サンプルクエリ

このドキュメントでは、 Google Cloud コンソールのログエクスプローラを使用して、重要なログの検索を容易にする推奨クエリを確認できます。リストされているクエリは Logging のクエリ言語で作成されており、ログエクスプローラ、Logging API、またはコマンドラインインターフェースで使用できます。

ログエクスプローラでは、ブール式を使用してプロジェクトのログエントリ全体のうちの特定部分を指定します。このようなクエリを使用して、特定のログまたはログサービスからのログエントリや、メタデータまたはユーザー定義フィールドに関する条件を満たすログエントリを選択できます。

始める前に

ログエクスプローラを使用してクエリを作成するための適切な Identity and Access Management の権限またはロールがあることを確認します。必要な IAM 権限の詳細については、 Google Cloud コンソールの権限をご覧ください。

使ってみる

Google Cloud コンソールで、[ログエクスプローラ] ページに移動します。
[ログエクスプローラ] に移動

検索バーを使用してこのページを検索する場合は、小見出しが [Logging] の結果を選択します。
ログを表示する対象の適切な Google Cloud プロジェクトまたは他の Google Cloudリソースを選択します。

サンプルクエリを使用する

次の表のクエリを適用するには、式の [コンテンツコピー] アイコンをクリックし、コピーした式をログエクスプローラのクエリエディタフィールドに貼り付けます。

次のスクリーンショットは、クエリペインを示しています。

クエリを入力する場所を示すクエリエディタ。

クエリエディタフィールドが表示されない場合は、[クエリを表示] を有効にします。

クエリ式を確認したら、[クエリを実行] をクリックします。クエリに一致するログが [クエリ結果] の下に表示されます。

このページで後述するクエリの中には、有効な値に置き換える必要がある変数が含まれるものがあります。たとえば、クエリに logName が含まれる場合、指定する PROJECT_ID は現在選択されているGoogle Cloud プロジェクトを参照する必要があります。そうしないと、クエリは機能しません。

次の点にご注意ください。

タイムスタンプのあるクエリの場合、時間範囲セレクタは無効になり、クエリはタイムスタンプ式を時間範囲の制限として使用します。クエリがタイムスタンプ式を使用しない場合、クエリは時間範囲セレクタを時間範囲の制限として使用します。
クエリの長さは 20,000 文字以下にする必要があります。
Logging のクエリ言語では、正規表現を除き、大文字と小文字が区別されません。
log_name 式を使用したクエリでは、log_id 関数を使用できます。たとえば、式 log_name="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access" は log_id("cloudaudit.googleapis.com/data_access") と同じです。 log_id 関数の詳細については、Logging クエリ言語: 関数をご覧ください。

Google Cloud コンソールでクエリを実行する手順については、ログエクスプローラでクエリを作成するをご覧ください。

以降のセクションでは、クエリを Google Cloud サービスでグループ化します。

App Engine のクエリ

クエリ / フィルタの名前	式
App Engine の大晦日（UTC 時間）のログ	resource.type="gae_app" AND severity>=ERROR AND timestamp>="2018-12-31T00:00:00Z" AND timestamp<="2019-01-01T00:00:00Z"
App Engine のサーバーエラーを含むリクエストログ	resource.type="gae_app" AND log_id("appengine.googleapis.com/request_log") AND httpRequest.status>=500
HTTP エラーログからのサンプリング	resource.type="gae_app" AND protoPayload.status >= 400 AND sample(insertId, 0.1)
App Engine トレース ID で検索	resource.type="gae_app" AND trace="projects/`PROJECT_ID`/traces/`TRACE_ID`"
App Engine ログ	resource.type="gae_app" AND resource.labels.module_id="`MODULE_ID`" AND resource.labels.version_id="`VERSION_ID`"
最近の App Engine デプロイ	resource.type="gae_app" AND protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog" AND protoPayload.serviceName="appengine.googleapis.com"

API でクエリを有効または無効にする

クエリ / フィルタの名前	式
Audit API でログを有効にする	protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.EnableService"
Audit API でログを無効にする	protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.DisableService"

BigQuery のクエリ

クエリ / フィルタの名前	式
BigQuery 監査ログ	resource.type=("bigquery_dataset" OR "bigquery_project") AND logName:"cloudaudit.googleapis.com"
プロジェクトの BigQuery 監査ログ	resource.type="bigquery_project" AND logName:"cloudaudit.googleapis.com"
データセットの BigQuery 監査ログ	resource.type="bigquery_dataset" AND logName:"cloudaudit.googleapis.com"
BI Engine Model の BigQuery 監査ログ	resource.type="bigquery_biengine_model" AND logName:"cloudaudit.googleapis.com"
Data Transfer Service 実行の BigQuery 監査ログ	resource.type="bigquery_dts_run" AND logName:"cloudaudit.googleapis.com"
Data Transfer Service 構成の BigQuery 監査ログ	resource.type="bigquery_dts_config" AND logName:"cloudaudit.googleapis.com"
BigQuery Data Transfer Service のジョブ	resource.type=("bigquery_project") AND protoPayload.requestMetadata.callerSuppliedUserAgent= "BigQuery Data Transfer Service" AND protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR "google.cloud.bigquery.v2.JobService.Query")
BigQuery 転送実行ログ	resource.type="bigquery_dts_config" AND labels.run_id="`RUN_ID`" AND resource.labels.config_id="`CONFIG_ID`"
BigQuery データセットの更新	resource.type="bigquery_dataset" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName= "google.cloud.bigquery.v2.DatasetService.UpdateDataset"
BigQuery ジョブの完了	resource.type="bigquery_project" AND log_id("cloudaudit.googleapis.com/data_access") AND protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR "google.cloud.bigquery.v2.JobService.Query")
BigQuery の大規模クエリ	resource.type="bigquery_project" AND protoPayload.metadata.jobChange.job.jobStats.queryStats.totalBilledBytes > 1073741824
BigQuery の割り当て超過	resource.type=("bigquery_dataset" OR "bigquery_project") AND protoPayload.status.code=8 AND severity>=WARNING
BigQuery のクエリ開始	resource.type="bigquery_project" AND protoPayload.metadata.jobInsertion.reason:*
BigQuery の同時実行読み込み / 抽出ジョブ	resource.type="bigquery_resource" AND protoPayload.methodName="jobservice.insert" AND protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query: "extract"
行アクセスポリシーの BigQuery 監査ログ	protoPayload.methodName="jobservice.insert" AND protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query:"ROW ACCESS POLICY"

Dataflow のクエリ

クエリ / フィルタの名前	式
Dataflow ワーカーのエラーと警告	resource.type="dataflow_step" AND log_id("dataflow.googleapis.com/worker") AND severity>=WARNING

Dataproc のクエリ

クエリ / フィルタの名前	式
Dataproc Apache Hadoop のログ	resource.type="cloud_dataproc_cluster" AND jsonPayload.class:"org.apache.hadoop.mapreduce"

Cloud Deployment Manager

クエリ / フィルタの名前	式
Deployment Manager のエラー	resource.type="deployment" AND severity>=ERROR

Cloud Run functions のクエリ

クエリ / フィルタの名前	式
Cloud 関数のエラー	resource.type="cloud_function" AND log_id("cloudfunctions.googleapis.com/cloud-functions") AND severity>=ERROR

Cloud Monitoring のクエリ

クエリ / フィルタの名前	式
すべての通知チャンネルエラーを表示	resource.type="stackdriver_notification_channel" AND severity>=ERROR
スロットリングによる通知チャンネルエラーを表示	resource.type="stackdriver_notification_channel" AND severity>=ERROR AND jsonPayload.summary="Notification delivery throttled."
稼働時間リソースによって書き込まれたログを表示する	resource.type="uptime_url"
稼働時間チェックサービスから受信したリクエストを表示する	"GoogleStackdriverMonitoring-UptimeChecks"

Cloud Run クエリ

クエリ / フィルタの名前	式
特定のジョブの Cloud Run ログ	resource.type="cloud_run_job" AND resource.labels.service_name="`JOB_NAME`"
特定のリビジョンとサービスの Cloud Run ログ	resource.type="cloud_run_revision" AND resource.labels.service_name="`SERVICE_NAME`"

Cloud Source Repositories のクエリ

クエリ / フィルタの名前	式
Cloud Source Repositories のリポジトリのログ	resource.type="csr_repository" AND resource.labels.name="`REPOSITORY_NAME`"

Spanner のクエリ

クエリ / フィルタの名前	式
Cloud Spanner の特定 Spanner インスタンスのログ	resource.type="spanner_instance" AND resource.labels.instance_id="`SPANNER_INSTANCE`"

Cloud SQL のクエリ

クエリ / フィルタの名前	式
Cloud SQL の監査ログ	resource.type="cloudsql_database" AND resource.labels.database_id="`DATABASE_ID`" AND log_id("cloudaudit.googleapis.com/activity")
Cloud SQL MySQL のエラーログ	resource.type="cloudsql_database" AND log_id("cloudsql.googleapis.com/mysql.err")
Cloud SQL の MySQL ベースのデータベース	resource.type="cloudsql_database" AND resource.labels.database_id="`DATABASE_ID`" AND log_id("cloudsql.googleapis.com/mysql")
Cloud SQL の Postgres ベースのデータベース	resource.type="cloudsql_database" AND resource.labels.database_id="`DATABASE_ID`" AND log_id("cloudsql.googleapis.com/postgres.log")
Cloud SQL for SQL Server のエラーログ	resource.type="cloudsql_database" AND log_id("cloudsql.googleapis.com/sqlserver.err")
Cloud SQL SQL Server ベースのデータベース	resource.type="cloudsql_database" AND resource.labels.database_id="`DATABASE_ID`" AND log_id("cloudsql.googleapis.com/sqlagent.out")

Cloud Storage のクエリ

クエリ / フィルタの名前	式
GCS バケットのログ	resource.type="gcs_bucket" AND resource.labels.bucket_name="`BUCKET_NAME`"
GCS バケットの監査ログ	resource.type="gcs_bucket" AND logName:"cloudaudit.googleapis.com"
GCS バケットの作成ログ	resource.type="gcs_bucket" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.method_name="storage.buckets.create"
GCS バケットの削除ログ	resource.type="gcs_bucket" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.method_name="storage.buckets.delete"

Cloud Tasks のクエリ

クエリ / フィルタの名前	式
Cloud Tasks キューのログ	resource.type="cloud_tasks_queue" AND resource.labels.queue_id="`QUEUE_ID`"

Compute Engine のクエリ

クエリ / フィルタの名前	式
Compute Engine の管理アクティビティログ	resource.type="gce_instance" AND log_id("cloudaudit.googleapis.com/activity")
Compute Engine ファイアウォールルールの削除	resource.type="gce_firewall_rule" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"firewalls.delete"
Compute Engine VM の syslog	resource.type="gce_instance" AND log_id("syslog")
Compute Engine VM の authlog	resource.type="gce_instance" AND log_id("authlog")
Compute Engine ホストエラー	resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName:"compute.instances.hostError" OR operation.producer:"compute.instances.hostError") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="`INSTANCE_ID`" severity=INFO
Compute Engine ホストメモリアラート	resource.type="gce_instance" AND protoPayload.serviceName="compute.googleapis.com" AND (jsonPayload.methodName:"compute.instances.host_event_notify" OR operation.producer:"compute.instances.host_event_notify") AND log_id("cloudaudit.googleapis.com/host_event_notify") AND resource.labels.instance_id="`INSTANCE_ID`" AND severity=CRITICAL
Compute Engine ホストの移行	resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName: "compute.instances.migrateOnHostMaintenance" OR operation.producer: "compute.instances.migrateOnHostMaintenance") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="`INSTANCE_ID`" severity=INFO
Compute Engine VM の終了/プリエンプト	resource.type="gce_instance" protoPayload.methodName=~"compute\.instances\.(guestTerminate\|preempted)" log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="`INSTANCE_ID`"
スクラッチディスクの作成エラーにより Compute Engine VM が終了	resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName="compute.instances.scratchDiskCreationFailed" OR operation.producer: "compute.instances.scratchDiskCreationFailed) log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="`INSTANCE_ID`" severity=INFO
Compute Engine VM インスタンスの作成	resource.type="gce_instance" protoPayload.methodName:"compute.instances.insert" log_id("cloudaudit.googleapis.com/activity") protoPayload.request.name="`INSTANCE_NAME`"
名前を使用して Compute Engine VM インスタンスを削除しました	resource.type="gce_instance" protoPayload.methodName:"compute.instances.delete" log_id("cloudaudit.googleapis.com/activity") protoPayload.resourceName:"`INSTANCE_NAME`"
ID を使用して Compute Engine VM インスタンスを削除しました	resource.type="gce_instance" protoPayload.methodName:"compute.instances.delete" log_id("cloudaudit.googleapis.com/activity") resource.labels.instance_id="`INSTANCE_ID`"
Compute Engine VM インスタンスを再起動しました	resource.type="gce_instance" protoPayload.methodName=~"compute\.instances\.( stop\|reset\|automaticRestart\|guestTerminate\| instanceManagerHaltForRestart)" (log_id("cloudaudit.googleapis.com/activity") OR log_id("cloudaudit.googleapis.com/system_event")) resource.labels.instance_id="`INSTANCE_ID`"
Compute Engine Shielded VM 起動時の完全性エラー	resource.type="gce_instance" log_id("compute.googleapis.com/shielded_vm_integrity") jsonPayload.earlyBootReportEvent.policyEvaluationPassed="false" resource.labels.instance_id="`INSTANCE_ID`"
ゲスト OS によって停止された Compute Engine VM インスタンス	resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName:"compute.instances.guestTerminate" OR operation.producer:"compute.instances.guestTerminate") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="`INSTANCE_ID`" severity=INFO
Compute Engine Shielded VM ブートファイルがブロックされました	resource.type="gce_instance" log_id("serialconsole.googleapis.com/serial_port_1_output") textPayload:("Security Violation") resource.labels.instance_id="`INSTANCE_ID`"
永続ディスクが作成されました	resource.type="gce_disk" AND protoPayload.methodName:"compute.disks.insert" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.resourceName: "`PERSISTENT_DISK_NAME`"
単一テナントノードに追加されたノード	resource.type="gce_node_group" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName=~("compute.nodeGroups.addNodes" OR "compute.nodeGroups.insert") resource.labels.node_group_id="`NODE_GROUP_ID`" severity="INFO"
単一テナントノードでのイベントの自動スケーリング	resource.type="gce_node_group" log_id("cloudaudit.googleapis.com/system_event") protoPayload.methodName=~("compute.nodeGroups.deleteNodes" OR "compute.nodeGroups.addNodes") resource.labels.node_group_id="`NODE_GROUP_ID`"
手動スナップショット取得	resource.type="gce_snapshot" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.snapshots.insert" protoPayload.resourceName:"`SNAPSHOT_NAME`"
スケジュール設定されたスナップショットが取得されました	resource.type="gce_disk" log_id("cloudaudit.googleapis.com/system_event") protoPayload.methodName="ScheduledSnapshots" protoPayload.response.operationType="createSnapshot" protoPayload.response.targetLink="`PERSISTENT_DISK_NAME`"
スナップショットスケジュールが作成されました	resource.type="gce_resource_policy" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.resourcePolicies.insert" protoPayload.request.name="`SCHEDULE_NAME`"
スナップショットスケジュールが添付されました	resource.type="gce_disk" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.disks.addResourcePolicies" protoPayload.request.resourcePolicys:"`SCHEDULE_NAME`" protoPayload.resourceName:"`PERSISTENT_DISK_NAME`"
上限を超えています	resource.type="gce_instance" protoPayload.methodName:"compute.instances.insert" protoPayload.status.message:"QUOTA_EXCEEDED" severity=ERROR
インスタンスグループ内の異常なインスタンスをクエリする	resource.type="gce_instance_group" resource.labels.instance_group_name="`INSTANCE_GROUP_NAME"` jsonPayload.healthCheckProbeResult.healthState="UNHEALTHY"
期間内のインスタンスグループメンバーを UTC 時間形式でクエリする	resource.type="gce_instance_group_manager" resource.labels.instance_group_manager_name="`INSTANCE_GROUP_NAME`" jsonPayload.@type= "type.googleapis.com/compute.InstanceGroupManagerEvent" jsonPayload.instanceHealthStateChange.detailedHealthState="HEALTHY" timestamp >= `START_TIME` timestamp <= `END_TIME`
インスタンスグループに追加されたインスタンス	resource.type="gce_instance_group" protoPayload.methodName:"compute.instanceGroups.addInstances" log_id("cloudaudit.googleapis.com/activity") resource.labels.instance_group_name="`INSTANCE_GROUP_NAME`"
インスタンスグループから削除されたインスタンス	resource.type="gce_instance_group" protoPayload.methodName:"compute.instanceGroups.removeInstances" log_id("cloudaudit.googleapis.com/activity") resource.labels.instance_group_name="`INSTANCE_GROUP_NAME`"
インスタンステンプレートを設定または更新	resource.type="gce_instance_group_manager" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName= "v1.compute.instanceGroupManagers.setInstanceTemplate" resource.labels.instance_group_manager_name="`INSTANCE_GROUP_MANAGER`"
ファイアウォールルールが削除されました	resource.type="gce_firewall_rule" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"firewalls.delete"
ファイアウォールログ	resource.type="gce_subnetwork" log_id("compute.googleapis.com/firewall") jsonPayload.instance.vm_name="`INSTANCE_NAME`"

Google Cloud Observability のクエリ

クエリ / フィルタの名前	式
ログシンクアクティビティ	resource.type="logging_sink" AND log_id("cloudaudit.googleapis.com/activity")
ログベースの指標の作成または更新のアクティビティ	resource.type="metric" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:(UpdateLogMetric OR CreateLogMetric)
指定ホストの URL 稼働時間チェック	resource.type="uptime_url" AND resource.labels.host="`URL`"

クエリ / フィルタの名前

式

ログシンクアクティビティ

resource.type="logging_sink" AND
log_id("cloudaudit.googleapis.com/activity")

ログベースの指標の作成または更新のアクティビティ

resource.type="metric" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:(UpdateLogMetric OR CreateLogMetric)

指定ホストの URL 稼働時間チェック

resource.type="uptime_url" AND
resource.labels.host="URL"

Identity and Access Management のクエリ

クエリ / フィルタの名前	式
サービスアカウント作成のログ	resource.type="service_account" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.iam.admin.v1.CreateServiceAccount"
サービスアカウント作成キーのログ	resource.type="service_account" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.iam.admin.v1.CreateServiceAccountKey"
アクセス制御ポリシー設定のログ	resource.type="project" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="SetIamPolicy"
外部プリンシパルが組織へのアクセスを許可	resource.type="project" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog" AND protoPayload.request.@type:"IamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:* AND NOT protoPayload.serviceData.policyDelta.bindingDeltas.member:"@`DOMAIN_NAME`.com"
リソースの作成、変更、削除	log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:("create" OR "delete" OR "update")
プリンシパルに付与されたロール	log_id("cloudaudit.googleapis.com/activity") AND resource.type="project" AND protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.action="Add" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:"`EMAIL_ID`"
プリンシパルから削除されたロール	log_id("cloudaudit.googleapis.com/activity") AND resource.type="project" AND protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.action="Remove" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:"`EMAIL_ID`"
カスタムロールで更新された権限	log_id("cloudaudit.googleapis.com/activity") AND resource.type="iam_role" AND protoPayload.serviceName="iam.googleapis.com" AND protoPayload.methodName:"UpdateRole" AND resource.labels.role_name:"`ROLE_ID`"

Kubernetes 関連のクエリ

管理アクティビティ監査ログクエリの概要と例については、GKE 監査ログのページをご覧ください。

クラスタレベルのクエリ

クエリ / フィルタの名前	式
Google Kubernetes Engine クラスタの操作	resource.type="gke_cluster" AND log_id("cloudaudit.googleapis.com/activity")
Google Kubernetes Engine クラスタの作成	resource.type="gke_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.container.v1.ClusterManager.CreateCluster"
Kubernetes クラスタのデプロイ	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"deployments"
Kubernetes クラスタ認証の失敗	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.authenticationInfo.principalEmail="system:anonymous"
`us-central1-b` の Kubernetes クラスタの操作とイベント	resource.type="k8s_cluster" AND resource.labels.location="us-central1-b"
ユーザーからの Kubernetes Pod リクエスト	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"io.k8s.core.v1.pods" AND protoPayload.authenticationInfo.principalEmail="`USER_EMAIL`"
Kubernetes イベント	resource.type="k8s_cluster" AND log_id("events")
Kubernetes Endpoints の更新	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.request.kind="Endpoints"
Kubernetes コントロールプレーンのログ	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.serviceName="k8s.io"
Kubernetes Engine コントロールプレーンのログ	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.serviceName="container.googleapis.com"
Pod の削除	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName=~"io\.k8s\.core\.v1\.pods\.(create\|delete)"
コントロールプレーンからの Kubernetes Pod 監査ログ	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.resourceName="core/v1/namespaces/`POD_NAMESPACE`/pods/`POD_NAME`
Kubernetes Pod のエビクション	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="io.k8s.core.v1.pods.eviction.create"
コントロールプレーンからの Kubernetes ノード監査のログ	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"io.k8s.core.v1.nodes"
Addon Manager Activity 用の Kubernetes クラスタコントロールプレーン	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.authenticationInfo.principalEmail="system:addon-manager"
Kubernetes コントロールプレーンのエラー（通常の `Conflict` を除く）	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.status.message!="Conflict" AND protoPayload.status.code!=0
内向きコントローライベント	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="loadbalancer-controller"
サービスコントローライベント（kube-controller-manager）	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="service-controller"
クラスタオートスケーラーイベント	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="cluster-autoscaler"

Pod レベルのクエリ

フィルタ名	式
作成中のクエリ Pod	resource.type="k8s_pod" AND resource.labels.pod_name="`POD_NAME`" AND log_id("events")
リソースの負荷が原因でクエリ Pod が終了した	resource.type="k8s_pod" AND log_id("events") AND jsonPayload.reason="Evicted"
スケジューライベント	resource.type="k8s_pod" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="default-scheduler"
スケジューライベント（プリエンプション）	resource.type="k8s_pod" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="default-scheduler" AND jsonPayload.reason="Preempted"

ノードレベルのクエリ

フィルタ名	式
ノードイベント	resource.type="k8s_node" AND log_id("events")
Kube-proxy ログの確認	resource.type="k8s_node" AND log_id("kube-proxy")
Dockerd ログの確認	resource.type="k8s_node" AND log_id("container-runtime")
kubelet エラーまたは失敗を確認する	resource.type="k8s_node" AND log_id("kubelet") AND jsonPayload.MESSAGE:("error" OR "fail")
GKE システムログのノードログを確認する	resource.type = "k8s_node" logName:( "logs/container-runtime" OR "logs/docker" OR "logs/kube-container-runtime-monitor" OR "logs/kube-logrotate" OR "logs/kube-node-configuration" OR "logs/kube-node-installation" OR "logs/kubelet" OR "logs/kubelet-monitor" OR "logs/node-journal" OR "logs/node-problem-detector")

名前空間クエリ

フィルタ名	式
GKE システムログのコンテナログと Pod ログ	resource.type = ("k8s_container" OR "k8s_pod") resource.labels.namespace_name = ( "cnrm-system" OR "config-management-system" OR "gatekeeper-system" OR "gke-connect" OR "gke-system" OR "istio-system" OR "knative-serving" OR "monitoring-system" OR "kube-system")

フィルタ名

式

GKE システムログのコンテナログと Pod ログ

resource.type = ("k8s_container" OR "k8s_pod")
resource.labels.namespace_name = (
"cnrm-system" OR
"config-management-system" OR
"gatekeeper-system" OR
"gke-connect" OR
"gke-system" OR
"istio-system" OR
"knative-serving" OR
"monitoring-system" OR
"kube-system")

コンテナクエリ

フィルタ名	式
クラスタ内のすべての Pod とコンテナの標準出力コンテナログ	resource.type="k8s_container" AND log_id("stdout")
クラスタ内のすべてのPod とコンテナのコンテナエラーログ	resource.type="k8s_container" AND log_id("stderr") AND severity=ERROR
特定の名前のPodのコンテナエラーログ	resource.type="k8s_container" AND resource.labels.pod_name="`POD_NAME`" AND severity=ERROR
特定の Pod 内の特定のコンテナのコンテナエラーログ	resource.type="k8s_container" AND resource.labels.pod_name="`POD_NAME`" AND resource.labels.container_name="server" AND severity=ERROR
特定の名前空間とコンテナのコンテナエラーログ	resource.type="k8s_container" AND resource.labels.namespace_name="istio-system" AND resource.labels.container_name="egressgateway" AND severity=ERROR
特定のラベルを持つ Pod のコンテナログ	resource.type="k8s_container" AND labels."k8s-pod/app"="loadgenerator" AND severity=ERROR
特定のノードで実行されている Pod のコンテナエラーログ	resource.type="k8s_container" AND labels."compute.googleapis.com/resource_name"=NODE_NAME AND severity=ERROR
skaffold を使用して生成されたラベルを持つ Pod のコンテナログ	resource.type="k8s_container" AND labels."k8s-pod/app"="loadgenerator" AND labels."k8s-pod/skaffold_dev/run-id"=`SKAFFOLD_RUN_ID` severity=ERROR
textPayload に `POST` を含む特定の Pod のコンテナエラーログ	resource.type="k8s_container" AND resource.labels.pod_name="`POD_NAME`" AND textPayload:"POST" AND severity=ERROR
構造化 JSON に `GET` を含む特定の Pod のコンテナエラーログ	resource.type="k8s_container" AND resource.labels.pod_name="`POD_NAME`" AND jsonPayload."http.req.method"="GET" AND severity=ERROR
kube-system 名前空間のコンテナエラーログ	resource.type="k8s_container" AND resource.labels.namespace_name="kube-system" AND severity=ERROR
コンテナインサイトログのコンテナエラー	resource.type="k8s_container" AND log_id("clouderrorreporting.googleapis.com/insights")
Kubernetes コンテナのログ	resource.type="k8s_container" AND resource.labels.container_name="`CONTAINER_NAME`"

コントロールプレーンのクエリ

注: GKE コントロールプレーンのログを有効にする必要があります。

フィルタ名	式
Kubernetes API サーバーログ	resource.type="k8s_control_plane_component" resource.labels.component_name="apiserver" resource.labels.location="`CLUSTER_LOCATION`" resource.labels.cluster_name="`CLUSTER_NAME`"
Kubernetes スケジューラのログ	resource.type="k8s_control_plane_component" resource.labels.component_name="scheduler" resource.labels.location="`CLUSTER_LOCATION`" resource.labels.cluster_name="`CLUSTER_NAME`"
Kubernetes コントローラマネージャーのログ	resource.type="k8s_control_plane_component" resource.labels.component_name="controller-manager" resource.labels.location="`CLUSTER_LOCATION`" resource.labels.cluster_name="`CLUSTER_NAME`"

フィルタ名

式

Kubernetes API サーバーログ

resource.type="k8s_control_plane_component"
resource.labels.component_name="apiserver"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"

Kubernetes スケジューラのログ

resource.type="k8s_control_plane_component"
resource.labels.component_name="scheduler"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"

Kubernetes コントローラマネージャーのログ

resource.type="k8s_control_plane_component"
resource.labels.component_name="controller-manager"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"

TPU ワークロードのクエリ

注: GKE のシステムとワークロードのロギングを有効にする必要があります。

フィルタ名	式
同じ接頭辞を持つすべての TPU ノードの stdout コンテナログ	resource.type="k8s_container" AND labels."compute.googleapis.com/resource_name"=~"`TPU_NODE_PREFIX`.*" AND log_id("stdout")
同じ接頭辞を持つすべての TPU ノードのコンテナエラーログ	resource.type="k8s_container" AND labels."compute.googleapis.com/resource_name"=~"`TPU_NODE_PREFIX`.*" AND log_id("stderr") AND severity=ERROR
同じ GKE Job の stdout コンテナログ	resource.type="k8s_container" AND labels."k8s-pod/batch.kubernetes.io/job-name" = "`JOB_NAME`" AND log_id("stdout")
同じ GKE Job のコンテナエラーログ	resource.type="k8s_container" AND labels."k8s-pod/batch.kubernetes.io/job-name"="`JOB_NAME`" AND log_id("stderr") AND severity=ERROR
同じ GKE JobSet の stdout コンテナログ	resource.type="k8s_container" AND labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="`JOBSET_NAME`" AND log_id("stdout")
同じ GKE JobSet のコンテナエラーログ	resource.type="k8s_container" AND labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="`JOBSET_NAME`" AND log_id("stderr") AND severity=ERROR

サードパーティアプリケーションのクエリ

次のクエリでは、以前の Logging エージェントによって収集されたログにデフォルトのログ ID を使用します。Ops エージェントを使用してログを収集している場合、ログ名が異なるように構成されている可能性があります。Ops エージェントとアプリケーションログの詳細については、サードパーティアプリケーションからログを収集するをご覧ください。

クエリ / フィルタの名前	式
Apache のログ	resource.type="gce_instance" AND (logName:"/apache-access" OR logName:"/apache-error")
Cassandra のログ	resource.type="gce_instance" AND log_id("cassandra")
Chef のログ	resource.type="gce_instance" AND logName:"projects/`PROJECT_ID`/logs/chef-"
Gitlab のログ	resource.type="gce_instance" logName:"projects/`PROJECT_ID`/logs/gitlab-"
Jenkins のログ	resource.type="gce_instance" AND log_id("jenkins")
Jetty のログ	resource.type="gce_instance" AND logName:"projects/`PROJECT_ID`/logs/jetty-"
Joomla のログ	resource.type="gce_instance" AND log_id("joomla")
Linux の syslog	resource.type="gce_instance" AND log_id("syslog")
Magneto のログ	resource.type="gce_instance" AND logName:"projects/`PROJECT_ID`/logs/magneto-"
Mediawiki のログ	resource.type="gce_instance" AND log_id("mediawiki")
memcached のログ	resource.type="gce_instance" AND log_id("memcached")
MongoDB のログ	resource.type="gce_instance" AND log_id("mongodb")
MySQL のログ	resource.type="gce_instance" AND log_id("mysql")
Nginx のログ	resource.type="gce_instance" AND logName:"projects/`PROJECT_ID`/logs/nginx-"
PostgreSQL のログ	resource.type="gce_instance" AND log_id("postgresql")
Puppet のログ	resource.type="gce_instance" AND logName:"projects/`PROJECT_ID`/logs/puppet-"
RabbitMQ のログ	resource.type="gce_instance" AND logName:"projects/`PROJECT_ID`/logs/rabbitmq-"
Redmine のログ	resource.type="gce_instance" AND log_id("redmine")
Salt のログ	resource.type="gce_instance" AND logName:"projects/`PROJECT_ID`/logs/salt-"
MySQL のスロークエリ	resource.type="gce_instance" AND log_id("mysql-slow")
Solr のログ	resource.type="gce_instance" AND log_id("solr")
SugarCRM のログ	resource.type="gce_instance" AND log_id("sugarcrm")
Tomcat のログ	resource.type="gce_instance" AND log_id("tomcat")
Zookeeper のログ	resource.type="gce_instance" AND log_id("zookeeper")

ネットワーキングのクエリ

クエリ / フィルタの名前	式
ファイアウォールのすべてのログ	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall")
指定した国のファイアウォールログ	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND jsonPayload.remote_location.country=`COUNTRY_ISO_ALPHA_3`
VM からのファイアウォールログ	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND jsonPayload.instance.vm_name="`INSTANCE_NAME`"
サブネット指定のファイアウォールログ	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND resource.labels.subnetwork_name="`SUBNET_NAME`"
宛先サブネット指定の Compute Engine サブネットワークトラフィックログ	resource.type="gce_subnetwork" AND ip_in_net(jsonPayload.connection.dest_ip, "`SUBNET_IP`")
VPC フローログ	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows")
ポート、プロトコル指定の VPC フローログ	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND jsonPayload.connection.src_port="`PORT_ID`" AND jsonPayload.connection.protocol="`PROTOCOL`"
サブネット指定の VPC フローログ	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND resource.labels.subnetwork_name"=`SUBNET_NAME`"
サブネットプレフィックス指定の VPC フローログ	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND ip_in_net(jsonPayload.connection.dest_ip,`SUBNET_IP`)
特定の VM の VPC フローログ	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND jsonPayload.src_instance.vm_name="`VM_NAME`"
VPN ゲートウェイのログ	resource.type="vpn_gateway" AND resource.labels.gateway_id="`GATEWAY_ID`"
HTTP ロードバランサの 5xx エラー	resource.type="http_load_balancer" AND httpRequest.status>=500
HTTP ロードバランサの phpMyAdmin へのリクエスト	resource.type="http_load_balancer" AND httpRequest.request_url:"phpmyadmin"

セキュリティのクエリ

クエリ / フィルタの名前	式
監査ログ - すべて	logName:"cloudaudit.googleapis.com"
監査ログ - アクセスの透明性（AXT）	log_id("cloudaudit.googleapis.com/access_transparency")
監査ログ - 管理アクティビティ	log_id("cloudaudit.googleapis.com/activity")
監査ログ - データアクセス	log_id("cloudaudit.googleapis.com/data_access")
監査ログ - システムイベント	log_id("cloudaudit.googleapis.com/system_event")

トラブルシューティング

ログエクスプローラの使用時によく発生する問題のトラブルシューティングの手順については、ログエクスプローラの使用: トラブルシューティングをご覧ください。

次のステップ

これらのクエリのカスタマイズに使用できるクエリ構文の詳細については、Logging のクエリ言語をご覧ください。

Google Cloud コンソールでのクエリの詳細については、Logging のクエリ言語を使用してクエリをビルドするをご覧ください。