Query di esempio

Questo documento fornisce query suggerite per semplificare la ricerca dei log importanti utilizzando Esplora log nella console Google Cloud. Le query elencate sono scritte nel linguaggio delle query di Logging e possono essere utilizzate in Esplora log, nell'API Logging o nell'interfaccia a riga di comando.

Esplora log utilizza espressioni booleane per specificare un sottoinsieme di tutte le voci di log del progetto. Puoi utilizzare queste query per scegliere le voci di log provenienti da log o servizi di log specifici oppure che soddisfano le condizioni dei metadati o dei campi definiti dall'utente.

Prima di iniziare

Per visualizzare i log che stai inviando da un account Amazon Web Services (AWS) a Logging, seleziona il progetto del connettore AWS nel selettore di risorse della console Google Cloud, quindi utilizza Esplora log. Il progetto del connettore AWS archivia l'Amazon Resource Name (ARN) per il tuo account AWS e collega l'account AWS ai servizi Google Cloud. Per maggiori informazioni, consulta Raccogliere metriche dagli account AWS.

Assicurati di disporre delle autorizzazioni o dei ruoli di Identity and Access Management corretti per la creazione di query utilizzando Esplora log. Per maggiori dettagli sulle autorizzazioni IAM necessarie, consulta Autorizzazioni per la console Google Cloud.

Inizia

  1. Nel pannello di navigazione della console Google Cloud, seleziona Logging, quindi Esplora log:

    Vai a Esplora log

  2. Seleziona il progetto Google Cloud appropriato o un'altra risorsa Google Cloud per cui vuoi visualizzare i log.

Utilizzare le query di esempio

Per applicare una query dalle seguenti tabelle, fai clic sull'icona Copia contenuti per l'espressione, quindi incolla l'espressione copiata nel campo dell'editor di query di Esplora log:

Editor query mostra dove inserire una query

Se non vedi il campo query-editor, attiva Mostra query.

Dopo aver esaminato l'espressione di query, fai clic su Esegui query. I log che corrispondono alla tua query sono elencati nella sezione Risultati delle query.

Alcune delle query elencate più avanti in questa pagina includono variabili che devi sostituire con valori validi. Ad esempio, quando una query include logName, il valore PROJECT_ID fornito deve fare riferimento al progetto Google Cloud attualmente selezionato, altrimenti la query non funzionerà.

Tieni presente quanto segue:

  • Se hai una query con un timestamp, il selettore dell'intervallo di tempo è disabilitato e la query utilizza l'espressione del timestamp come limite dell'intervallo di tempo. Se una query non utilizza un'espressione timestamp, la query utilizza il selettore dell'intervallo di tempo come limitazione dell'intervallo di tempo.

  • La lunghezza di una query non può superare i 20.000 caratteri.

  • Il linguaggio di query di Logging non fa distinzione tra maiuscole e minuscole, ad eccezione delle espressioni regolari.

  • Puoi utilizzare la funzione log_id per le query con un'espressione log_name. Ad esempio, l'espressione log_name="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access" è uguale a log_id("cloudaudit.googleapis.com/data_access"). Per saperne di più sulla funzione log_id, consulta Linguaggio delle query di Logging: funzioni.

Per istruzioni sull'esecuzione di query nella console Google Cloud, consulta Creare query in Esplora log.

Le seguenti sezioni raggruppano le query in base ai servizi Google Cloud.

Query di App Engine

Nome query/filtro Espressione
Log di App Engine della notte di San Silvestro (in ora UTC)

resource.type="gae_app" AND
severity>=ERROR AND
timestamp>="2018-12-31T00:00:00Z" AND timestamp<="2019-01-01T00:00:00Z" 
Log di richiesta App Engine con errori del server

resource.type="gae_app" AND
log_id("appengine.googleapis.com/request_log") AND
httpRequest.status>=500 
Log degli errori HTTP campionati

resource.type="gae_app" AND
protoPayload.status >= 400 AND
sample(insertId, 0.1) 
Cerca ID traccia App Engine

resource.type="gae_app" AND
trace="projects/PROJECT_ID/traces/TRACE_ID" 
Log di App Engine

resource.type="gae_app" AND
resource.labels.module_id="MODULE_ID" AND
resource.labels.version_id="VERSION_ID" 
Deployment recenti di App Engine

resource.type="gae_app" AND
protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog" AND
protoPayload.serviceName="appengine.googleapis.com" 

Abilitare e disabilitare le query dell'API

Nome query/filtro Espressione
Log di abilitazione dell'API Audit

protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.EnableService"
Log di disattivazione API Audit

protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.DisableService"

Query BigQuery

Nome query/filtro Espressione
Audit log BigQuery

resource.type=("bigquery_dataset" OR "bigquery_project") AND
logName:"cloudaudit.googleapis.com" 
Audit log BigQuery per un progetto

resource.type="bigquery_project" AND
logName:"cloudaudit.googleapis.com" 
Audit log BigQuery per un set di dati

resource.type="bigquery_dataset" AND
logName:"cloudaudit.googleapis.com" 
Audit log BigQuery per il modello BI Engine

resource.type="bigquery_biengine_model" AND
logName:"cloudaudit.googleapis.com" 
Audit log di BigQuery per un'esecuzione di Data Transfer Service.

resource.type="bigquery_dts_run" AND
logName:"cloudaudit.googleapis.com" 
Audit log di BigQuery per una configurazione di Data Transfer Service.

resource.type="bigquery_dts_config" AND
logName:"cloudaudit.googleapis.com" 
Job di BigQuery Data Transfer Service

resource.type=("bigquery_project") AND
protoPayload.requestMetadata.callerSuppliedUserAgent=
"BigQuery Data Transfer Service" AND
protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR
"google.cloud.bigquery.v2.JobService.Query") 
Log di esecuzione dei trasferimenti BigQuery

resource.type="bigquery_dts_config" AND
labels.run_id="RUN_ID" AND
resource.labels.config_id="CONFIG_ID" 
Aggiornamenti del set di dati BigQuery

resource.type="bigquery_dataset" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName=
"google.cloud.bigquery.v2.DatasetService.UpdateDataset" 
Job BigQuery completati

resource.type="bigquery_project" AND
log_id("cloudaudit.googleapis.com/data_access") AND
protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob"
OR "google.cloud.bigquery.v2.JobService.Query") 
Query BigQuery di grandi dimensioni

resource.type="bigquery_project" AND
protoPayload.metadata.jobChange.job.jobStats.queryStats.totalBilledBytes
> 1073741824 
Quota BigQuery superata

resource.type=("bigquery_dataset" OR "bigquery_project")
AND
protoPayload.status.code=8 AND
severity>=WARNING 
Query BigQuery avviata

resource.type="bigquery_project" AND
protoPayload.metadata.jobInsertion.reason:*
Job di caricamento/estrazione simultanei BigQuery

resource.type="bigquery_resource" AND
protoPayload.methodName="jobservice.insert" AND
protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query:
"extract"

Query Dataflow

Nome query/filtro Espressione
Errori e avvisi nei worker di Dataflow

resource.type="dataflow_step" AND
log_id("dataflow.googleapis.com/worker") AND
severity>=WARNING 

Query Dataproc

Nome query/filtro Espressione
Log Dataproc Apache Hadoop

resource.type="cloud_dataproc_cluster" AND
jsonPayload.class:"org.apache.hadoop.mapreduce" 

Cloud Deployment Manager

Nome query/filtro Espressione
Errori Deployment Manager

resource.type="deployment" AND
severity>=ERROR 

Query di Cloud Functions

Nome query/filtro Espressione
Errori di Cloud Functions

resource.type="cloud_function" AND
log_id("cloudfunctions.googleapis.com/cloud-functions") AND
severity>=ERROR 

Query di Cloud Monitoring

Nome query/filtro Espressione
Mostra tutti gli errori
del canale di notifica

resource.type="stackdriver_notification_channel" AND
severity>=ERROR 
Mostra errori del
canale di notifica dovuti alla limitazione

resource.type="stackdriver_notification_channel" AND
severity>=ERROR AND
jsonPayload.summary="Notification delivery throttled."
Mostra i log scritti dalla
risorsa di uptime

resource.type="uptime_url"
Mostra le richieste ricevute dal
servizio di controllo di uptime

"GoogleStackdriverMonitoring-UptimeChecks"

Query Cloud Run

Nome query/filtro Espressione
Log di Cloud Run per un job specifico

resource.type="cloud_run_job" AND
resource.labels.service_name="JOB_NAME"
Log di Cloud Run per una revisione e un servizio specifici

resource.type="cloud_run_revision" AND
resource.labels.service_name="SERVICE_NAME"

Query di Cloud Source Repositories

Nome query/filtro Espressione
Log di Cloud Source Repository

resource.type="csr_repository" AND
resource.labels.name="REPOSITORY_NAME"

Query Spanner

Nome query/filtro Espressione
Log di Cloud Spanner per un'istanza di Spanner specifica

resource.type="spanner_instance" AND
resource.labels.instance_id="SPANNER_INSTANCE"

Query Cloud SQL

Nome query/filtro Espressione
Audit log di Cloud SQL

resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudaudit.googleapis.com/activity")
Log degli errori MySQL di Cloud SQL

resource.type="cloudsql_database" AND
log_id("cloudsql.googleapis.com/mysql.err")
Database Cloud SQL basati su MySQL

resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/mysql")
Database Cloud SQL basati su Postgres

resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/postgres.log")
Log degli errori Cloud SQL per SQL Server

resource.type="cloudsql_database" AND
log_id("cloudsql.googleapis.com/sqlserver.err")
Database basati su Cloud SQL e SQL Server

resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/sqlagent.out")

Query di Cloud Storage

Nome query/filtro Espressione
Log dei bucket GCS

resource.type="gcs_bucket" AND
resource.labels.bucket_name="BUCKET_NAME"
Audit log dei bucket GCS

resource.type="gcs_bucket" AND
logName:"cloudaudit.googleapis.com" 
Log di creazione dei bucket GCS

resource.type="gcs_bucket" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.method_name="storage.buckets.create" 
Log di eliminazione dei bucket GCS

resource.type="gcs_bucket" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.method_name="storage.buckets.delete" 

Query di Cloud Tasks

Nome query/filtro Espressione
Log delle code di Cloud Tasks

resource.type="cloud_tasks_queue" AND
resource.labels.queue_id="QUEUE_ID"

Query Compute Engine

Nome query/filtro Espressione
Log delle attività di amministrazione di Compute Engine

resource.type="gce_instance" AND
log_id("cloudaudit.googleapis.com/activity")
Eliminazione delle regole firewall di Compute Engine

resource.type="gce_firewall_rule" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"firewalls.delete" 
Log di sistema VM di Compute Engine

resource.type="gce_instance" AND
log_id("syslog") 
authlog delle VM di Compute Engine

resource.type="gce_instance" AND
log_id("authlog") 
Errore host Compute Engine

resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:"OnHostMaintenance"
OR
operation.producer:"OnHostMaintenance")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO 
Host Compute Engine migrato

resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:
"compute.instances.migrateOnHostMaintenance" OR
operation.producer:
"compute.instances.migrateOnHostMaintenance")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO 
VM di Compute Engine terminata/prerilasciata

resource.type="gce_instance"
protoPayload.methodName=
~"compute\.instances\.(guestTerminate|preempted)"
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID" 
Istanza VM di Compute Engine creata

resource.type="gce_instance"
protoPayload.methodName:"compute.instances.insert"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.request.name="INSTANCE_NAME" 
Istanza VM di Compute Engine riavviata

resource.type="gce_instance"
protoPayload.methodName=~"compute\.instances\.(
stop|reset|automaticRestart|guestTerminate|
instanceManagerHaltForRestart)"
(log_id("cloudaudit.googleapis.com/activity")
OR log_id("cloudaudit.googleapis.com/system_event"))
resource.labels.instance_id="INSTANCE_ID" 
Errore di integrità dell'avvio della VM schermata di Compute Engine

resource.type="gce_instance"
log_id("compute.googleapis.com/shielded_vm_integrity")
jsonPayload.earlyBootReportEvent.policyEvaluationPassed="false"
resource.labels.instance_id="INSTANCE_ID" 
Istanza VM di Compute Engine arrestata dal sistema operativo guest

resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:"compute.instances.guestTerminate" OR
operation.producer:"compute.instances.guestTerminate")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO 
Il file di avvio della VM schermata di Compute Engine è stato bloccato

resource.type="gce_instance"
log_id("serialconsole.googleapis.com/serial_port_1_output")
textPayload:("Security Violation")
resource.labels.instance_id="INSTANCE_ID" 
Disco permanente creato

resource.type="gce_disk" AND
protoPayload.methodName:"compute.disks.insert" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.resourceName: "PERSISTENT_DISK_NAME"
Nodi aggiunti nel nodo single-tenant

resource.type="gce_node_group"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName=~("compute.nodeGroups.addNodes"
OR "compute.nodeGroups.insert")
resource.labels.node_group_id="NODE_GROUP_ID"
severity="INFO"
Scala automaticamente gli eventi nel nodo single-tenant

resource.type="gce_node_group"
log_id("cloudaudit.googleapis.com/system_event")
protoPayload.methodName=~("compute.nodeGroups.deleteNodes"
OR "compute.nodeGroups.addNodes")
resource.labels.node_group_id="NODE_GROUP_ID"
Istantanea manuale acquisita

resource.type="gce_snapshot"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.snapshots.insert"
protoPayload.resourceName:"SNAPSHOT_NAME"
Istantanea pianificata creata

resource.type="gce_disk"
log_id("cloudaudit.googleapis.com/system_event")
protoPayload.methodName="ScheduledSnapshots"
protoPayload.response.operationType="createSnapshot"
protoPayload.response.targetLink="PERSISTENT_DISK_NAME"
Pianificazione snapshot creata

resource.type="gce_resource_policy"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.resourcePolicies.insert"
protoPayload.request.name="SCHEDULE_NAME"
Pianificazione snapshot collegata

resource.type="gce_disk"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.disks.addResourcePolicies"
protoPayload.request.resourcePolicys:"SCHEDULE_NAME"
protoPayload.resourceName:"PERSISTENT_DISK_NAME"
Quota superata

resource.type="gce_instance"
protoPayload.methodName:"compute.instances.insert"
protoPayload.status.message:"QUOTA_EXCEEDED"
severity=ERROR
Esegui query sulle istanze in stato non integro nel gruppo di istanze

resource.type="gce_instance_group"
resource.labels.instance_group_name="INSTANCE_GROUP_NAME"
jsonPayload.healthCheckProbeResult.healthState="UNHEALTHY"
Esegui una query sui membri del gruppo di istanze in un intervallo di tempo nel formato orario UTC

resource.type="gce_instance_group_manager"
resource.labels.instance_group_manager_name="INSTANCE_GROUP_NAME"
jsonPayload.@type=
"type.googleapis.com/compute.InstanceGroupManagerEvent"
jsonPayload.instanceHealthStateChange.detailedHealthState="HEALTHY"
timestamp >= START_TIME timestamp <= END_TIME 
Istanze rimosse dal gruppo di istanze

resource.type="gce_instance_group"
protoPayload.methodName:"compute.instanceGroups.removeInstances"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.instance_group_name="INSTANCE_GROUP_NAME"
Modello di istanza impostato o aggiornato

resource.type="gce_instance_group_manager"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName=
"v1.compute.instanceGroupManagers.setInstanceTemplate"
resource.labels.instance_group_manager_name="INSTANCE_GROUP_MANAGER"
Regola firewall eliminata

resource.type="gce_firewall_rule"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"firewalls.delete"
Log dei firewall

resource.type="gce_subnetwork"
log_id("compute.googleapis.com/firewall")
jsonPayload.instance.vm_name="INSTANCE_NAME"

Query sull'osservabilità di Google Cloud

Nome query/filtro Espressione
Attività sink di log

resource.type="logging_sink" AND
log_id("cloudaudit.googleapis.com/activity")
Attività di creazione o aggiornamento di una metrica basata su log

resource.type="metric" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:(UpdateLogMetric OR CreateLogMetric)
Controlli degli URL di uptime per un host

resource.type="uptime_url" AND
resource.labels.host="URL"

Query su Identity and Access Management

Nome query/filtro Espressione
Log di creazione degli account di servizio

resource.type="service_account" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.iam.admin.v1.CreateServiceAccount" 
Log delle chiavi per la creazione di account di servizio

resource.type="service_account" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.iam.admin.v1.CreateServiceAccountKey" 
Imposta i log dei criteri di controllo dell'accesso

resource.type="project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="SetIamPolicy" 
Entità esterna a cui è stato concesso l'accesso all'organizzazione

resource.type="project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog" AND
protoPayload.request.@type:"IamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:* AND
NOT protoPayload.serviceData.policyDelta.bindingDeltas.member:"@DOMAIN_NAME.com" 
Creazione, modifica o eliminazione delle risorse

log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:("create" OR "delete" OR "update")
Ruolo concesso all'entità

log_id("cloudaudit.googleapis.com/activity") AND
resource.type="project" AND
protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND
protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.action="Add" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID" 
Ruolo rimosso dall'entità

log_id("cloudaudit.googleapis.com/activity") AND
resource.type="project" AND
protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND
protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.action="Remove" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID" 
Autorizzazione aggiornata in un ruolo personalizzato

log_id("cloudaudit.googleapis.com/activity") AND
resource.type="iam_role" AND
protoPayload.serviceName="iam.googleapis.com" AND
protoPayload.methodName:"UpdateRole" AND
resource.labels.role_name:"ROLE_ID" 

Query correlate a Kubernetes

Per una panoramica ed esempi di query degli audit log dell'attività di amministrazione, vedi quelli forniti nella pagina di audit logging di GKE.

Query a livello di cluster

Nome query/filtro Espressione
Operazioni cluster Google Kubernetes Engine

resource.type="gke_cluster" AND
log_id("cloudaudit.googleapis.com/activity")
Creazione del cluster Google Kubernetes Engine

resource.type="gke_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.container.v1.ClusterManager.CreateCluster"
      
Deployment del cluster Kubernetes

resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"deployments"
      
Errore di autenticazione del cluster Kubernetes

resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.authenticationInfo.principalEmail="system:anonymous"
      
Operazioni ed eventi del cluster Kubernetes in us-central1-b

resource.type="k8s_cluster" AND
resource.labels.location="us-central1-b"
      
Richieste di pod Kubernetes dagli utenti

resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"io.k8s.core.v1.pods" AND
protoPayload.authenticationInfo.principalEmail="USER_EMAIL"
      
Eventi Kubernetes

resource.type="k8s_cluster" AND
log_id("events")
      
Aggiornamento degli endpoint Kubernetes

resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.request.kind="Endpoints"
      
Log del piano di controllo Kubernetes

resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.serviceName="k8s.io"
      
Log del piano di controllo Kubernetes Engine

resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.serviceName="container.googleapis.com"
      
Eliminazione dei pod

resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName=~"io\.k8s\.core\.v1\.pods\.(create|delete)"
      
Audit log dei pod Kubernetes dal piano di controllo

resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.resourceName="core/v1/namespaces/POD_NAMESPACE/pods/POD_NAME
      
Eliminazioni dei pod Kubernetes

resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="io.k8s.core.v1.pods.eviction.create"
      
Audit log dei nodi Kubernetes dal piano di controllo

resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"io.k8s.core.v1.nodes"
      
Piano di controllo del cluster Kubernetes per l'attività del gestore dei componenti aggiuntivi

resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.authenticationInfo.principalEmail="system:addon-manager"
      
Errori del piano di controllo Kubernetes (escluso Conflict, che è normale)

resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.status.message!="Conflict" AND
protoPayload.status.code!=0
      
Eventi controller Ingress

resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="loadbalancer-controller"
      
Eventi di Service Controller (kube-controller-manager)

resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="service-controller"
      
Eventi del gestore della scalabilità automatica del cluster

resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="cluster-autoscaler"
      

Query a livello di pod

Nome filtro Espressione
Esegui query sul pod durante la creazione

resource.type="k8s_pod" AND
resource.labels.pod_name="POD_NAME" AND
log_id("events")
      
Pod di query terminato a causa della pressione delle risorse

resource.type="k8s_pod" AND
        log_id("events") AND
        jsonPayload.reason="Evicted"
      
Eventi scheduler

resource.type="k8s_pod" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="default-scheduler"
      
Eventi dello scheduler (prerilasci)

resource.type="k8s_pod" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="default-scheduler" AND
jsonPayload.reason="Preempted"
      

Query a livello di nodo

Nome filtro Espressione
Eventi nodo

resource.type="k8s_node" AND
log_id("events")
      
Analisi dei log kube-proxy

resource.type="k8s_node" AND
log_id("kube-proxy")
      
Visualizzazione dei log Docker

resource.type="k8s_node" AND
log_id("container-runtime")
      
Analisi degli errori kubelet

resource.type="k8s_node" AND
log_id("kubelet") AND
jsonPayload.MESSAGE:("error" OR "fail")
      
Analisi dei log dei nodi per i log di sistema GKE

resource.type = "k8s_node"
logName:( "logs/container-runtime" OR
"logs/docker" OR
"logs/kube-container-runtime-monitor" OR
"logs/kube-logrotate" OR
"logs/kube-node-configuration" OR
"logs/kube-node-installation" OR
"logs/kubelet" OR
"logs/kubelet-monitor" OR
"logs/node-journal" OR
"logs/node-problem-detector")
      

Query dello spazio dei nomi

Nome filtro Espressione
Log di container e pod per i log di sistema GKE

resource.type = ("k8s_container" OR "k8s_pod")
resource.labels.namespace_name = (
"cnrm-system" OR
"config-management-system" OR
"gatekeeper-system" OR
"gke-connect" OR
"gke-system" OR
"istio-system" OR
"knative-serving" OR
"monitoring-system" OR
"kube-system")
      

Query container

Nome filtro Espressione
Log dei container standard in tutti i pod e i container di un cluster

resource.type="k8s_container" AND
log_id("stdout")
      
Log degli errori dei container in tutti i pod e i container in un cluster

resource.type="k8s_container" AND
log_id("stderr") AND
severity=ERROR
      
Log degli errori dei container per un pod con un nome specifico

resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
severity=ERROR
      
Log degli errori dei container per un container specifico in un pod specifico

resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
resource.labels.container_name="server" AND
severity=ERROR
      
Log degli errori dei container per uno spazio dei nomi e un container specifici

resource.type="k8s_container" AND
resource.labels.namespace_name="istio-system" AND
resource.labels.container_name="egressgateway" AND
severity=ERROR
      
Log dei container per un pod con un'etichetta specifica

resource.type="k8s_container" AND
labels."k8s-pod/app"="loadgenerator" AND
severity=ERROR
      
Log degli errori dei container per i pod in esecuzione su un nodo specifico

resource.type="k8s_container" AND
labels."compute.googleapis.com/resource_name"=NODE_NAME AND
severity=ERROR
      
Log dei container per un pod con un'etichetta generata utilizzando skaffold

resource.type="k8s_container" AND
labels."k8s-pod/app"="loadgenerator" AND
labels."k8s-pod/skaffold_dev/run-id"=SKAFFOLD_RUN_ID
severity=ERROR
      
Log degli errori dei container per un pod specifico contenente un POST nel textPayload

resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
textPayload:"POST" AND
severity=ERROR
      
Log degli errori dei container per un pod specifico contenente un GET nel JSON strutturato

resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
jsonPayload."http.req.method"="GET" AND
severity=ERROR
      
Log degli errori dei container nello spazio dei nomi kube-system

resource.type="k8s_container" AND
resource.labels.namespace_name="kube-system" AND
severity=ERROR
      
Errore del container nel log Container Insights

resource.type="k8s_container" AND
log_id("clouderrorreporting.googleapis.com/insights")
      
Log dei container Kubernetes

resource.type="k8s_container" AND
resource.labels.container_name="CONTAINER_NAME"
      

Query sul piano di controllo

Nota: i log del piano di controllo GKE devono essere abilitati.
Nome filtro Espressione
Log del server API Kubernetes

resource.type="k8s_control_plane_component"
        resource.labels.component_name="apiserver"
        resource.labels.location="CLUSTER_LOCATION"
        resource.labels.cluster_name="CLUSTER_NAME"
      
Log dello scheduler Kubernetes

resource.type="k8s_control_plane_component"
        resource.labels.component_name="scheduler"
        resource.labels.location="CLUSTER_LOCATION"
        resource.labels.cluster_name="CLUSTER_NAME"
      
Log del gestore del controller Kubernetes

resource.type="k8s_control_plane_component"
        resource.labels.component_name="controller-manager"
        resource.labels.location="CLUSTER_LOCATION"
        resource.labels.cluster_name="CLUSTER_NAME"
      

Query dell'applicazione dell'agente Logging

Nome query/filtro Espressione
Log Apache

resource.type="gce_instance" AND
(logName:"/apache-access" OR logName:"/apache-error")
Log Cassandra

resource.type="gce_instance" AND
log_id("cassandra")
Diari dello chef

resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/chef-"
Log Gitlab

resource.type="gce_instance"
logName:"projects/PROJECT_ID/logs/gitlab-" 
Log Jenkins

resource.type="gce_instance" AND
log_id("jenkins")
Log Jetty

resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/jetty-"
Log Joomla

resource.type="gce_instance" AND
log_id("joomla")
Syslog Linux

resource.type="gce_instance" AND
log_id("syslog")
Log magnetici

resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/magneto-"
Log Mediawiki

resource.type="gce_instance" AND
log_id("mediawiki")
Log Memcached

resource.type="gce_instance" AND
log_id("memcached")
Log MongoDB

resource.type="gce_instance" AND
log_id("mongodb")
Log MySQL

resource.type="gce_instance" AND
log_id("mysql")
Log Nginx

resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/nginx-"
Log PostgreSQL

resource.type="gce_instance" AND
log_id("postgresql")
Tronchi di burattini

resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/puppet-"
Log RabbitMQ

resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/rabbitmq-"
Log Redmine

resource.type="gce_instance" AND
log_id("redmine")
Diari di sale

resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/salt-"
Query MySQL lente

resource.type="gce_instance" AND
log_id("mysql-slow")
Log Solr

resource.type="gce_instance" AND
log_id("solr")
Log SugarCRM

resource.type="gce_instance" AND
log_id("sugarcrm")
Log Tomcat

resource.type="gce_instance" AND
log_id("tomcat")
Log Zookeeper

resource.type="gce_instance" AND
log_id("zookeeper")

Query di networking

Nome query/filtro Espressione
Firewall: tutti i log

resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall")
Log firewall per un determinato paese

resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
jsonPayload.remote_location.country=COUNTRY_ISO_ALPHA_3
Log firewall di una VM

resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
jsonPayload.instance.vm_name="INSTANCE_NAME"
Log di subnet firewall

resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
resource.labels.subnetwork_name="SUBNET_NAME"
Log del traffico della subnet Compute Engine verso una subnet

resource.type="gce_subnetwork" AND
ip_in_net(jsonPayload.connection.dest_ip, "SUBNET_IP")
Log di flusso VPC

resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows")
Log di flusso VPC per porta e protocollo specifici

resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
jsonPayload.connection.src_port="PORT_ID" AND
jsonPayload.connection.protocol="PROTOCOL"
Log di flusso VPC per subnet specifiche

resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
resource.labels.subnetwork_name"=SUBNET_NAME"
Log di flusso VPC per prefisso di subnet specifico

resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
ip_in_net(jsonPayload.connection.dest_ip,SUBNET_IP)
Log di flusso VPC per una VM specifica

resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
jsonPayload.src_instance.vm_name="VM_NAME"
Log del gateway VPN

resource.type="vpn_gateway" AND
resource.labels.gateway_id="GATEWAY_ID"
Errori 5xx del bilanciatore del carico HTTP

resource.type="http_load_balancer" AND
httpRequest.status>=500
Richieste del bilanciatore del carico HTTP a PHPMyAdmin

resource.type="http_load_balancer" AND
httpRequest.request_url:"phpmyadmin"

Query sul logging di sicurezza

Nome query/filtro Espressione
Audit log: tutti

logName:"cloudaudit.googleapis.com"
Log di controllo - Access Transparency (AXT)

log_id("cloudaudit.googleapis.com/access_transparency")
Log di controllo - Attività di amministrazione

log_id("cloudaudit.googleapis.com/activity")
Audit log - Accesso ai dati

log_id("cloudaudit.googleapis.com/data_access")
Audit log - Evento di sistema

log_id("cloudaudit.googleapis.com/system_event")

Risoluzione dei problemi

Per istruzioni sulla risoluzione dei problemi più comuni quando utilizzi Esplora log, consulta Utilizzo di Esplora log: risoluzione dei problemi.

Passaggi successivi

Per saperne di più sulla sintassi delle query, che puoi utilizzare per personalizzare queste query, consulta Linguaggio delle query di Logging.

Per maggiori informazioni sull'esecuzione di query nella console Google Cloud, consulta Creare query utilizzando il linguaggio di query di Logging.