サンプルクエリ

このページでは、重要なログの検索を容易にする推奨クエリを提供します。ここに示すすべてのクエリは、ログビューアLogging APIコマンドライン インターフェースで適用できますが、このページではログビューアでのクエリの使用に焦点を当てています。

高度なログクエリとは、プロジェクトのログエントリ全体のうちの特定部分を指定するブール式のことです。このようなクエリを使用して、特定のログまたはログサービスからのログエントリや、メタデータまたはユーザー定義フィールドに関する条件を満たすログエントリを選択できます。高度なクエリの詳細については、高度なログクエリをご覧ください。

高度なクエリのスタートガイド

このページに表示されるクエリは、ログビューアの高度なクエリ インターフェースで使用することが想定されています。

ログビューアで高度なクエリ インターフェースに移動するには、以下の手順に従います。

  1. Cloud Console の [Stackdriver Logging] > [ログ](ログビューア)ページに移動します。

    ログビューア ページに移動

  2. ページ上部でいずれかの Google Cloud プロジェクトを選択します。

  3. 検索フィルタ ボックスの右端にあるプルダウン矢印(▾)をクリックして、[高度なフィルタに変換] を選択します。

    高度なログクエリに変換

    高度なログクエリ インターフェースが表示されます。ログクエリは、ログエントリの特定のセットを選択できるようになっているため、ユーザー インターフェースでは「フィルタ」のラベルが付いています。

クエリの使用

次の表のクエリを適用するには、式の行の末尾にあるクリップボードのアイコンをクリックし、コピーした式を高度なクエリ インターフェースの検索ボックスに貼り付けます。

高度なクエリの検索ボックス

クエリに一致するログが検索クエリボックスの下に表示されます。

以下に示すクエリの中には変数(角かっこ [] で示される)が含まれるものがあり、これらは有効な値に置き換える必要があります。クエリに logName が含まれる場合、指定する [PROJECT_ID] は現在選択されている Google Cloud プロジェクトを参照する必要があります。そうしないと、クエリは機能しません。詳細については、トラブルシューティングをご覧ください。

タイムスタンプを含むクエリを作成する場合は、検索クエリボックスの下の期間セレクタから [制限なし] を選択する必要があります。

以下のセクションでは、Google Cloud サービスによるクエリをグループ化しています。

App Engine のクエリ

フィルタ名
App Engine の大晦日(UTC 時間)のログ

resource.type="gae_app" AND
severity>=ERROR AND
timestamp>="2018-12-31T00:00:00Z" AND timestamp<="2019-01-01T00:00:00Z" 
App Engine のサーバーエラーを含むリクエストログ

resource.type="gae_app" AND
log_name="projects/[PROJECT_ID]/logs/appengine.googleapis.com%2Frequest_log" AND
http_request.status>=500 
HTTP エラーログからのサンプリング

resource.type="gae_app" AND
proto_payload.status >= 400 AND
sample(insertId, 0.1) 
App Engine トレース ID で検索

resource.type="gae_app" AND
trace="projects/[PROJECT_ID]/traces/[TRACE_ID]" 

BigQuery のクエリ

フィルタ名
BigQuery の監査ログ

resource.type="bigquery_resource" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com" 
BigQuery Data Transfer Service のジョブ

resource.type="bigquery_resource" AND
proto_payload.request_metadata.caller_supplied_user_agent="BigQuery Data Transfer Service" AND
proto_payload.method_name="jobservice.insert" 
BigQuery データセットの更新

resource.type="bigquery_resource" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
proto_payload.method_name="datasetservice.update" 
BigQuery ジョブの完了

resource.type="bigquery_resource" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access" AND
proto_payload.method_name="jobservice.jobcompleted" 
BigQuery の大規模クエリ

resource.type="bigquery_resource" AND
proto_payload.method_name="jobservice.jobcompleted" AND
proto_payload.service_data.job_completed_event.job.job_statistics.total_billed_bytes>1073741824 
BigQuery の割り当て超過

resource.type="bigquery_resource" AND
proto_payload.status.code=8 AND
severity>=WARNING 
BigQuery のクエリ開始

resource.type="bigquery_resource" AND
proto_payload.method_name="jobservice.insert" 

Dataflow のクエリ

フィルタ名
Dataflow ワーカーのエラーと警告

resource.type="dataflow_step" AND
log_name="projects/[PROJECT_ID]/logs/dataflow.googleapis.com%2Fworker" AND
severity>=WARNING 

Dataproc のクエリ

フィルタ名
Dataproc Apache Hadoop のログ

resource.type="cloud_dataproc_cluster" AND
json_payload.class:"org.apache.hadoop.mapreduce" 

Cloud Deployment Manager

フィルタ名
Deployment Manager のエラー

resource.type="deployment" AND
severity>=ERROR 

Cloud Functions のクエリ

フィルタ名
Cloud 関数のエラー

resource.type="cloud_function" AND
log_name="projects/[PROJECT_ID]/logs/cloudfunctions.googleapis.com%2Fcloud-functions" AND
severity>=ERROR 

Cloud Identity and Access Management のクエリ

フィルタ名
サービス アカウント作成のログ

resource.type="service_account" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
proto_payload.method_name="google.iam.admin.v1.CreateServiceAccount" 
サービス アカウント作成キーのログ

resource.type="service_account" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
proto_payload.method_name="google.iam.admin.v1.CreateServiceAccountKey" 
アクセス制御ポリシー設定のログ

resource.type="project" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
proto_payload.method_name="SetIamPolicy" 
外部メンバーが組織へのアクセスを許可

resource.type="project" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
proto_payload.@type="type.googleapis.com/google.cloud.audit.AuditLog" AND
proto_payload.request.@type:"IamPolicy" AND
proto_payload.service_data.policy_delta.binding_deltas.member:* AND
NOT proto_payload.service_data.policy_delta.binding_deltas.member:"@[DOMAIN_NAME].com" 

Cloud Source Repositories のクエリ

フィルタ名
Cloud Source Repositories のリポジトリのログ

resource.type="csr_repository" AND
resource.labels.name="[REPOSITORY_NAME]"

Cloud Spanner のクエリ

フィルタ名
Cloud Spanner の特定 Spanner インスタンスのログ

resource.type="spanner_instance" AND
resource.labels.instance_id="[SPANNER_INSTANCE]"

Cloud SQL のクエリ

フィルタ名
Cloud SQL のデータベース

resource.type="cloudsql_database" AND
resource.labels.database_id="[DATABASE_ID]"
Cloud SQL MySQL のエラーログ

resource.type="cloudsql_database" AND
log_name="projects/[PROJECT_ID]/logs/cloudsql.googleapis.com%2Fmysql.err"
Cloud SQL の MySQL ベースのデータベース

resource.type="cloudsql_database" AND
resource.labels.database_id="[DATABASE_ID]" AND
log_name="projects/[PROJECT_ID]/logs/cloudsql.googleapis.com%2Fmysql"
Cloud SQL の Postgres ベースのデータベース

resource.type="cloudsql_database" AND
resource.labels.database_id="[DATABASE_ID]" AND
log_name="projects/[PROJECT_ID]/logs/cloudsql.googleapis.com%2Fpostgres.log"

Compute Engine のクエリ

フィルタ名
Google Compute Engine の管理アクティビティ ログ

resource.type="gce_instance" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity"
Google Compute Engine のファイアウォール ルールの削除

resource.type="gce_firewall_rule" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
proto_payload.method_name:"firewalls.delete" 
Google Compute Engine の以前のアクティビティ ログ

resource.type="gce_instance" AND
log_name="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Factivity_log" 
Google Compute Engine の VM の syslog

resource.type="gce_instance" AND
log_name="projects/[PROJECT_ID]/logs/syslog" 

Cloud Storage のクエリ

フィルタ名
GCS バケットのログ

resource.type="gcs_bucket" AND
resource.labels.bucket_name="[BUCKET_NAME]"
GCS バケットの監査ログ

resource.type="gcs_bucket" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com" 
GCS バケットの作成ログ

resource.type="gcs_bucket" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
proto_payload.method_name="storage.buckets.create" 
GCS バケットの削除ログ

resource.type="gcs_bucket" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
proto_payload.method_name="storage.buckets.delete" 

Cloud Tasks のクエリ

フィルタ名
Cloud Tasks キューのログ

resource.type="cloud_tasks_queue" AND
resource.labels.queue_id="[QUEUE_ID]"

Kubernetes 関連のクエリ

フィルタ名
エラーが発生した Google Kubernetes Engine クラスタのアクティビティ

resource.type="gke_cluster" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
severity="ERROR"
Google Kubernetes Engine クラスタの作成

resource.type="gke_cluster" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
proto_payload.method_name="google.container.v1.ClusterManager.CreateCluster"
Kubernetes クラスタのデプロイ

resource.type="k8s_cluster" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
proto_payload.method_name:"deployments"
Kubernetes クラスタ認証の失敗

resource.type="k8s_cluster" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
proto_payload.authentication_info.principal_email="system:anonymous"
Kubernetes クラスタのシークレットへの書き込みリクエスト

resource.type="k8s_cluster" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
proto_payload.method_name="io.k8s.core.v1.secrets" NOT
proto_payload.method_name="get" NOT
proto_payload.method_name="list" NOT
proto_payload.method_name="watch"
us-central1-b の Kubernetes クラスタ

resource.type="k8s_cluster" AND
resource.labels.location="us-central1-b"
Kubernetes コンテナのゲストブックのログ

resource.type="k8s_container" AND
resource.labels.cluster_name="guestbook"
ユーザーからの Kubernetes ポッド リクエスト

resource.type="k8s_cluster" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
proto_payload.method_name:"io.k8s.core.v1.pods" AND
proto_payload.authentication_info.principal_email="[USER_EMAIL]"

Logging エージェントのアプリケーションのクエリ

フィルタ名
Apache のログ

resource.type="gce_instance" AND
(log_name:"/apache-access" OR log_name:"/apache-error")
Cassandra のログ

resource.type="gce_instance" AND
log_name="projects/[PROJECT_ID]/logs/cassandra"
Chef のログ

resource.type="gce_instance" AND
log_name:"projects/[PROJECT_ID]/logs/chef-"
Gitlab のログ

resource.type="gce_instance"
log_name:"projects/[PROJECT_ID]/logs/gitlab-" 
Jenkins のログ

resource.type="gce_instance" AND
log_name="projects/[PROJECT_ID]/logs/jenkins"
Jetty のログ

resource.type="gce_instance" AND
log_name:"projects/[PROJECT_ID]/logs/jetty-"
Joomla のログ

resource.type="gce_instance" AND
log_name="projects/[PROJECT_ID]/logs/joomla"
Linux の syslog

resource.type="gce_instance" AND
log_name="projects/[PROJECT_ID]/logs/syslog"
Magneto のログ

resource.type="gce_instance" AND
log_name:"projects/[PROJECT_ID]/logs/magneto-"
Mediawiki のログ

resource.type="gce_instance" AND
log_name="projects/[PROJECT_ID]/logs/mediawiki"
memcached のログ

resource.type="gce_instance" AND
log_name="projects/[PROJECT_ID]/logs/memcached"
MongoDB のログ

resource.type="gce_instance" AND
log_name="projects/[PROJECT_ID]/logs/mongodb"
MySQL のログ

resource.type="gce_instance" AND
log_name="projects/[PROJECT_ID]/logs/mysql"
Nginx のログ

resource.type="gce_instance" AND
log_name:"projects/[PROJECT_ID]/logs/nginx-"
PostgreSQL のログ

resource.type="gce_instance" AND
log_name="projects/[PROJECT_ID]/logs/postgresql"
Puppet のログ

resource.type="gce_instance" AND
log_name:"projects/[PROJECT_ID]/logs/puppet-"
RabbitMQ のログ

resource.type="gce_instance" AND
log_name:"projects/[PROJECT_ID]/logs/rabbitmq-"
Redmine のログ

resource.type="gce_instance" AND
log_name="projects/[PROJECT_ID]/logs/redmine"
Salt のログ

resource.type="gce_instance" AND
log_name:"projects/[PROJECT_ID]/logs/salt-"
MySQL のスロークエリ

resource.type="gce_instance" AND
log_name="projects/[PROJECT_ID]/logs/mysql-slow"
Solr のログ

resource.type="gce_instance" AND
log_name="projects/[PROJECT_ID]/logs/solr"
SugarCRM のログ

resource.type="gce_instance" AND
log_name="projects/[PROJECT_ID]/logs/sugarcrm"
Tomcat のログ

resource.type="gce_instance" AND
log_name="projects/[PROJECT_ID]/logs/tomcat"
Zookeeper のログ

resource.type="gce_instance" AND
log_name="projects/[PROJECT_ID]/logs/zookeeper"

ネットワーキングのクエリ

フィルタ名
ファイアウォールのすべてのログ

resource.type="gce_subnetwork" AND
log_name="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Ffirewall"
国指定のファイアウォール ログ

resource.type="gce_subnetwork" AND
log_name="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Ffirewall" AND
json_payload.remote_location.country=[COUNTRY_ISO_ALPHA_3]
VM 指定のファイアウォール ログ

resource.type="gce_subnetwork" AND
log_name="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Ffirewall" AND
json_payload.instance.vm_name="[INSTANCE_NAME]"
サブネット指定のファイアウォール ログ

resource.type="gce_subnetwork" AND
log_name="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Ffirewall" AND
resource.labels.subnetwork_name="[SUBNET_NAME]"
宛先サブネット指定の Compute Engine サブネットワーク トラフィック ログ

resource.type="gce_subnetwork" AND
ip_in_net(json_payload.connection.dest_ip, "[SUBNET_IP]")
VPC フローログ

resource.type="gce_subnetwork" AND
log_name="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Fvpc_flows"
ポート、プロトコル指定の VPC フローログ

resource.type="gce_subnetwork" AND
log_name="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Fvpc_flows" AND
json_payload.connection.src_port="[PORT_ID]" AND
json_payload.connection.protocol="[PROTOCOL]"
サブネット指定の VPC フローログ

resource.type="gce_subnetwork" AND
log_name="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Fvpc_flows" AND
resource.labels.subnetwork_name"=[SUBNET_NAME]"
サブネット プレフィックス指定の VPC フローログ

resource.type="gce_subnetwork" AND
log_name="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Fvpc_flows" AND
ip_in_net(json_payload.connection.dest_ip,[SUBNET_IP])
VM 指定の VPC フローログ

resource.type="gce_subnetwork" AND
log_name="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Fvpc_flows" AND
json_payload.src_instance.vm_name="[VM_NAME]"
VPN ゲートウェイのログ

resource.type="vpn_gateway" AND
resource.labels.gateway_id="[GATEWAY_ID]"
HTTP ロードバランサの 5xx エラー

resource.type="http_load_balancer" AND
http_request.status>=500
HTTP ロードバランサの phpMyAdmin へのリクエスト

resource.type="http_load_balancer" AND
http_request.request_url:"phpmyadmin"

セキュリティ ロギングのクエリ

フィルタ名
監査ログ - すべて

log_name:"projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com"
監査ログ - アクセスの透明性(AXT)

log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Faccess_transparency"
監査ログ - 管理アクティビティ

log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity"
監査ログ - データアクセス

log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access"
監査ログ - システム イベント

log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_event"

Stackdriver のクエリ

フィルタ名
ログシンク アクティビティ

resource.type="logging_sink" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity"
ログベースの指標の作成または更新のアクティビティ

resource.type="metric" AND
log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
proto_payload.method_name:(UpdateLogMetric OR CreateLogMetric)
指定ホストの URL 稼働時間チェック

resource.type="uptime_url" AND
resource.labels.host="[URL]"

トラブルシューティング

高度なクエリの構文とトラブルシューティングの手順の詳細については、高度なログクエリをご覧ください。

次のステップ

これらのクエリをカスタマイズするために使用できるクエリ構文の詳細については、高度なログクエリをご覧ください。