Questo documento fornisce query suggerite per semplificare la ricerca dei log importanti utilizzando Esplora log nella console Google Cloud.
Le query elencate sono scritte nel linguaggio delle query di Logging e possono essere utilizzate in Esplora log, nell'API Logging o nell'interfaccia a riga di comando.
Esplora log utilizza espressioni booleane per specificare un sottoinsieme di tutte le voci di log del progetto. Puoi utilizzare queste query per scegliere le voci di log
provenienti da log o servizi di log specifici oppure che soddisfano le condizioni dei metadati o
dei campi definiti dall'utente.
Prima di iniziare
Per visualizzare i log che stai inviando da un account Amazon Web Services (AWS) a Logging, seleziona il
progetto del connettore AWS nel selettore di risorse della console Google Cloud, quindi utilizza
Esplora log.
Il progetto del connettore AWS archivia l'Amazon Resource Name (ARN) per il tuo account AWS e collega l'account AWS ai servizi Google Cloud. Per maggiori informazioni, consulta
Raccogliere metriche dagli account AWS.
Assicurati di disporre delle autorizzazioni o dei ruoli di Identity and Access Management corretti per la creazione di query utilizzando Esplora log. Per maggiori dettagli sulle
autorizzazioni IAM necessarie, consulta
Autorizzazioni per la console Google Cloud.
Inizia
-
Nel pannello di navigazione della console Google Cloud, seleziona Logging, quindi Esplora log:
Vai a Esplora log
Seleziona il progetto Google Cloud appropriato o un'altra risorsa Google Cloud
per cui vuoi visualizzare i log.
Utilizzare le query di esempio
Per applicare una query dalle seguenti tabelle, fai clic sull'icona Copia contenuti content_copy per l'espressione, quindi incolla l'espressione copiata nel campo dell'editor di query di Esplora log:
Se non vedi il campo query-editor, attiva Mostra query.
Dopo aver esaminato l'espressione di query, fai clic su Esegui query. I log che corrispondono alla tua query sono elencati nella sezione Risultati delle query.
Alcune delle query elencate più avanti in questa pagina includono variabili che devi sostituire con valori validi. Ad esempio, quando una query include logName
, il valore PROJECT_ID fornito deve fare riferimento al progetto Google Cloud attualmente selezionato, altrimenti la query non funzionerà.
Tieni presente quanto segue:
Se hai una query con un timestamp, il selettore dell'intervallo di tempo è disabilitato e la query utilizza l'espressione del timestamp come limite dell'intervallo di tempo. Se una query non utilizza un'espressione timestamp, la query utilizza il selettore dell'intervallo di tempo come limitazione dell'intervallo di tempo.
La lunghezza di una query non può superare i 20.000 caratteri.
Il linguaggio di query di Logging non fa distinzione tra maiuscole e minuscole, ad eccezione delle espressioni regolari.
Puoi utilizzare la funzione log_id
per le query con un'espressione
log_name
. Ad esempio, l'espressione
log_name="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access"
è uguale a log_id("cloudaudit.googleapis.com/data_access")
.
Per saperne di più sulla funzione log_id
, consulta
Linguaggio delle query di Logging: funzioni.
Per istruzioni sull'esecuzione di query nella console Google Cloud, consulta Creare query in Esplora log.
Le seguenti sezioni raggruppano le query in base ai servizi Google Cloud.
Query di App Engine
Nome query/filtro |
Espressione |
Log di App Engine della notte di San Silvestro (in ora UTC) |
resource.type="gae_app" AND
severity>=ERROR AND
timestamp>="2018-12-31T00:00:00Z" AND timestamp<="2019-01-01T00:00:00Z" |
Log di richiesta App Engine con errori del server |
resource.type="gae_app" AND
log_id("appengine.googleapis.com/request_log") AND
httpRequest.status>=500 |
Log degli errori HTTP campionati |
resource.type="gae_app" AND
protoPayload.status >= 400 AND
sample(insertId, 0.1)
|
Cerca ID traccia App Engine |
resource.type="gae_app" AND
trace="projects/PROJECT_ID/traces/TRACE_ID" |
Log di App Engine |
resource.type="gae_app" AND
resource.labels.module_id="MODULE_ID" AND
resource.labels.version_id="VERSION_ID" |
Deployment recenti di App Engine |
resource.type="gae_app" AND
protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog" AND
protoPayload.serviceName="appengine.googleapis.com" |
Abilitare e disabilitare le query dell'API
Nome query/filtro |
Espressione |
Log di abilitazione dell'API Audit |
protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.EnableService" |
Log di disattivazione API Audit |
protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.DisableService" |
Query BigQuery
Nome query/filtro |
Espressione |
Audit log BigQuery |
resource.type=("bigquery_dataset" OR "bigquery_project") AND
logName:"cloudaudit.googleapis.com" |
Audit log BigQuery per un progetto |
resource.type="bigquery_project" AND
logName:"cloudaudit.googleapis.com" |
Audit log BigQuery per un set di dati |
resource.type="bigquery_dataset" AND
logName:"cloudaudit.googleapis.com" |
Audit log BigQuery per il modello BI Engine |
resource.type="bigquery_biengine_model" AND
logName:"cloudaudit.googleapis.com" |
Audit log di BigQuery per un'esecuzione di Data Transfer Service. |
resource.type="bigquery_dts_run" AND
logName:"cloudaudit.googleapis.com" |
Audit log di BigQuery per una configurazione di Data Transfer Service. |
resource.type="bigquery_dts_config" AND
logName:"cloudaudit.googleapis.com" |
Job di BigQuery Data Transfer Service |
resource.type=("bigquery_project") AND
protoPayload.requestMetadata.callerSuppliedUserAgent=
"BigQuery Data Transfer Service" AND
protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR
"google.cloud.bigquery.v2.JobService.Query") |
Log di esecuzione dei trasferimenti BigQuery |
resource.type="bigquery_dts_config" AND
labels.run_id="RUN_ID" AND
resource.labels.config_id="CONFIG_ID" |
Aggiornamenti del set di dati BigQuery |
resource.type="bigquery_dataset" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName=
"google.cloud.bigquery.v2.DatasetService.UpdateDataset" |
Job BigQuery completati |
resource.type="bigquery_project" AND
log_id("cloudaudit.googleapis.com/data_access") AND
protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob"
OR "google.cloud.bigquery.v2.JobService.Query") |
Query BigQuery di grandi dimensioni |
resource.type="bigquery_project" AND
protoPayload.metadata.jobChange.job.jobStats.queryStats.totalBilledBytes
> 1073741824 |
Quota BigQuery superata |
resource.type=("bigquery_dataset" OR "bigquery_project")
AND
protoPayload.status.code=8 AND
severity>=WARNING |
Query BigQuery avviata |
resource.type="bigquery_project" AND
protoPayload.metadata.jobInsertion.reason:* |
Job di caricamento/estrazione simultanei BigQuery |
resource.type="bigquery_resource" AND
protoPayload.methodName="jobservice.insert" AND
protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query:
"extract" |
Query Dataflow
Nome query/filtro |
Espressione |
Errori e avvisi nei worker di Dataflow |
resource.type="dataflow_step" AND
log_id("dataflow.googleapis.com/worker") AND
severity>=WARNING |
Query Dataproc
Nome query/filtro |
Espressione |
Log Dataproc Apache Hadoop |
resource.type="cloud_dataproc_cluster" AND
jsonPayload.class:"org.apache.hadoop.mapreduce" |
Cloud Deployment Manager
Nome query/filtro |
Espressione |
Errori Deployment Manager |
resource.type="deployment" AND
severity>=ERROR |
Query di Cloud Functions
Nome query/filtro |
Espressione |
Errori di Cloud Functions |
resource.type="cloud_function" AND
log_id("cloudfunctions.googleapis.com/cloud-functions") AND
severity>=ERROR |
Query di Cloud Monitoring
Nome query/filtro |
Espressione |
Mostra tutti gli errori del canale di notifica |
resource.type="stackdriver_notification_channel" AND
severity>=ERROR |
Mostra errori del canale di notifica dovuti alla limitazione |
resource.type="stackdriver_notification_channel" AND
severity>=ERROR AND
jsonPayload.summary="Notification delivery throttled." |
Mostra i log scritti dalla risorsa di uptime |
resource.type="uptime_url" |
Mostra le richieste ricevute dal servizio di controllo di uptime |
"GoogleStackdriverMonitoring-UptimeChecks" |
Query Cloud Run
Nome query/filtro |
Espressione |
Log di Cloud Run per un job specifico |
resource.type="cloud_run_job" AND
resource.labels.service_name="JOB_NAME"
|
Log di Cloud Run per una revisione e un servizio specifici |
resource.type="cloud_run_revision" AND
resource.labels.service_name="SERVICE_NAME" |
Query di Cloud Source Repositories
Nome query/filtro |
Espressione |
Log di Cloud Source Repository |
resource.type="csr_repository" AND
resource.labels.name="REPOSITORY_NAME" |
Query Spanner
Nome query/filtro |
Espressione |
Log di Cloud Spanner per un'istanza di Spanner specifica |
resource.type="spanner_instance" AND
resource.labels.instance_id="SPANNER_INSTANCE" |
Query Cloud SQL
Nome query/filtro |
Espressione |
Audit log di Cloud SQL |
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudaudit.googleapis.com/activity") |
Log degli errori MySQL di Cloud SQL |
resource.type="cloudsql_database" AND
log_id("cloudsql.googleapis.com/mysql.err") |
Database Cloud SQL basati su MySQL |
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/mysql") |
Database Cloud SQL basati su Postgres |
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/postgres.log") |
Log degli errori Cloud SQL per SQL Server |
resource.type="cloudsql_database" AND
log_id("cloudsql.googleapis.com/sqlserver.err") |
Database basati su Cloud SQL e SQL Server |
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/sqlagent.out") |
Query di Cloud Storage
Nome query/filtro |
Espressione |
Log dei bucket GCS |
resource.type="gcs_bucket" AND
resource.labels.bucket_name="BUCKET_NAME" |
Audit log dei bucket GCS |
resource.type="gcs_bucket" AND
logName:"cloudaudit.googleapis.com" |
Log di creazione dei bucket GCS |
resource.type="gcs_bucket" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.method_name="storage.buckets.create" |
Log di eliminazione dei bucket GCS |
resource.type="gcs_bucket" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.method_name="storage.buckets.delete" |
Query di Cloud Tasks
Nome query/filtro |
Espressione |
Log delle code di Cloud Tasks |
resource.type="cloud_tasks_queue" AND
resource.labels.queue_id="QUEUE_ID" |
Query Compute Engine
Nome query/filtro |
Espressione |
Log delle attività di amministrazione di Compute Engine |
resource.type="gce_instance" AND
log_id("cloudaudit.googleapis.com/activity") |
Eliminazione delle regole firewall di Compute Engine |
resource.type="gce_firewall_rule" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"firewalls.delete" |
Log di sistema VM di Compute Engine |
resource.type="gce_instance" AND
log_id("syslog") |
authlog delle VM di Compute Engine |
resource.type="gce_instance" AND
log_id("authlog") |
Errore host Compute Engine |
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:"OnHostMaintenance"
OR
operation.producer:"OnHostMaintenance")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO |
Host Compute Engine migrato |
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:
"compute.instances.migrateOnHostMaintenance" OR
operation.producer:
"compute.instances.migrateOnHostMaintenance")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO |
VM di Compute Engine terminata/prerilasciata |
resource.type="gce_instance"
protoPayload.methodName=
~"compute\.instances\.(guestTerminate|preempted)"
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID" |
Istanza VM di Compute Engine creata |
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.insert"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.request.name="INSTANCE_NAME" |
Istanza VM di Compute Engine eliminata con nome |
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.delete"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.resourceName:"INSTANCE_NAME" |
Istanza VM di Compute Engine eliminata con ID |
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.delete"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.instance_id="INSTANCE_ID" |
Istanza VM di Compute Engine riavviata |
resource.type="gce_instance"
protoPayload.methodName=~"compute\.instances\.(
stop|reset|automaticRestart|guestTerminate|
instanceManagerHaltForRestart)"
(log_id("cloudaudit.googleapis.com/activity")
OR log_id("cloudaudit.googleapis.com/system_event"))
resource.labels.instance_id="INSTANCE_ID" |
Errore di integrità dell'avvio della VM schermata di Compute Engine |
resource.type="gce_instance"
log_id("compute.googleapis.com/shielded_vm_integrity")
jsonPayload.earlyBootReportEvent.policyEvaluationPassed="false"
resource.labels.instance_id="INSTANCE_ID" |
Istanza VM di Compute Engine arrestata dal sistema operativo guest |
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:"compute.instances.guestTerminate" OR
operation.producer:"compute.instances.guestTerminate")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO |
Il file di avvio della VM schermata di Compute Engine è stato bloccato |
resource.type="gce_instance"
log_id("serialconsole.googleapis.com/serial_port_1_output")
textPayload:("Security Violation")
resource.labels.instance_id="INSTANCE_ID" |
Disco permanente creato |
resource.type="gce_disk" AND
protoPayload.methodName:"compute.disks.insert" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.resourceName: "PERSISTENT_DISK_NAME" |
Nodi aggiunti nel nodo single-tenant |
resource.type="gce_node_group"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName=~("compute.nodeGroups.addNodes"
OR "compute.nodeGroups.insert")
resource.labels.node_group_id="NODE_GROUP_ID"
severity="INFO" |
Scala automaticamente gli eventi nel nodo single-tenant |
resource.type="gce_node_group"
log_id("cloudaudit.googleapis.com/system_event")
protoPayload.methodName=~("compute.nodeGroups.deleteNodes"
OR "compute.nodeGroups.addNodes")
resource.labels.node_group_id="NODE_GROUP_ID" |
Istantanea manuale acquisita |
resource.type="gce_snapshot"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.snapshots.insert"
protoPayload.resourceName:"SNAPSHOT_NAME" |
Istantanea pianificata creata |
resource.type="gce_disk"
log_id("cloudaudit.googleapis.com/system_event")
protoPayload.methodName="ScheduledSnapshots"
protoPayload.response.operationType="createSnapshot"
protoPayload.response.targetLink="PERSISTENT_DISK_NAME" |
Pianificazione snapshot creata |
resource.type="gce_resource_policy"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.resourcePolicies.insert"
protoPayload.request.name="SCHEDULE_NAME" |
Pianificazione snapshot collegata |
resource.type="gce_disk"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.disks.addResourcePolicies"
protoPayload.request.resourcePolicys:"SCHEDULE_NAME"
protoPayload.resourceName:"PERSISTENT_DISK_NAME" |
Quota superata |
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.insert"
protoPayload.status.message:"QUOTA_EXCEEDED"
severity=ERROR |
Esegui query sulle istanze in stato non integro nel gruppo di istanze |
resource.type="gce_instance_group"
resource.labels.instance_group_name="INSTANCE_GROUP_NAME"
jsonPayload.healthCheckProbeResult.healthState="UNHEALTHY" |
Esegui una query sui membri del gruppo di istanze in un intervallo di tempo nel formato orario UTC |
resource.type="gce_instance_group_manager"
resource.labels.instance_group_manager_name="INSTANCE_GROUP_NAME"
jsonPayload.@type=
"type.googleapis.com/compute.InstanceGroupManagerEvent"
jsonPayload.instanceHealthStateChange.detailedHealthState="HEALTHY"
timestamp >= START_TIME timestamp <= END_TIME |
Istanze rimosse dal gruppo di istanze |
resource.type="gce_instance_group"
protoPayload.methodName:"compute.instanceGroups.removeInstances"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.instance_group_name="INSTANCE_GROUP_NAME" |
Modello di istanza impostato o aggiornato |
resource.type="gce_instance_group_manager"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName=
"v1.compute.instanceGroupManagers.setInstanceTemplate"
resource.labels.instance_group_manager_name="INSTANCE_GROUP_MANAGER" |
Regola firewall eliminata |
resource.type="gce_firewall_rule"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"firewalls.delete" |
Log dei firewall |
resource.type="gce_subnetwork"
log_id("compute.googleapis.com/firewall")
jsonPayload.instance.vm_name="INSTANCE_NAME" |
Query sull'osservabilità di Google Cloud
Nome query/filtro |
Espressione |
Attività sink di log |
resource.type="logging_sink" AND
log_id("cloudaudit.googleapis.com/activity") |
Attività di creazione o aggiornamento di una metrica basata su log |
resource.type="metric" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:(UpdateLogMetric OR CreateLogMetric) |
Controlli degli URL di uptime per un host |
resource.type="uptime_url" AND
resource.labels.host="URL" |
Query su Identity and Access Management
Nome query/filtro |
Espressione |
Log di creazione degli account di servizio |
resource.type="service_account" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.iam.admin.v1.CreateServiceAccount" |
Log delle chiavi per la creazione di account di servizio |
resource.type="service_account" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.iam.admin.v1.CreateServiceAccountKey" |
Imposta i log dei criteri di controllo dell'accesso |
resource.type="project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="SetIamPolicy" |
Entità esterna a cui è stato concesso l'accesso all'organizzazione |
resource.type="project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog" AND
protoPayload.request.@type:"IamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:* AND
NOT protoPayload.serviceData.policyDelta.bindingDeltas.member:"@DOMAIN_NAME.com" |
Creazione, modifica o eliminazione delle risorse |
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:("create" OR "delete" OR "update") |
Ruolo concesso all'entità |
log_id("cloudaudit.googleapis.com/activity") AND
resource.type="project" AND
protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND
protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.action="Add" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID" |
Ruolo rimosso dall'entità |
log_id("cloudaudit.googleapis.com/activity") AND
resource.type="project" AND
protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND
protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.action="Remove" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID" |
Autorizzazione aggiornata in un ruolo personalizzato |
log_id("cloudaudit.googleapis.com/activity") AND
resource.type="iam_role" AND
protoPayload.serviceName="iam.googleapis.com" AND
protoPayload.methodName:"UpdateRole" AND
resource.labels.role_name:"ROLE_ID" |
Query correlate a Kubernetes
Per una panoramica ed esempi di query degli audit log dell'attività di amministrazione, vedi quelli forniti nella
pagina di audit logging di GKE.
Query a livello di cluster
Nome query/filtro |
Espressione |
Operazioni cluster Google Kubernetes Engine |
resource.type="gke_cluster" AND
log_id("cloudaudit.googleapis.com/activity") |
Creazione del cluster Google Kubernetes Engine |
resource.type="gke_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.container.v1.ClusterManager.CreateCluster"
|
Deployment del cluster Kubernetes |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"deployments"
|
Errore di autenticazione del cluster Kubernetes |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.authenticationInfo.principalEmail="system:anonymous"
|
Operazioni ed eventi del cluster Kubernetes in us-central1-b |
resource.type="k8s_cluster" AND
resource.labels.location="us-central1-b"
|
Richieste di pod Kubernetes dagli utenti |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"io.k8s.core.v1.pods" AND
protoPayload.authenticationInfo.principalEmail="USER_EMAIL"
|
Eventi Kubernetes |
resource.type="k8s_cluster" AND
log_id("events")
|
Aggiornamento degli endpoint Kubernetes |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.request.kind="Endpoints"
|
Log del piano di controllo Kubernetes |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.serviceName="k8s.io"
|
Log del piano di controllo Kubernetes Engine |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.serviceName="container.googleapis.com"
|
Eliminazione dei pod |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName=~"io\.k8s\.core\.v1\.pods\.(create|delete)"
|
Audit log dei pod Kubernetes dal piano di controllo |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.resourceName="core/v1/namespaces/POD_NAMESPACE/pods/POD_NAME
|
Eliminazioni dei pod Kubernetes |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="io.k8s.core.v1.pods.eviction.create"
|
Audit log dei nodi Kubernetes dal piano di controllo |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"io.k8s.core.v1.nodes"
|
Piano di controllo del cluster Kubernetes per l'attività del gestore dei componenti aggiuntivi |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.authenticationInfo.principalEmail="system:addon-manager"
|
Errori del piano di controllo Kubernetes (escluso Conflict , che è normale) |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.status.message!="Conflict" AND
protoPayload.status.code!=0
|
Eventi controller Ingress |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="loadbalancer-controller"
|
Eventi di Service Controller (kube-controller-manager) |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="service-controller"
|
Eventi del gestore della scalabilità automatica del cluster |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="cluster-autoscaler"
|
Query a livello di pod
Nome filtro |
Espressione |
Esegui query sul pod durante la creazione |
resource.type="k8s_pod" AND
resource.labels.pod_name="POD_NAME" AND
log_id("events")
|
Pod di query terminato a causa della pressione delle risorse |
resource.type="k8s_pod" AND
log_id("events") AND
jsonPayload.reason="Evicted"
|
Eventi scheduler |
resource.type="k8s_pod" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="default-scheduler"
|
Eventi dello scheduler (prerilasci) |
resource.type="k8s_pod" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="default-scheduler" AND
jsonPayload.reason="Preempted"
|
Query a livello di nodo
Nome filtro |
Espressione |
Eventi nodo |
resource.type="k8s_node" AND
log_id("events")
|
Analisi dei log kube-proxy |
resource.type="k8s_node" AND
log_id("kube-proxy")
|
Visualizzazione dei log Docker |
resource.type="k8s_node" AND
log_id("container-runtime")
|
Analisi degli errori kubelet |
resource.type="k8s_node" AND
log_id("kubelet") AND
jsonPayload.MESSAGE:("error" OR "fail")
|
Analisi dei log dei nodi per i log di sistema GKE |
resource.type = "k8s_node"
logName:( "logs/container-runtime" OR
"logs/docker" OR
"logs/kube-container-runtime-monitor" OR
"logs/kube-logrotate" OR
"logs/kube-node-configuration" OR
"logs/kube-node-installation" OR
"logs/kubelet" OR
"logs/kubelet-monitor" OR
"logs/node-journal" OR
"logs/node-problem-detector")
|
Query dello spazio dei nomi
Nome filtro |
Espressione |
Log di container e pod per i log di sistema GKE |
resource.type = ("k8s_container" OR "k8s_pod")
resource.labels.namespace_name = (
"cnrm-system" OR
"config-management-system" OR
"gatekeeper-system" OR
"gke-connect" OR
"gke-system" OR
"istio-system" OR
"knative-serving" OR
"monitoring-system" OR
"kube-system")
|
Query container
Nome filtro |
Espressione |
Log dei container standard in tutti i pod e i container di un cluster |
resource.type="k8s_container" AND
log_id("stdout")
|
Log degli errori dei container in tutti i pod e i container in un cluster |
resource.type="k8s_container" AND
log_id("stderr") AND
severity=ERROR
|
Log degli errori dei container per un pod con un nome specifico |
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
severity=ERROR
|
Log degli errori dei container per un container specifico in un pod specifico |
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
resource.labels.container_name="server" AND
severity=ERROR
|
Log degli errori dei container per uno spazio dei nomi e un container specifici |
resource.type="k8s_container" AND
resource.labels.namespace_name="istio-system" AND
resource.labels.container_name="egressgateway" AND
severity=ERROR
|
Log dei container per un pod con un'etichetta specifica |
resource.type="k8s_container" AND
labels."k8s-pod/app"="loadgenerator" AND
severity=ERROR
|
Log degli errori dei container per i pod in esecuzione su un nodo specifico |
resource.type="k8s_container" AND
labels."compute.googleapis.com/resource_name"=NODE_NAME AND
severity=ERROR
|
Log dei container per un pod con un'etichetta generata utilizzando skaffold |
resource.type="k8s_container" AND
labels."k8s-pod/app"="loadgenerator" AND
labels."k8s-pod/skaffold_dev/run-id"=SKAFFOLD_RUN_ID
severity=ERROR
|
Log degli errori dei container per un pod specifico contenente un POST nel textPayload |
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
textPayload:"POST" AND
severity=ERROR
|
Log degli errori dei container per un pod specifico contenente un GET nel JSON strutturato |
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
jsonPayload."http.req.method"="GET" AND
severity=ERROR
|
Log degli errori dei container nello spazio dei nomi kube-system |
resource.type="k8s_container" AND
resource.labels.namespace_name="kube-system" AND
severity=ERROR
|
Errore del container nel log Container Insights |
resource.type="k8s_container" AND
log_id("clouderrorreporting.googleapis.com/insights")
|
Log dei container Kubernetes |
resource.type="k8s_container" AND
resource.labels.container_name="CONTAINER_NAME"
|
Query sul piano di controllo
Nota: i log del piano di controllo GKE devono essere abilitati.
Nome filtro |
Espressione |
Log del server API Kubernetes |
resource.type="k8s_control_plane_component"
resource.labels.component_name="apiserver"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
|
Log dello scheduler Kubernetes |
resource.type="k8s_control_plane_component"
resource.labels.component_name="scheduler"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
|
Log del gestore del controller Kubernetes |
resource.type="k8s_control_plane_component"
resource.labels.component_name="controller-manager"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
|
Query dell'applicazione dell'agente Logging
Nome query/filtro |
Espressione |
Log Apache |
resource.type="gce_instance" AND
(logName:"/apache-access" OR logName:"/apache-error") |
Log Cassandra |
resource.type="gce_instance" AND
log_id("cassandra") |
Diari dello chef |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/chef-" |
Log Gitlab |
resource.type="gce_instance"
logName:"projects/PROJECT_ID/logs/gitlab-" |
Log Jenkins |
resource.type="gce_instance" AND
log_id("jenkins") |
Log Jetty |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/jetty-" |
Log Joomla |
resource.type="gce_instance" AND
log_id("joomla") |
Syslog Linux |
resource.type="gce_instance" AND
log_id("syslog") |
Log magnetici |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/magneto-" |
Log Mediawiki |
resource.type="gce_instance" AND
log_id("mediawiki") |
Log Memcached |
resource.type="gce_instance" AND
log_id("memcached") |
Log MongoDB |
resource.type="gce_instance" AND
log_id("mongodb") |
Log MySQL |
resource.type="gce_instance" AND
log_id("mysql") |
Log Nginx |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/nginx-" |
Log PostgreSQL |
resource.type="gce_instance" AND
log_id("postgresql") |
Tronchi di burattini |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/puppet-" |
Log RabbitMQ |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/rabbitmq-" |
Log Redmine |
resource.type="gce_instance" AND
log_id("redmine") |
Diari di sale |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/salt-" |
Query MySQL lente |
resource.type="gce_instance" AND
log_id("mysql-slow") |
Log Solr |
resource.type="gce_instance" AND
log_id("solr") |
Log SugarCRM |
resource.type="gce_instance" AND
log_id("sugarcrm") |
Log Tomcat |
resource.type="gce_instance" AND
log_id("tomcat") |
Log Zookeeper |
resource.type="gce_instance" AND
log_id("zookeeper") |
Query di networking
Nome query/filtro |
Espressione |
Firewall: tutti i log |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") |
Log firewall per un determinato paese |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
jsonPayload.remote_location.country=COUNTRY_ISO_ALPHA_3 |
Log firewall di una VM |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
jsonPayload.instance.vm_name="INSTANCE_NAME" |
Log di subnet firewall |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
resource.labels.subnetwork_name="SUBNET_NAME" |
Log del traffico della subnet Compute Engine verso una subnet |
resource.type="gce_subnetwork" AND
ip_in_net(jsonPayload.connection.dest_ip, "SUBNET_IP") |
Log di flusso VPC |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") |
Log di flusso VPC per porta e protocollo specifici |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
jsonPayload.connection.src_port="PORT_ID" AND
jsonPayload.connection.protocol="PROTOCOL" |
Log di flusso VPC per subnet specifiche |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
resource.labels.subnetwork_name"=SUBNET_NAME" |
Log di flusso VPC per prefisso di subnet specifico |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
ip_in_net(jsonPayload.connection.dest_ip,SUBNET_IP) |
Log di flusso VPC per una VM specifica |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
jsonPayload.src_instance.vm_name="VM_NAME" |
Log del gateway VPN |
resource.type="vpn_gateway" AND
resource.labels.gateway_id="GATEWAY_ID" |
Errori 5xx del bilanciatore del carico HTTP |
resource.type="http_load_balancer" AND
httpRequest.status>=500 |
Richieste del bilanciatore del carico HTTP a PHPMyAdmin |
resource.type="http_load_balancer" AND
httpRequest.request_url:"phpmyadmin" |
Query sul logging di sicurezza
Nome query/filtro |
Espressione |
Audit log: tutti |
logName:"cloudaudit.googleapis.com" |
Log di controllo - Access Transparency (AXT) |
log_id("cloudaudit.googleapis.com/access_transparency") |
Log di controllo - Attività di amministrazione |
log_id("cloudaudit.googleapis.com/activity") |
Audit log - Accesso ai dati |
log_id("cloudaudit.googleapis.com/data_access") |
Audit log - Evento di sistema |
log_id("cloudaudit.googleapis.com/system_event") |
Risoluzione dei problemi
Per istruzioni sulla risoluzione dei problemi più comuni quando utilizzi Esplora log, consulta Utilizzo di Esplora log: risoluzione dei problemi.
Passaggi successivi
Per saperne di più sulla sintassi delle query, che puoi utilizzare per personalizzare
queste query, consulta
Linguaggio delle query di Logging.
Per maggiori informazioni sull'esecuzione di query nella console Google Cloud, consulta Creare query utilizzando il linguaggio di query di Logging.