Auf dieser Seite finden Sie Vorschläge für Abfragen, mit denen Sie wichtige Logs mit dem Log-Explorer in der Google Cloud Console einfacher finden können.
Alle hier aufgeführten Abfragen können im Log-Explorer , der Logging API oder der Befehlszeile verwendet werden. . Auf dieser Seite geht es jedoch um die Verwendung von Abfragen im Log-Explorer.
Im Log-Explorer werden boolesche Ausdrücke verwendet, um eine Teilmenge aller Logeinträge in Ihrem Projekt anzugeben. Sie können diese Abfragen verwenden, um Logeinträge aus bestimmten Logs oder Logdiensten oder solche auszuwählen, die Bedingungen für Metadaten oder benutzerdefinierte Felder erfüllen. Weitere Informationen zu Abfragen finden Sie unter Abfragen im Log-Explorer erstellen .
Nächste Schritte
So wechseln Sie zum Log-Explorer :
Rufen Sie das Google Cloud-Navigationsmenü menu auf und wählen Sie Logging und Log-Explorer aus:
Log-Explorer aufrufen
Wählen Sie ein Cloud-Projekt aus.
Wechseln Sie im Menü Upgrade von Legacy-Loganzeige zu Log-Explorer .
Sie sind jetzt im Log-Explorer.
Beispielabfragen verwenden
Sie können eine Abfrage aus den folgenden Tabellen anwenden, indem Sie einen Ausdruck kopieren. Klicken Sie dazu am Ende der jeweiligen Zeile auf das Zwischenablage-Symbol file_copy und fügen Sie den kopierten Ausdruck in den Abfrageeditor ein:
Klicken Sie nach der Eingabe des Ausdrucks auf Abfrage ausführen . Logs, die Ihrer Abfrage entsprechen, werden dann unter Abfrageergebnisse aufgeführt.
Einige der weiter unten aufgeführten Abfragen enthalten Variablen. Diese sind durch Klammern []
gekennzeichnet und müssen durch gültige Werte ersetzt werden. Wenn eine Abfrage beispielsweise logName
enthält, muss sich die von Ihnen für [PROJECT_ID]
angegebene ID auf das aktuell ausgewählte Google Cloud-Projekt beziehen. Andernfalls schlägt die Abfrage fehl. Weitere Informationen finden Sie unter Fehlerbehebung .
Wenn Sie eine Abfrage mit einem Zeitstempel haben, ist die Zeitraumauswahl deaktiviert und die Abfrage verwendet den Zeitstempelausdruck als Zeitraumbeschränkung. Wenn eine Abfrage keinen Zeitstempelausdruck hat, verwendet die Abfrage die Zeitraumauswahl als Zeitraumbeschränkung.
Hinweis: Die Länge einer Abfrage darf 20.000 Zeichen nicht überschreiten.
Tipp: Sie können die Funktion "log_id" für Abfragen mit einem log_name
-Ausdruck verwenden. Der Ausdruck log_name="projects/[PROJECT_ID] /logs/cloudaudit.googleapis.com%2Fdata_access
ist beispielsweise der gleiche wie log_id("cloudaudit.googleapis.com/data_access").
. Weitere Informationen zur Funktion log_id
finden Sie im Abschnitt "Funktionen" auf der Seite Logging-Abfragesprache .
In den folgenden Abschnitten sind die Abfragen nach Google Cloud-Diensten gruppiert.
App Engine-Abfragen
Abfrage-/Filtername
Ausdruck
App Engine-Logs von Silvester (in UTC-Zeit)
resource . type = "gae_app" AND
severity >= ERROR AND
timestamp >= "2018-12-31T00:00:00Z" AND timestamp <= "2019-01-01T00:00:00Z"
App Engine-Anfragelogs mit Serverfehlern
resource . type = "gae_app" AND
log_id ( "appengine.googleapis.com/request_log" ) AND
httpRequest . status >= 500
Abgerufene HTTP-Fehlerlogs
resource . type = "gae_app" AND
protoPayload . status >= 400 AND
sample ( insertId , 0 . 1 )
Nach App Engine-Trace-ID suchen
resource . type = "gae_app" AND
trace = "projects/[PROJECT_ID] /traces/[TRACE_ID] "
BigQuery-Abfragen
Abfrage-/Filtername
Ausdruck
BigQuery-Audit-Logs
resource . type = ( "bigquery_dataset" OR "bigquery_project" ) AND
logName : "cloudaudit.googleapis.com"
BigQuery-Audit-Logs für ein Projekt
resource . type = "bigquery_project" AND
logName : "cloudaudit.googleapis.com"
BigQuery-Audit-Logs für ein Dataset
resource . type = "bigquery_dataset" AND
logName : "cloudaudit.googleapis.com"
BigQuery-Audit-Logs für das BI Engine-Modell
resource . type = "bigquery_biengine_model" AND
logName : "cloudaudit.googleapis.com"
BigQuery-Audit-Logs für eine Datenübertragungsausführung.
resource . type = "bigquery_dts_run" AND
logName : "cloudaudit.googleapis.com"
BigQuery-Audit-Logs für eine Data Transfer Service-Konfiguration.
resource . type = "bigquery_dts_config" AND
logName : "cloudaudit.googleapis.com"
Jobs in BigQuery Data Transfer Service
resource . type = ( "bigquery_project" ) AND
protoPayload . requestMetadata . callerSuppliedUserAgent = "BigQuery Data Transfer Service" AND
protoPayload . methodName = ( "google.cloud.bigquery.v2.JobService.InsertJob" OR "google.cloud.bigquery.v2.JobService.Query" )
Dataset-Aktualisierungen in BigQuery
resource . type = "bigquery_dataset" AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . methodName = "google.cloud.bigquery.v2.DatasetService.UpdateDataset"
Abgeschlossene Jobs in BigQuery
resource . type = "bigquery_project" AND
log_id ( "cloudaudit.googleapis.com/data_access" ) AND
protoPayload . methodName = ( "google.cloud.bigquery.v2.JobService.InsertJob" OR "google.cloud.bigquery.v2.JobService.Query" )
Große BigQuery-Abfragen
resource . type = "bigquery_project" AND
protoPayload . metadata . jobChange . job . jobStats . queryStats . totalBilledBytes > 1073741824
Überschrittenes Kontingent in BigQuery
resource . type = ( "bigquery_dataset" OR "bigquery_project" ) AND
protoPayload . status . code = 8 AND
severity >= WARNING
Gestartete BigQuery-Abfragen
resource . type = "bigquery_project" AND
protoPayload . metadata . jobInsertion . reason : *
Dataflow-Abfragen
Abfrage-/Filtername
Ausdruck
Fehler und Warnungen in Dataflow-Workern
resource . type = "dataflow_step" AND
log_id ( "dataflow.googleapis.com/worker" ) AND
severity >= WARNING
Dataproc-Abfragen
Abfrage-/Filtername
Ausdruck
Apache Hadoop-Logs in Dataproc
resource . type = "cloud_dataproc_cluster" AND
jsonPayload . class : "org.apache.hadoop.mapreduce"
Cloud Deployment Manager
Abfrage-/Filtername
Ausdruck
Fehler in Deployment Manager
resource . type = "deployment" AND
severity >= ERROR
Cloud Functions-Abfragen
Abfrage-/Filtername
Ausdruck
Fehler in Cloud Functions
resource . type = "cloud_function" AND
log_id ( "cloudfunctions.googleapis.com/cloud-functions" ) AND
severity >= ERROR
Abfragen der Identitäts- und Zugriffsverwaltung
Abfrage-/Filtername
Ausdruck
Logs zur Erstellung von Dienstkonten
resource . type = "service_account" AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . methodName = "google.iam.admin.v1.CreateServiceAccount"
Schlüssellogs zur Erstellung von Dienstkonten
resource . type = "service_account" AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . methodName = "google.iam.admin.v1.CreateServiceAccountKey"
Logs für Zugriffssteuerungsrichtlinien
resource . type = "project" AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . methodName = "SetIamPolicy"
Externes Hauptkonto mit Zugriff auf die Organisation
resource . type = "project" AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . @ type = "type.googleapis.com/google.cloud.audit.AuditLog" AND
protoPayload . request . @ type : "IamPolicy" AND
protoPayload . serviceData . policyDelta . bindingDeltas . member : * AND
NOT protoPayload . serviceData . policyDelta . bindingDeltas . member : "@[DOMAIN_NAME] .com"
Ressourcen erstellen, ändern oder löschen
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . methodName :( "create" OR "delete" OR "update" )
Cloud Source Repositories-Abfragen
Abfrage-/Filtername
Ausdruck
Logs für Cloud Source Repositories
resource . type = "csr_repository" AND
resource . labels . name = "[REPOSITORY_NAME] "
Cloud Spanner-Abfragen
Abfrage-/Filtername
Ausdruck
Cloud Spanner-Logs für spezifische Spanner-Instanzen
resource . type = "spanner_instance" AND
resource . labels . instance_id = "[SPANNER_INSTANCE] "
Cloud SQL-Abfragen
Abfrage-/Filtername
Ausdruck
Cloud SQL-Audit-Logs
resource . type = "cloudsql_database" AND
resource . labels . database_id = "[DATABASE_ID] " AND
log_id ( "cloudaudit.googleapis.com/activity" )
MySQL-Fehlerlogs in Cloud SQL
resource . type = "cloudsql_database" AND
log_id ( "cloudsql.googleapis.com/mysql.err" )
MySQL-basierte Datenbanken in Cloud SQL
resource . type = "cloudsql_database" AND
resource . labels . database_id = "[DATABASE_ID] " AND
log_id ( "cloudsql.googleapis.com/mysql" )
Postgres-basierte Datenbanken in Cloud SQL
resource . type = "cloudsql_database" AND
resource . labels . database_id = "[DATABASE_ID] " AND
log_id ( "cloudsql.googleapis.com/postgres.log" )
SQL Server-Fehlerlogs in Cloud SQL
resource . type = "cloudsql_database" AND
log_id ( "cloudsql.googleapis.com/sqlserver.err" )
SQL Server-basierte Datenbanken in Cloud SQL
resource . type = "cloudsql_database" AND
resource . labels . database_id = "[DATABASE_ID] " AND
log_id ( "cloudsql.googleapis.com/sqlagent.out" )
Compute Engine-Abfragen
Abfrage-/Filtername
Ausdruck
Logs für Administratoraktivitäten in Google Compute Engine
resource . type = "gce_instance" AND
log_id ( "cloudaudit.googleapis.com/activity" )
Gelöschte Firewall-Regeln in Google Compute Engine
resource . type = "gce_firewall_rule" AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . methodName : "firewalls.delete"
VM-Syslogs in Google Compute Engine
resource . type = "gce_instance" AND
log_id ( "syslog" )
Cloud Storage-Abfragen
Abfrage-/Filtername
Ausdruck
Bucket-Logs in GCS
resource . type = "gcs_bucket" AND
resource . labels . bucket_name = "[BUCKET_NAME] "
Bucket-Audit-Logs in GCS
resource . type = "gcs_bucket" AND
logName : "cloudaudit.googleapis.com"
Bucket-Erstellungslogs in GCS
resource . type = "gcs_bucket" AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . method_name = "storage.buckets.create"
Logs zu gelöschten Buckets in GCS
resource . type = "gcs_bucket" AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . method_name = "storage.buckets.delete"
Cloud Tasks-Abfragen
Abfrage-/Filtername
Ausdruck
Aufgabenwarteschlangenlogs in Cloud Tasks
resource . type = "cloud_tasks_queue" AND
resource . labels . queue_id = "[QUEUE_ID] "
Kubernetes-bezogene Abfragen
Eine Übersicht und Beispiele für Audit-Log-Abfragen zu Administratoraktivitäten finden Sie auf der
Seite zum GKE-Audit-Logging .
Abfragen auf Clusterebene
Abfrage-/Filtername
Ausdruck
Google Kubernetes Engine-Clustervorgänge
resource . type = "gke_cluster" AND
log_id ( "cloudaudit.googleapis.com/activity" )
Google Kubernetes Engine-Cluster erstellen
resource . type = "gke_cluster" AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . methodName = "google.container.v1.ClusterManager.CreateCluster"
Kubernetes-Clusterbereitstellung
resource . type = "k8s_cluster" AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . methodName :"deployments"
Fehler bei Kubernetes-Clusterauthentifizierung
resource . type = "k8s_cluster" AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . authenticationInfo . principalEmail = "system:anonymous"
Kubernetes-Clustervorgänge und Ereignisse in us-central1-b
resource . type = "k8s_cluster" AND
resource . labels . location = "us-central1-b"
Kubernetes Pod-Anfragen von Nutzern
resource . type = "k8s_cluster" AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . methodName :"io.k8s.core.v1.pods" AND
protoPayload . authenticationInfo . principalEmail = "[USER_EMAIL] "
Kubernetes-Ereignisse
resource . type = "k8s_cluster" AND
log_id ( "events" )
Kubernetes-Endpunkt-Update
resource . type = "k8s_cluster" AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . request . kind = "Endpoints"
Logs der Steuerungsebene in Kubernetes
resource . type = "k8s_cluster" AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . serviceName = "k8s.io"
Logs der Steuerungsebene in Kubernetes
resource . type = "k8s_cluster" AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . serviceName = "container.googleapis.com"
Pod löschen
resource . type = "k8s_cluster" AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . methodName =~ "io\.k8s\.core\.v1\.pods\.(create|delete)"
Kubernetes-Pod-Audit-Logs der Steuerungsebene
resource . type = "k8s_cluster" AND
resource . labels . location = "CLUSTER_LOCATION " AND
resource . labels . cluster_name = "CLUSTER_NAME " AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . resourceName = " core / v1 / namespaces / POD_NAMESPACE / pods / POD_NAME
Kubernetes-Pods entfernen
resource . type = "k8s_cluster" AND
resource . labels . location = "CLUSTER_LOCATION " AND
resource . labels . cluster_name = "CLUSTER_NAME " AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . methodName = "io.k8s.core.v1.pods.eviction.create"
Audit-Logs zu Kubernetes-Knoten der Steuerungsebene
resource . type = "k8s_cluster" AND
resource . labels . location = "CLUSTER_LOCATION " AND
resource . labels . cluster_name = "CLUSTER_NAME " AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . methodName :"io.k8s.core.v1.nodes"
Steuerungsebene des Kubernetes-Clusters für Addon-Manager-Aktivitäten
resource . type = "k8s_cluster" AND
resource . labels . location = "CLUSTER_LOCATION " AND
resource . labels . cluster_name = "CLUSTER_NAME " AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . authenticationInfo . principalEmail = "system:addon-manager"
Fehler auf Kubernetes-Steuerungsebene (ohne Conflict
, was normal ist)
resource . type = "k8s_cluster" AND
resource . labels . location = "CLUSTER_LOCATION " AND
resource . labels . cluster_name = "CLUSTER_NAME " AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . status . message != "Conflict" AND
protoPayload . status . code != 0
Ingress-Controller-Ereignisse
resource . type = "k8s_cluster" AND
resource . labels . location = "CLUSTER_LOCATION " AND
resource . labels . cluster_name = "CLUSTER_NAME " AND
log_id ( "events" ) AND
jsonPayload . source . component = "loadbalancer-controller"
Service Controller-Ereignisse (kube-controller-manager)
resource . type = "k8s_cluster" AND
resource . labels . location = "CLUSTER_LOCATION " AND
resource . labels . cluster_name = "CLUSTER_NAME " AND
log_id ( "events" ) AND
jsonPayload . source . component = "service-controller"
Cluster Autoscaler-Ereignisse
resource . type = "k8s_cluster" AND
resource . labels . location = "CLUSTER_LOCATION " AND
resource . labels . cluster_name = "CLUSTER_NAME " AND
log_id ( "events" ) AND
jsonPayload . source . component = "cluster-autoscaler"
Abfragen auf Pod-Ebene
Filtername
Ausdruck
Pod während der Erstellung abfragen
resource . type = "k8s_pod" AND
resource . labels . pod_name = "POD_NAME " AND
log_id ( "events" )
Planer-Ereignisse
resource . type = "k8s_pod" AND
resource . labels . location = "CLUSTER_LOCATION " AND
resource . labels . cluster_name = "CLUSTER_NAME " AND
log_id ( "events" ) AND
jsonPayload . source . component = "default-scheduler"
Planer-Ereignisse (vorzeitiges Beenden)
resource . type = "k8s_pod" AND
resource . labels . location = "CLUSTER_LOCATION " AND
resource . labels . cluster_name = "CLUSTER_NAME " AND
log_id ( "events" ) AND
jsonPayload . source . component = "default-scheduler" AND
jsonPayload . reason = "Preempted"
Abfragen auf Knotenebene
Filtername
Ausdruck
Knotenereignisse
resource . type = "k8s_node" AND
log_id ( "events" )
Kube-Proxy-Logs aufrufen
resource . type = "k8s_node" AND
log_id ( "kube-proxy" )
Dockerd-Logs aufrufen
resource . type = "k8s_node" AND
log_id ( "container-runtime" )
Kubelet-Fehler oder -Ausfälle aufrufen
resource . type = "k8s_node" AND
log_id ( "kubelet" ) AND
jsonPayload . MESSAGE :( "error" OR "fail" )
Knotenlogs für GKE-Systemlogs aufrufen
resource . type = "k8s_node"
logName :( "logs/container-runtime" OR
"logs/docker" OR
"logs/kube-container-runtime-monitor" OR
"logs/kube-logrotate" OR
"logs/kube-node-configuration" OR
"logs/kube-node-installation" OR
"logs/kubelet" OR
"logs/kubelet-monitor" OR
"logs/node-journal" OR
"logs/node-problem-detector" )
Namespace-Abfragen
Filtername
Ausdruck
Container- und Pod-Logs für GKE-Systemlogs
resource . type = ( "k8s_container" OR "k8s_pod" )
resource . labels . namespace_name = (
"cnrm-system" OR
"config-management-system" OR
"gatekeeper-system" OR
"gke-connect" OR
"gke-system" OR
"istio-system" OR
"knative-serving" OR
"monitoring-system" OR
"kube-system" )
Containerabfragen
Filtername
Ausdruck
Stdout-Containerlogs für alle Pods und Container in einem Cluster
resource . type = "k8s_container" AND
log_id ( "stdout" )
Containerfehlerlogs für alle Pods und Container in einem Cluster
resource . type = "k8s_container" AND
log_id ( "stderr" ) AND
severity = ERROR
Containerfehlerlogs für einen Pod mit einem bestimmten Namen
resource . type = "k8s_container" AND
resource . labels . pod_name = "POD_NAME " AND
severity = ERROR
Containerfehlerlogs für einen bestimmten Container in einem bestimmten Pod
resource . type = "k8s_container" AND
resource . labels . pod_name = "POD_NAME " AND
resource . labels . container_name = "server" AND
severity = ERROR
Containerfehlerlogs für einen bestimmten Namespace und einen bestimmten Container
resource . type = "k8s_container" AND
resource . labels . namespace_name = "istio-system" AND
resource . labels . container_name = "egressgateway" AND
severity = ERROR
Containerlogs für einen Pod mit einem bestimmten Label
resource . type = "k8s_container" AND
labels . "k8s-pod/app" = "loadgenerator" AND
severity = ERROR
Containerfehlerlogs für Pods, die auf einem bestimmten Knoten ausgeführt werden
resource . type = "k8s_container" AND
labels . "compute.googleapis.com/resource_name" = [ NODE_NAME ] AND
severity = ERROR
Containerlogs für einen Pod mit einem Label, das mit Skaffold generiert wurde
resource . type = "k8s_container" AND
labels . "k8s-pod/app" = "loadgenerator" AND
labels . "k8s-pod/skaffold_dev/run-id" = [ SKAFFOLD_RUN_ID ]
severity = ERROR
Containerfehlerlogs für einen bestimmten Pod mit einem POST
im textPayload
resource . type = "k8s_container" AND
resource . labels . pod_name = "POD_NAME " AND
textPayload :"POST" AND
severity = ERROR
Container-Fehlerlogs für einen bestimmten Pod, der in der strukturierten JSON-Datei einen GET
enthält
resource . type = "k8s_container" AND
resource . labels . pod_name = "POD_NAME " AND
jsonPayload . "http.req.method" = "GET" AND
severity = ERROR
Containerfehlerlogs im kube-system-Namespace
resource . type = "k8s_container" AND
resource . labels . namespace_name = "kube-system" AND
severity = ERROR
Containerfehler im Insight-Log des Containers
resource . type = "k8s_container" AND
log_id ( "clouderrorreporting.googleapis.com/insights" )
Kubernetes-Containerlogs
resource . type = "k8s_container" AND
resource . labels . cluster_name = "CONTAINER_NAME "
Logging-Agent-Anwendungsabfragen
Abfrage-/Filtername
Ausdruck
Apache-Logs
resource . type = "gce_instance" AND
( logName : "/apache-access" OR logName : "/apache-error" )
Cassandra-Logs
resource . type = "gce_instance" AND
log_id ( "cassandra" )
Chef-Logs
resource . type = "gce_instance" AND
logName : "projects/[PROJECT_ID] /logs/chef-"
Gitlab-Logs
resource . type = "gce_instance"
logName : "projects/[PROJECT_ID] /logs/gitlab-"
Jenkins-Logs
resource . type = "gce_instance" AND
log_id ( "jenkins" )
Jetty-Logs
resource . type = "gce_instance" AND
logName : "projects/[PROJECT_ID] /logs/jetty-"
Joomla-Logs
resource . type = "gce_instance" AND
log_id ( "joomla" )
Linux-Syslogs
resource . type = "gce_instance" AND
log_id ( "syslog" )
Magneto-Logs
resource . type = "gce_instance" AND
logName : "projects/[PROJECT_ID] /logs/magneto-"
Mediawiki-Logs
resource . type = "gce_instance" AND
log_id ( "mediawiki" )
memcached-Logs
resource . type = "gce_instance" AND
log_id ( "memcached" )
MongoDB-Logs
resource . type = "gce_instance" AND
log_id ( "mongodb" )
MySQL-Logs
resource . type = "gce_instance" AND
log_id ( "mysql" )
Nginx-Logs
resource . type = "gce_instance" AND
logName : "projects/[PROJECT_ID] /logs/nginx-"
PostgreSQL-Logs
resource . type = "gce_instance" AND
log_id ( "postgresql" )
Puppet-Logs
resource . type = "gce_instance" AND
logName : "projects/[PROJECT_ID] /logs/puppet-"
RabbitMQ-Logs
resource . type = "gce_instance" AND
logName : "projects/[PROJECT_ID] /logs/rabbitmq-"
Redmine-Logs
resource . type = "gce_instance" AND
log_id ( "redmine" )
Salt-Logs
resource . type = "gce_instance" AND
logName : "projects/[PROJECT_ID] /logs/salt-"
Langsame MySQL-Abfragen
resource . type = "gce_instance" AND
log_id ( "mysql-slow" )
Solr-Logs
resource . type = "gce_instance" AND
log_id ( "solr" )
SugarCRM-Logs
resource . type = "gce_instance" AND
log_id ( "sugarcrm" )
Tomcat-Logs
resource . type = "gce_instance" AND
log_id ( "tomcat" )
Zookeeper-Logs
resource . type = "gce_instance" AND
log_id ( "zookeeper" )
Netzwerkabfragen
Abfrage-/Filtername
Ausdruck
Firewall, alle Logs
resource . type = "gce_subnetwork" AND
log_id ( "compute.googleapis.com/firewall" )
Firewalllogs für ein bestimmtes Land
resource . type = "gce_subnetwork" AND
log_id ( "compute.googleapis.com/firewall" ) AND
jsonPayload . remote_location . country = [ COUNTRY_ISO_ALPHA_3 ]
Firewalllogs von einer VM
resource . type = "gce_subnetwork" AND
log_id ( "compute.googleapis.com/firewall" ) AND
jsonPayload . instance . vm_name = "[INSTANCE_NAME] "
Firewall-Subnetzlogs
resource . type = "gce_subnetwork" AND
log_id ( "compute.googleapis.com/firewall" ) AND
resource . labels . subnetwork_name = "[SUBNET_NAME] "
Logs für Traffic im Subnetzwerk für Compute Engine
resource . type = "gce_subnetwork" AND
ip_in_net ( jsonPayload . connection . dest_ip , "[SUBNET_IP] " )
VPC-Flow-Logs
resource . type = "gce_subnetwork" AND
log_id ( "compute.googleapis.com/vpc_flows" )
VPC-Flow-Logs für bestimmte Ports und Protokolle
resource . type = "gce_subnetwork" AND
log_id ( "compute.googleapis.com/vpc_flows" ) AND
jsonPayload . connection . src_port = "[PORT_ID] " AND
jsonPayload . connection . protocol = "[PROTOCOL] "
VPC-Flow-Logs für bestimmtes Subnetz
resource . type = "gce_subnetwork" AND
log_id ( "compute.googleapis.com/vpc_flows" ) AND
resource . labels . subnetwork_name "=[SUBNET_NAME] "
VPC-Flow-Logs für bestimmtes Subnetzpräfix
resource . type = "gce_subnetwork" AND
log_id ( "compute.googleapis.com/vpc_flows" ) AND
ip_in_net ( jsonPayload . connection . dest_ip ,[ SUBNET_IP ])
VPC-Flusslogs für eine bestimmte VM
resource . type = "gce_subnetwork" AND
log_id ( "compute.googleapis.com/vpc_flows" ) AND
jsonPayload . src_instance . vm_name = "[VM_NAME] "
VPN-Gateway-Logs
resource . type = "vpn_gateway" AND
resource . labels . gateway_id = "[GATEWAY_ID] "
5xx Fehler in HTTP-Load-Balancer
resource . type = "http_load_balancer" AND
httpRequest . status >= 500
Anfragen an PHPMyAdmin in HTTP-Load-Balancer
resource . type = "http_load_balancer" AND
httpRequest . request_url : "phpmyadmin"
Abfragen zum Sicherheits-Logging
Abfrage-/Filtername
Ausdruck
Audit-Logs: alle
logName : "cloudaudit.googleapis.com"
Audit-Logs, Zugriffstransparenz (AXT)
log_id ( "cloudaudit.googleapis.com/access_transparency" )
Audit-Logs, Administratoraktivitäten
log_id ( "cloudaudit.googleapis.com/activity" )
Audit-Logs, Datenzugriff
log_id ( "cloudaudit.googleapis.com/data_access" )
Audit-Logs, Systemereignisse
log_id ( "cloudaudit.googleapis.com/system_event" )
Abfragen der Operations-Suite von Google Cloud
Abfrage-/Filtername
Ausdruck
Logs zu Senkenaktivitäten
resource . type = "logging_sink" AND
log_id ( "cloudaudit.googleapis.com/activity" )
Aktivitäten zur Erstellung oder Aktualisierung logbasierter Messwerte
resource . type = "metric" AND
log_id ( "cloudaudit.googleapis.com/activity" ) AND
protoPayload . methodName :( UpdateLogMetric OR CreateLogMetric )
URL-Verfügbarkeitsprüfung nach Host
resource . type = "uptime_url" AND
resource . labels . host = "[URL] "
Problembehebung
Weitere Informationen zur Abfragesyntax und eine Anleitung zur Fehlerbehebung finden Sie unter
Abfragen erstellen: Fehlerbehebung .
Weitere Informationen
Weitere Informationen zur Abfragesyntax, die Sie zur Anpassung dieser Abfragen verwenden können, finden Sie unter
Abfragen erstellen .