resource.type="gae_app" AND
severity>=ERROR AND
timestamp>="2018-12-31T00:00:00Z" AND timestamp<="2019-01-01T00:00:00Z"
App Engine のサーバーエラーを含むリクエストログ
resource.type="gae_app" AND
log_id("appengine.googleapis.com/request_log") AND
httpRequest.status>=500
HTTP エラーログからのサンプリング
resource.type="gae_app" AND
protoPayload.status >= 400 AND
sample(insertId, 0.1)
App Engine トレース ID で検索
resource.type="gae_app" AND
trace="projects/[PROJECT_ID]/traces/[TRACE_ID]"
BigQuery のクエリ
クエリ / フィルタの名前
式
BigQuery の監査ログ
resource.type=("bigquery_dataset" OR "bigquery_project") AND
logName:"cloudaudit.googleapis.com"
プロジェクトの BigQuery 監査ログ
resource.type="bigquery_project" AND
logName:"cloudaudit.googleapis.com"
データセットの BigQuery 監査ログ
resource.type="bigquery_dataset" AND
logName:"cloudaudit.googleapis.com"
BI Engine Model の BigQuery 監査ログ
resource.type="bigquery_biengine_model" AND
logName:"cloudaudit.googleapis.com"
Data Transfer Service Run の BigQuery 監査ログ
resource.type="bigquery_dts_run" AND
logName:"cloudaudit.googleapis.com"
Data Transfer Service 構成の BigQuery 監査ログ
resource.type="bigquery_dts_config" AND
logName:"cloudaudit.googleapis.com"
BigQuery Data Transfer Service のジョブ
resource.type=("bigquery_project") AND
protoPayload.requestMetadata.callerSuppliedUserAgent="BigQuery Data Transfer Service" AND
protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR "google.cloud.bigquery.v2.JobService.Query")
BigQuery データセットの更新
resource.type="bigquery_dataset" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.cloud.bigquery.v2.DatasetService.UpdateDataset"
BigQuery ジョブの完了
resource.type="bigquery_project" AND
log_id("cloudaudit.googleapis.com/data_access") AND
protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR "google.cloud.bigquery.v2.JobService.Query")
BigQuery の大規模クエリ
resource.type="bigquery_project" AND
protoPayload.metadata.jobChange.job.jobStats.queryStats.totalBilledBytes>1073741824
BigQuery の割り当て超過
resource.type=("bigquery_dataset" OR "bigquery_project") AND
protoPayload.status.code=8 AND
severity>=WARNING
BigQuery のクエリ開始
resource.type="bigquery_project" AND
protoPayload.metadata.jobInsertion.reason:*
Dataflow のクエリ
クエリ / フィルタの名前
式
Dataflow ワーカーのエラーと警告
resource.type="dataflow_step" AND
log_id("dataflow.googleapis.com/worker") AND
severity>=WARNING
Dataproc のクエリ
クエリ / フィルタの名前
式
Dataproc Apache Hadoop のログ
resource.type="cloud_dataproc_cluster" AND
jsonPayload.class:"org.apache.hadoop.mapreduce"
Cloud Deployment Manager
クエリ / フィルタの名前
式
Deployment Manager のエラー
resource.type="deployment" AND
severity>=ERROR
Cloud Functions のクエリ
クエリ / フィルタの名前
式
Cloud 関数のエラー
resource.type="cloud_function" AND
log_id("cloudfunctions.googleapis.com/cloud-functions") AND
severity>=ERROR
Cloud Identity and Access Management のクエリ
クエリ / フィルタの名前
式
サービス アカウント作成のログ
resource.type="service_account" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.iam.admin.v1.CreateServiceAccount"
サービス アカウント作成キーのログ
resource.type="service_account" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.iam.admin.v1.CreateServiceAccountKey"
アクセス制御ポリシー設定のログ
resource.type="project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="SetIamPolicy"
外部プリンシパルが組織へのアクセスを許可
resource.type="project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog" AND
protoPayload.request.@type:"IamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:* AND
NOT protoPayload.serviceData.policyDelta.bindingDeltas.member:"@[DOMAIN_NAME].com"
リソースの作成、変更、削除
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:("create" OR "delete" OR "update")
Cloud Source Repositories のクエリ
クエリ / フィルタの名前
式
Cloud Source Repositories のリポジトリのログ
resource.type="csr_repository" AND
resource.labels.name="[REPOSITORY_NAME]"
Cloud Spanner のクエリ
クエリ / フィルタの名前
式
Cloud Spanner の特定 Spanner インスタンスのログ
resource.type="spanner_instance" AND
resource.labels.instance_id="[SPANNER_INSTANCE]"
Cloud SQL のクエリ
クエリ / フィルタの名前
式
Cloud SQL の監査ログ
resource.type="cloudsql_database" AND
resource.labels.database_id="[DATABASE_ID]" AND
log_id("cloudaudit.googleapis.com/activity")
Cloud SQL MySQL のエラーログ
resource.type="cloudsql_database" AND
log_id("cloudsql.googleapis.com/mysql.err")
Cloud SQL の MySQL ベースのデータベース
resource.type="cloudsql_database" AND
resource.labels.database_id="[DATABASE_ID]" AND
log_id("cloudsql.googleapis.com/mysql")
Cloud SQL の Postgres ベースのデータベース
resource.type="cloudsql_database" AND
resource.labels.database_id="[DATABASE_ID]" AND
log_id("cloudsql.googleapis.com/postgres.log")
Cloud SQL SQL Server のエラーログ
resource.type="cloudsql_database" AND
log_id("cloudsql.googleapis.com/sqlserver.err")
Cloud SQL SQL Server ベースのデータベース
resource.type="cloudsql_database" AND
resource.labels.database_id="[DATABASE_ID]" AND
log_id("cloudsql.googleapis.com/sqlagent.out")
Compute Engine のクエリ
クエリ / フィルタの名前
式
Google Compute Engine の管理アクティビティ ログ
resource.type="gce_instance" AND
log_id("cloudaudit.googleapis.com/activity")
Google Compute Engine のファイアウォール ルールの削除
resource.type="gce_firewall_rule" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"firewalls.delete"
Google Compute Engine の VM の syslog
resource.type="gce_instance" AND
log_id("syslog")
Cloud Storage のクエリ
クエリ / フィルタの名前
式
GCS バケットのログ
resource.type="gcs_bucket" AND
resource.labels.bucket_name="[BUCKET_NAME]"
GCS バケットの監査ログ
resource.type="gcs_bucket" AND
logName:"cloudaudit.googleapis.com"
GCS バケットの作成ログ
resource.type="gcs_bucket" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.method_name="storage.buckets.create"
GCS バケットの削除ログ
resource.type="gcs_bucket" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.method_name="storage.buckets.delete"
Cloud Tasks のクエリ
クエリ / フィルタの名前
式
Cloud Tasks キューのログ
resource.type="cloud_tasks_queue" AND
resource.labels.queue_id="[QUEUE_ID]"
resource.type="gke_cluster" AND
log_id("cloudaudit.googleapis.com/activity")
Google Kubernetes Engine クラスタの作成
resource.type="gke_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.container.v1.ClusterManager.CreateCluster"
Kubernetes クラスタのデプロイ
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"deployments"
Kubernetes クラスタ認証の失敗
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.authenticationInfo.principalEmail="system:anonymous"
us-central1-b の Kubernetes クラスタの操作とイベント
resource.type="k8s_cluster" AND
resource.labels.location="us-central1-b"
ユーザーからの Kubernetes Pod リクエスト
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"io.k8s.core.v1.pods" AND
protoPayload.authenticationInfo.principalEmail="[USER_EMAIL]"
Kubernetes イベント
resource.type="k8s_cluster" AND
log_id("events")
Kubernetes Endpoints の更新
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.request.kind="Endpoints"
Kubernetes コントロール プレーンのログ
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.serviceName="k8s.io"
Kubernetes Engine コントロール プレーンのログ
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.serviceName="container.googleapis.com"
Pod の削除
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName=~"io\.k8s\.core\.v1\.pods\.(create|delete)"
コントロール プレーンからの Kubernetes Pod 監査ログ
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.resourceName="core/v1/namespaces/POD_NAMESPACE/pods/POD_NAME
Kubernetes ポッドの強制排除
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="io.k8s.core.v1.pods.eviction.create"
コントロール プレーンからの Kubernetes ノード監査ログ
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"io.k8s.core.v1.nodes"
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.authenticationInfo.principalEmail="system:addon-manager"
Kubernetes コントロール プレーンのエラー(通常の Conflict を除く)
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.status.message!="Conflict" AND
protoPayload.status.code!=0
内向きコントローラ イベント
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="loadbalancer-controller"
サービス コントローラ イベント(kube-controller-manager)
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="service-controller"
クラスタ オートスケーラー イベント
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="cluster-autoscaler"
Pod レベルのクエリ
フィルタ名
式
作成中のクエリ Pod
resource.type="k8s_pod" AND
resource.labels.pod_name="POD_NAME" AND
log_id("events")
スケジューラ イベント
resource.type="k8s_pod" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="default-scheduler"
スケジューラ イベント(プリエンプション)
resource.type="k8s_pod" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="default-scheduler" AND
jsonPayload.reason="Preempted"
ノードレベルのクエリ
フィルタ名
式
ノードイベント
resource.type="k8s_node" AND
log_id("events")
Kube-proxy ログの確認
resource.type="k8s_node" AND
log_id("kube-proxy")
Dockerd ログの確認
resource.type="k8s_node" AND
log_id("container-runtime")
kubelet エラーまたは失敗を確認する
resource.type="k8s_node" AND
log_id("kubelet") AND
jsonPayload.MESSAGE:("error" OR "fail")
GKE システムログのノードログを確認する
resource.type = "k8s_node"
logName:( "logs/container-runtime" OR
"logs/docker" OR
"logs/kube-container-runtime-monitor" OR
"logs/kube-logrotate" OR
"logs/kube-node-configuration" OR
"logs/kube-node-installation" OR
"logs/kubelet" OR
"logs/kubelet-monitor" OR
"logs/node-journal" OR
"logs/node-problem-detector")
名前空間クエリ
フィルタ名
式
GKE システムログのコンテナログと Pod ログ
resource.type = ("k8s_container" OR "k8s_pod")
resource.labels.namespace_name = (
"cnrm-system" OR
"config-management-system" OR
"gatekeeper-system" OR
"gke-connect" OR
"gke-system" OR
"istio-system" OR
"knative-serving" OR
"monitoring-system" OR
"kube-system")
コンテナクエリ
フィルタ名
式
クラスタ内のすべての Pod とコンテナの標準出力コンテナログ
resource.type="k8s_container" AND
log_id("stdout")
クラスタ内のすべてのPod とコンテナのコンテナ エラー ログ
resource.type="k8s_container" AND
log_id("stderr") AND
severity=ERROR
特定の名前のPodのコンテナ エラー ログ
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
severity=ERROR
特定の Pod 内の特定のコンテナのコンテナ エラー ログ
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
resource.labels.container_name="server" AND
severity=ERROR
特定の名前空間とコンテナのコンテナ エラー ログ
resource.type="k8s_container" AND
resource.labels.namespace_name="istio-system" AND
resource.labels.container_name="egressgateway" AND
severity=ERROR
特定のラベルを持つ Pod のコンテナログ
resource.type="k8s_container" AND
labels."k8s-pod/app"="loadgenerator" AND
severity=ERROR
特定のノードで実行されている Pod のコンテナ エラー ログ
resource.type="k8s_container" AND
labels."compute.googleapis.com/resource_name"=[NODE_NAME] AND
severity=ERROR
skaffold を使用して生成されたラベルを持つ Pod のコンテナログ
resource.type="k8s_container" AND
labels."k8s-pod/app"="loadgenerator" AND
labels."k8s-pod/skaffold_dev/run-id"=[SKAFFOLD_RUN_ID]
severity=ERROR
textPayload に POST を含む特定の Pod のコンテナ エラー ログ
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
textPayload:"POST" AND
severity=ERROR
構造化 JSON に GET を含む特定の Pod のコンテナ エラー ログ
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
jsonPayload."http.req.method"="GET" AND
severity=ERROR
kube-system 名前空間のコンテナ エラー ログ
resource.type="k8s_container" AND
resource.labels.namespace_name="kube-system" AND
severity=ERROR
コンテナ インサイト ログのコンテナエラー
resource.type="k8s_container" AND
log_id("clouderrorreporting.googleapis.com/insights")
Kubernetes コンテナのログ
resource.type="k8s_container" AND
resource.labels.cluster_name="CONTAINER_NAME"
Logging エージェントのアプリケーションのクエリ
クエリ / フィルタの名前
式
Apache のログ
resource.type="gce_instance" AND
(logName:"/apache-access" OR logName:"/apache-error")
Cassandra のログ
resource.type="gce_instance" AND
log_id("cassandra")
Chef のログ
resource.type="gce_instance" AND
logName:"projects/[PROJECT_ID]/logs/chef-"
resource.type="gce_instance" AND
log_id("jenkins")
Jetty のログ
resource.type="gce_instance" AND
logName:"projects/[PROJECT_ID]/logs/jetty-"
Joomla のログ
resource.type="gce_instance" AND
log_id("joomla")
Linux の syslog
resource.type="gce_instance" AND
log_id("syslog")
Magneto のログ
resource.type="gce_instance" AND
logName:"projects/[PROJECT_ID]/logs/magneto-"
Mediawiki のログ
resource.type="gce_instance" AND
log_id("mediawiki")
memcached のログ
resource.type="gce_instance" AND
log_id("memcached")
MongoDB のログ
resource.type="gce_instance" AND
log_id("mongodb")
MySQL のログ
resource.type="gce_instance" AND
log_id("mysql")
Nginx のログ
resource.type="gce_instance" AND
logName:"projects/[PROJECT_ID]/logs/nginx-"
PostgreSQL のログ
resource.type="gce_instance" AND
log_id("postgresql")
Puppet のログ
resource.type="gce_instance" AND
logName:"projects/[PROJECT_ID]/logs/puppet-"
RabbitMQ のログ
resource.type="gce_instance" AND
logName:"projects/[PROJECT_ID]/logs/rabbitmq-"
Redmine のログ
resource.type="gce_instance" AND
log_id("redmine")
Salt のログ
resource.type="gce_instance" AND
logName:"projects/[PROJECT_ID]/logs/salt-"
MySQL のスロークエリ
resource.type="gce_instance" AND
log_id("mysql-slow")
Solr のログ
resource.type="gce_instance" AND
log_id("solr")
SugarCRM のログ
resource.type="gce_instance" AND
log_id("sugarcrm")
Tomcat のログ
resource.type="gce_instance" AND
log_id("tomcat")
Zookeeper のログ
resource.type="gce_instance" AND
log_id("zookeeper")
ネットワーキングのクエリ
クエリ / フィルタの名前
式
ファイアウォールのすべてのログ
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall")
指定した国のファイアウォール ログ
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
jsonPayload.remote_location.country=[COUNTRY_ISO_ALPHA_3]
VM からのファイアウォール ログ
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
jsonPayload.instance.vm_name="[INSTANCE_NAME]"
サブネット指定のファイアウォール ログ
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
resource.labels.subnetwork_name="[SUBNET_NAME]"
宛先サブネット指定の Compute Engine サブネットワーク トラフィック ログ
resource.type="gce_subnetwork" AND
ip_in_net(jsonPayload.connection.dest_ip, "[SUBNET_IP]")
VPC フローログ
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows")
ポート、プロトコル指定の VPC フローログ
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
jsonPayload.connection.src_port="[PORT_ID]" AND
jsonPayload.connection.protocol="[PROTOCOL]"
サブネット指定の VPC フローログ
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
resource.labels.subnetwork_name"=[SUBNET_NAME]"
サブネット プレフィックス指定の VPC フローログ
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
ip_in_net(jsonPayload.connection.dest_ip,[SUBNET_IP])
特定の VM の VPC フローログ
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
jsonPayload.src_instance.vm_name="[VM_NAME]"
VPN ゲートウェイのログ
resource.type="vpn_gateway" AND
resource.labels.gateway_id="[GATEWAY_ID]"
HTTP ロードバランサの 5xx エラー
resource.type="http_load_balancer" AND
httpRequest.status>=500
HTTP ロードバランサの phpMyAdmin へのリクエスト
resource.type="http_load_balancer" AND
httpRequest.request_url:"phpmyadmin"
