浏览与查询表达式匹配的日志条目。

  1. 查询结果:让您可以查看从查询中检索到的日志。
  2. 日志条目:让您能以结构化的 JSON 格式查看日志条目。
  3. 展开和收起查询结果:您可以展开查询结果窗格以查看更多日志条目。
  4. 时区:允许您更改显示日志的时区。
  5. 跟踪记录数据:让您查看跟踪记录详情并根据跟踪记录优化查询。如需了解详情,请参阅查看跟踪数据
  6. 隐藏日志摘要:用于隐藏查询结果中的日志摘要行。
  7. 展开或收起嵌套日志字段:用于展开或收起嵌套字段。
  8. 复制到剪贴板:允许您以 JSON 格式复制日志条目。
  9. 复制指向日志条目的链接:允许您共享日志条目的链接。 如需了解详情,请参阅复制指向日志条目的链接
  10. 跳至当前:允许您执行强制刷新,以包含当前时间。如果时间范围选择器使用了自定义范围并设置了结束时间,则会运行使用 1 小时默认时间范围的查询。否则,将使用当前开始日期或时长进行刷新,并运行查询。
  11. 操作:允许您设置基于日志的指标、创建接收器目标位置或下载日志。如需详细了解如何下载日志,请参阅下载日志
  12. 配置:允许您将日志字段的值添加到日志条目开头或末尾处的摘要行。您还可以选择显示最新日志(第一个或最后一个)。如需详细了解如何添加摘要字段,请参阅添加摘要字段
  13. 固定日志条目:允许您将日志条目固定到查询结果直方图窗格。如需了解详情,请参阅固定日志
  14. 光标滚动:当您在查询结果中滚动日志时,系统会调整网址以包含 cursorTimestamp,该参数指示当前的查询结果窗格中显示的最新日志的 timestamp

在查询结果窗格中,您可以点击某个字段的值来选择执行以下操作:

选择字段值之后的选项

  1. 显示匹配条目:允许您查询匹配的日志条目。
  2. 隐藏匹配条目:允许您查询与所选表达式不匹配的日志条目。
  3. 向摘要行添加字段:允许您将字段作为摘要行添加到日志条目中。

添加摘要字段

摘要字段可让您更快地发现日志中的模式。例如,下图显示了在包含相应值的日志前添加的摘要字段 resource.labels.pod_name 的值。

Logs Explorer 显示的日志带有显示 pod 名称的绿色文本前缀。

在日志条目中添加摘要字段

要向日志条目添加摘要字段,请完成以下步骤:

  1. 点击展开按钮 展开日志条目。

  2. 点击某个字段的值,然后选择向摘要行添加字段

    摘要字段现在会显示在包含该字段的日志条目之前。

使用配置按钮添加摘要字段

要使用配置按钮添加摘要字段,请完成以下步骤:

  1. 点击配置,然后选择管理摘要字段

    从“配置”下拉菜单中选择“管理摘要字段”

  2. 添加字段。

    摘要字段选择具有如下特点:

    • 使用当前显示的日志自动补全信息。
    • 字段更正,使用英文引号括起合法字符。

      例如,如果您输入 jsonPayload.id-field,它会被更改为 jsonPayload."id-field"

  3. 点击截断摘要字段即可以缩短显示摘要字段值。然后选择截断字段之前显示的字符数,以及是否显示字段的开头或结尾。

  4. 点击应用

    摘要字段现在会显示在包含该字段的日志条目之前。

固定日志条目

通过固定日志条目,您可以突出显示感兴趣的日志条目。

如需固定日志条目,请将鼠标悬停在您要固定的日志条目上,然后选择固定图标 。 固定某日志条目后,其背景颜色会变暗,并且会显示一个固定图标

如果固定日志条目并重新运行查询,固定的日志条目会显示在查询结果窗格的顶部或底部,具体位置取决于日志数据的配置方式。根据固定日志条目的 timestamp直方图窗格上还会显示固定图标。

日志浏览器会在查询结果和直方图窗格中显示固定的日志条目。

如需取消固定日志条目,请选择固定图标,然后选择取消固定日志条目

在其资源上下文中查看固定日志条目

如需查看其资源上下文中的固定日志条目,请选择固定图标 ,然后选择固定并显示资源日志条目

选择在资源上下文中固定并显示资源。

Logging 会使用固定日志条目中的 resource.type 字段填充查询构建器,然后运行查询。现在,您可以查看与其资源类型相关的固定日志条目。

直方图窗格中查看固定的日志条目

您可以使用直方图窗格突出显示、滚动和进一步检查固定日志条目。

使用直方图窗格选择固定图标 ,然后从以下菜单选项中进行选择:

  • 滚动到日志条目:此选项会将日志条目置于当前查询结果窗格中,让您可在附近日志的上下文中查看固定日志条目。
  • 缩放到日志条目:此选项可缩小直方图窗格显示的时间范围,并可让您优化查询以隔离位于固定日志附近的日志。

直方图的时间范围已缩小。

查看跟踪记录数据

如果日志条目同时包含 trace 和延迟时间相关字段,则会显示延迟时间和跟踪记录图标。

包含跟踪记录数据的日志条目显示。

如果日志条目仅包含 trace 字段,则只会显示跟踪记录图标。

仅包含跟踪记录字段的日志条目显示才有跟踪记录图标。

要查看与日志条目相关的跟踪记录数据,请点击跟踪记录图标。您可以选择以下选项:

  • 查看跟踪记录详情:显示父级 Span 和子跟踪记录以及有关跟踪记录的详细信息。如需查看有关跟踪记录的更多详细信息,请通过点击在 Trace 中查看导航到 Cloud Trace。如需详细了解详细信息面板中的内容,请参阅查看跟踪记录详情
  • 显示此跟踪记录的所有日志:通过添加设置为与日志条目关联的跟踪记录的标识符的 trace 字段来优化和运行查询。

  • 仅显示跟踪的请求:通过添加设置为 TruetraceSampled 字段来优化和运行查询。如需详细了解采样,请参阅采样率

查看 Monitoring 数据

对于某些日志(例如 GKE 和 Compute Engine 日志),您可以点击日志摘要行中的资源类型以显示包含以下选项的菜单:

  • 查看监控详情:打开 GKE 资源的详细信息面板。如需详细了解详细信息面板,请参阅查看资源详细信息
  • 在 Monitoring 中查看:打开资源的 Monitoring 页面。
  • 在 GKE 中查看:打开 GKE 或 Compute Engine 界面中的资源的详细信息页面。

显示 GKE 资源的日志浏览器菜单。

如要分享指向日志的链接,请展开日志条目,然后选择复制链接。该链接会复制到剪贴板。您现在可以将链接发给有权访问 Cloud 项目的用户。当用户将链接粘贴到浏览器中或将其选中时,Logging 会将日志条目固定到查询结果窗格中。

复制链接以与他人共享日志条目。

下载日志

您可以下载 CSV 或 JSON 格式的日志。您需要具有以下 Identity and Access Management 角色之一才能下载日志:

  • Logging Admin (roles/logging.admin)
  • Logs View Accessor (roles/logging.viewAccessor)

如需下载日志,请执行以下操作:

  1. 选择操作,然后选择下载日志

    使用“操作”按钮下载日志。

  2. 下载日志对话框中,选择 CSV 或 JSON 格式。

  3. 选择如何处理日志数据。您可以选择以下选项:

    • 将数据下载到您的计算机。
    • 将数据下载到云端硬盘。
    • 在新标签页中打开数据。

    保存 CSV 并选择云端硬盘后,您可以在表格中打开该文件。

示例查询

使用日志浏览器的示例查询页面提供了建议查询,以便您可以查找您可能感兴趣的日志。例如,您可以运行与 Kubernetes 相关的查询以查找 Google Kubernetes Engine 日志。

问题排查

本部分介绍如何排查使用日志浏览器时的常见问题。

获取 Cloud 项目 ID 或组织 ID

要从 Google Cloud Console 中的任意位置获取 Cloud 项目或组织 ID,请从 Cloud 项目和组织选择器展开 Cloud 项目列表,然后在 ID 列中找到 Cloud 项目 ID:

显示项目 ID 的界面

看不到日志条目

如果您没有看到任何日志条目,请执行以下检查:

  • 是否选择了正确的 Cloud 项目?如果不是,请从 Cloud 项目和组织选择器中选择正确的 Cloud 项目。

  • 您的 Cloud 项目是否使用了生成日志的资源,这些资源上是否有活动?即使是新的 Cloud 项目,也应该有记录该项目已创建的审核日志。转到受监控的资源列表页面中的“将服务映射到资源类型” 部分,确认您使用的是会生成日志的资源。

  • 时间范围是否过窄?确认您的查询中的时间范围正确无误。

  • 查看当前的排除项查询,确保系统不会意外排除您所查找的日志。

我的查询正确无误,但我仍然没有看到日志条目

  • 您看不到超过 Logging 保留期限的日志条目。如需了解有效的日志保留期限,请参阅日志保留期限

  • 在高负载时段内,将日志发送到 Logging 或者接收及显示日志的过程可能存在延迟。

  • 日志浏览器不会显示带有未来时间戳的日志条目,直到当前时间“赶上”这些时间戳后才会显示。这种情况并不常见,可能是由发送日志的应用中的时间偏差引起的。

  • 查询范围设置得过大,无法在合理的时间内完成。您可能会看到“截止期限到操作完成为止”。请尝试使您的查询更具体或缩短时间范围。

查询返回错误

如果您在没有指定存储桶的情况下对资源发出查询,则 Cloud Logging 会使用 Google Cloud 项目中接收器的历史记录来确定可能针对该资源写入条目的位置。如果 Cloud Logging 发现可能在超过 200 个存储桶中写入了条目,则查询会失败并显示消息 Error: Invalid query

如需解决此问题,请将查询范围缩小到部分存储空间。如需了解详情,请参阅优化范围

获取支持

如需了解如何获取支持,请参阅 Google Cloud 的运维套件支持页面