このドキュメントでは、Google Cloud コンソール のログ エクスプローラを使用して、重要なログの検索を容易にする推奨クエリを提供します。リストされているクエリは Logging のクエリ言語で作成されており、ログ エクスプローラ、Logging API、またはコマンドライン インターフェースで使用できます。
ログ エクスプローラでは、ブール式を使用してプロジェクトのログエントリ全体のうちの特定部分を指定します。このようなクエリを使用して、特定のログまたはログサービスからのログエントリや、メタデータまたはユーザー定義フィールドに関する条件を満たすログエントリを選択できます。
準備
Amazon Web Services(AWS)アカウントから Logging に送信するログを表示するには、Google Cloud Console リソース選択ツールで
AWS コネクタ プロジェクトを選択してから、
ログ エクスプローラを使用します。AWS コネクタ プロジェクトは、AWS アカウントの Amazon Resource Name(ARN)を保存し、AWS アカウントを Google Cloud サービスにリンクします。詳細については、
AWS アカウントから指標を収集するをご覧ください。
ログ エクスプローラを使用してクエリを作成するための適切な Identity and Access Management 権限またはロールがあることを確認します。必要な IAM 権限の詳細については、Google Cloud コンソールの権限をご覧ください。
使ってみる
-
Google Cloud コンソールで、[ログ エクスプローラ] ページに移動します。
[ログ エクスプローラ] に移動
検索バーを使用してこのページを検索する場合は、小見出しが [Logging] である結果を選択します。
ログを表示する対象の適切な Google Cloud プロジェクトまたは他の Google Cloud リソースを選択します。
サンプルクエリを使用する
次の表のクエリを適用するには、式の content_copy [コンテンツ コピー] アイコンをクリックし、コピーした式をログ エクスプローラのクエリエディタ フィールドに貼り付けます。
クエリエディタ フィールドが表示されない場合は、[クエリを表示] を有効にします。
クエリ式を確認したら、[クエリを実行] をクリックします。クエリに一致するログが [クエリ結果] の下に表示されます。
このページで後述するクエリの中には、有効な値に置き換える必要がある変数が含まれるものがあります。たとえば、クエリに logName が含まれる場合、指定する PROJECT_ID は現在選択されている Google Cloud プロジェクトを参照する必要があります。そうしないと、クエリは機能しません。
次の点にご注意ください。
タイムスタンプのあるクエリの場合、時間範囲セレクタは無効になり、クエリはタイムスタンプ式を時間範囲の制限として使用します。クエリがタイムスタンプ式を使用しない場合、クエリは時間範囲セレクタを時間範囲の制限として使用します。
クエリの長さは 20,000 文字以下にする必要があります。
Logging のクエリ言語では、正規表現を除き、大文字と小文字が区別されません。
log_name 式を使用したクエリでは、log_id 関数を使用できます。たとえば、式 log_name="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access" は log_id("cloudaudit.googleapis.com/data_access") と同じです。
log_id 関数の詳細については、Logging クエリ言語: 関数をご覧ください。
Google Cloud コンソールでクエリを実行する手順については、ログ エクスプローラでクエリを作成するをご覧ください。
以下のセクションでは、Google Cloud サービスによるクエリをグループ化しています。
App Engine のクエリ
| クエリ / フィルタの名前 |
式 |
| App Engine の大晦日(UTC 時間)のログ |
resource.type="gae_app" AND
severity>=ERROR AND
timestamp>="2018-12-31T00:00:00Z" AND timestamp<="2019-01-01T00:00:00Z" |
| App Engine のサーバーエラーを含むリクエストログ |
resource.type="gae_app" AND
log_id("appengine.googleapis.com/request_log") AND
httpRequest.status>=500 |
| HTTP エラーログからのサンプリング |
resource.type="gae_app" AND
protoPayload.status >= 400 AND
sample(insertId, 0.1)
|
| App Engine トレース ID で検索 |
resource.type="gae_app" AND
trace="projects/PROJECT_ID/traces/TRACE_ID" |
| App Engine のログ |
resource.type="gae_app" AND
resource.labels.module_id="MODULE_ID" AND
resource.labels.version_id="VERSION_ID" |
| 最近の App Engine デプロイ |
resource.type="gae_app" AND
protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog" AND
protoPayload.serviceName="appengine.googleapis.com" |
API でクエリを有効または無効にする
| クエリ / フィルタの名前 |
式 |
| Audit API でログを有効にする |
protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.EnableService" |
| Audit API でログを無効にする |
protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.DisableService" |
BigQuery のクエリ
| クエリ / フィルタの名前 |
式 |
| BigQuery 監査ログ |
resource.type=("bigquery_dataset" OR "bigquery_project") AND
logName:"cloudaudit.googleapis.com" |
| プロジェクトの BigQuery 監査ログ |
resource.type="bigquery_project" AND
logName:"cloudaudit.googleapis.com" |
| データセットの BigQuery 監査ログ |
resource.type="bigquery_dataset" AND
logName:"cloudaudit.googleapis.com" |
| BI Engine Model の BigQuery 監査ログ |
resource.type="bigquery_biengine_model" AND
logName:"cloudaudit.googleapis.com" |
| Data Transfer Service 実行の BigQuery 監査ログ |
resource.type="bigquery_dts_run" AND
logName:"cloudaudit.googleapis.com" |
| Data Transfer Service 構成の BigQuery 監査ログ |
resource.type="bigquery_dts_config" AND
logName:"cloudaudit.googleapis.com" |
| BigQuery Data Transfer Service のジョブ |
resource.type=("bigquery_project") AND
protoPayload.requestMetadata.callerSuppliedUserAgent=
"BigQuery Data Transfer Service" AND
protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR
"google.cloud.bigquery.v2.JobService.Query") |
| BigQuery 転送実行ログ |
resource.type="bigquery_dts_config" AND
labels.run_id="RUN_ID" AND
resource.labels.config_id="CONFIG_ID" |
| BigQuery データセットの更新 |
resource.type="bigquery_dataset" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName=
"google.cloud.bigquery.v2.DatasetService.UpdateDataset" |
| BigQuery ジョブの完了 |
resource.type="bigquery_project" AND
log_id("cloudaudit.googleapis.com/data_access") AND
protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob"
OR "google.cloud.bigquery.v2.JobService.Query") |
| BigQuery の大規模クエリ |
resource.type="bigquery_project" AND
protoPayload.metadata.jobChange.job.jobStats.queryStats.totalBilledBytes
> 1073741824 |
| BigQuery の割り当て超過 |
resource.type=("bigquery_dataset" OR "bigquery_project")
AND
protoPayload.status.code=8 AND
severity>=WARNING |
| BigQuery のクエリ開始 |
resource.type="bigquery_project" AND
protoPayload.metadata.jobInsertion.reason:* |
| BigQuery の同時実行読み込み / 抽出ジョブ |
resource.type="bigquery_resource" AND
protoPayload.methodName="jobservice.insert" AND
protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query:
"extract" |
Dataflow のクエリ
| クエリ / フィルタの名前 |
式 |
| Dataflow ワーカーのエラーと警告 |
resource.type="dataflow_step" AND
log_id("dataflow.googleapis.com/worker") AND
severity>=WARNING |
Dataproc のクエリ
| クエリ / フィルタの名前 |
式 |
| Dataproc Apache Hadoop のログ |
resource.type="cloud_dataproc_cluster" AND
jsonPayload.class:"org.apache.hadoop.mapreduce" |
Cloud Deployment Manager
| クエリ / フィルタの名前 |
式 |
| Deployment Manager のエラー |
resource.type="deployment" AND
severity>=ERROR |
Cloud Run 関数のクエリ
| クエリ / フィルタの名前 |
式 |
| Cloud 関数のエラー |
resource.type="cloud_function" AND
log_id("cloudfunctions.googleapis.com/cloud-functions") AND
severity>=ERROR |
Cloud Monitoring のクエリ
| クエリ / フィルタの名前 |
式 |
|---|
すべての通知チャンネル
エラーを表示 |
resource.type="stackdriver_notification_channel" AND
severity>=ERROR |
スロットリングによる通知チャンネル
エラーを表示 |
resource.type="stackdriver_notification_channel" AND
severity>=ERROR AND
jsonPayload.summary="Notification delivery throttled." |
稼働時間リソースによって書き込まれた
ログを表示する |
resource.type="uptime_url" |
稼働時間チェック サービスから
受信したリクエストを表示する |
"GoogleStackdriverMonitoring-UptimeChecks" |
Cloud Run クエリ
| クエリ / フィルタの名前 |
式 |
| 特定のジョブの Cloud Run ログ |
resource.type="cloud_run_job" AND
resource.labels.service_name="JOB_NAME"
|
| 特定のリビジョンとサービスの Cloud Run ログ |
resource.type="cloud_run_revision" AND
resource.labels.service_name="SERVICE_NAME" |
Cloud Source Repositories のクエリ
| クエリ / フィルタの名前 |
式 |
| Cloud Source Repositories のリポジトリのログ |
resource.type="csr_repository" AND
resource.labels.name="REPOSITORY_NAME" |
Spanner のクエリ
| クエリ / フィルタの名前 |
式 |
| Cloud Spanner の特定 Spanner インスタンスのログ |
resource.type="spanner_instance" AND
resource.labels.instance_id="SPANNER_INSTANCE" |
Cloud SQL のクエリ
| クエリ / フィルタの名前 |
式 |
| Cloud SQL の監査ログ |
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudaudit.googleapis.com/activity") |
| Cloud SQL MySQL のエラーログ |
resource.type="cloudsql_database" AND
log_id("cloudsql.googleapis.com/mysql.err") |
| Cloud SQL の MySQL ベースのデータベース |
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/mysql") |
| Cloud SQL の Postgres ベースのデータベース |
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/postgres.log") |
| Cloud SQL SQL Server のエラーログ |
resource.type="cloudsql_database" AND
log_id("cloudsql.googleapis.com/sqlserver.err") |
| Cloud SQL SQL Server ベースのデータベース |
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/sqlagent.out") |
Cloud Storage のクエリ
| クエリ / フィルタの名前 |
式 |
| GCS バケットのログ |
resource.type="gcs_bucket" AND
resource.labels.bucket_name="BUCKET_NAME" |
| GCS バケットの監査ログ |
resource.type="gcs_bucket" AND
logName:"cloudaudit.googleapis.com" |
| GCS バケットの作成ログ |
resource.type="gcs_bucket" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.method_name="storage.buckets.create" |
| GCS バケットの削除ログ |
resource.type="gcs_bucket" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.method_name="storage.buckets.delete" |
Cloud Tasks のクエリ
| クエリ / フィルタの名前 |
式 |
| Cloud Tasks キューのログ |
resource.type="cloud_tasks_queue" AND
resource.labels.queue_id="QUEUE_ID" |
Compute Engine のクエリ
| クエリ / フィルタの名前 |
式 |
| Compute Engine の管理アクティビティ ログ |
resource.type="gce_instance" AND
log_id("cloudaudit.googleapis.com/activity") |
| Compute Engine のファイアウォール ルールの削除 |
resource.type="gce_firewall_rule" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"firewalls.delete" |
| Compute Engine の VM の syslog |
resource.type="gce_instance" AND
log_id("syslog") |
| Compute Engine VM の認証ログ |
resource.type="gce_instance" AND
log_id("authlog") |
| Compute Engine ホストエラー |
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:"OnHostMaintenance"
OR
operation.producer:"OnHostMaintenance")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO |
| 移行された Compute Engine ホスト |
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:
"compute.instances.migrateOnHostMaintenance" OR
operation.producer:
"compute.instances.migrateOnHostMaintenance")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO |
| Compute Engine VM の終了/プリエンプション |
resource.type="gce_instance"
protoPayload.methodName=
~"compute\.instances\.(guestTerminate|preempted)"
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID" |
| Compute Engine VM インスタンスの作成 |
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.insert"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.request.name="INSTANCE_NAME" |
| 名前を使用して Compute Engine VM インスタンスを削除しました |
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.delete"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.resourceName:"INSTANCE_NAME" |
| ID を使用して Compute Engine VM インスタンスを削除しました |
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.delete"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.instance_id="INSTANCE_ID" |
| Compute Engine VM インスタンスを再起動しました |
resource.type="gce_instance"
protoPayload.methodName=~"compute\.instances\.(
stop|reset|automaticRestart|guestTerminate|
instanceManagerHaltForRestart)"
(log_id("cloudaudit.googleapis.com/activity")
OR log_id("cloudaudit.googleapis.com/system_event"))
resource.labels.instance_id="INSTANCE_ID" |
| Compute Engine Shielded VM 起動時の整合性エラー |
resource.type="gce_instance"
log_id("compute.googleapis.com/shielded_vm_integrity")
jsonPayload.earlyBootReportEvent.policyEvaluationPassed="false"
resource.labels.instance_id="INSTANCE_ID" |
| ゲスト OS によって停止された Compute Engine VM インスタンス |
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:"compute.instances.guestTerminate" OR
operation.producer:"compute.instances.guestTerminate")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO |
| Compute Engine Shielded VM ブートファイルがブロックされました |
resource.type="gce_instance"
log_id("serialconsole.googleapis.com/serial_port_1_output")
textPayload:("Security Violation")
resource.labels.instance_id="INSTANCE_ID" |
| 永続ディスクが作成されました |
resource.type="gce_disk" AND
protoPayload.methodName:"compute.disks.insert" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.resourceName: "PERSISTENT_DISK_NAME" |
| 単一テナントノードに追加されたノード |
resource.type="gce_node_group"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName=~("compute.nodeGroups.addNodes"
OR "compute.nodeGroups.insert")
resource.labels.node_group_id="NODE_GROUP_ID"
severity="INFO" |
| 単一テナントノードでのイベントの自動スケーリング |
resource.type="gce_node_group"
log_id("cloudaudit.googleapis.com/system_event")
protoPayload.methodName=~("compute.nodeGroups.deleteNodes"
OR "compute.nodeGroups.addNodes")
resource.labels.node_group_id="NODE_GROUP_ID" |
| 手動スナップショット取得 |
resource.type="gce_snapshot"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.snapshots.insert"
protoPayload.resourceName:"SNAPSHOT_NAME" |
| スケジュール設定されたスナップショットが取得されました |
resource.type="gce_disk"
log_id("cloudaudit.googleapis.com/system_event")
protoPayload.methodName="ScheduledSnapshots"
protoPayload.response.operationType="createSnapshot"
protoPayload.response.targetLink="PERSISTENT_DISK_NAME" |
| スナップショット スケジュールが作成されました |
resource.type="gce_resource_policy"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.resourcePolicies.insert"
protoPayload.request.name="SCHEDULE_NAME" |
| スナップショット スケジュールが添付されました |
resource.type="gce_disk"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.disks.addResourcePolicies"
protoPayload.request.resourcePolicys:"SCHEDULE_NAME"
protoPayload.resourceName:"PERSISTENT_DISK_NAME" |
| 上限を超えています |
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.insert"
protoPayload.status.message:"QUOTA_EXCEEDED"
severity=ERROR |
| インスタンス グループ内の異常なインスタンスをクエリする |
resource.type="gce_instance_group"
resource.labels.instance_group_name="INSTANCE_GROUP_NAME"
jsonPayload.healthCheckProbeResult.healthState="UNHEALTHY" |
| 期間内のインスタンス グループ メンバーを UTC 時間形式でクエリする |
resource.type="gce_instance_group_manager"
resource.labels.instance_group_manager_name="INSTANCE_GROUP_NAME"
jsonPayload.@type=
"type.googleapis.com/compute.InstanceGroupManagerEvent"
jsonPayload.instanceHealthStateChange.detailedHealthState="HEALTHY"
timestamp >= START_TIME timestamp <= END_TIME |
| インスタンス グループから削除されたインスタンス |
resource.type="gce_instance_group"
protoPayload.methodName:"compute.instanceGroups.removeInstances"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.instance_group_name="INSTANCE_GROUP_NAME" |
| インスタンス テンプレートを設定または更新 |
resource.type="gce_instance_group_manager"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName=
"v1.compute.instanceGroupManagers.setInstanceTemplate"
resource.labels.instance_group_manager_name="INSTANCE_GROUP_MANAGER" |
| ファイアウォール ルールが削除されました |
resource.type="gce_firewall_rule"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"firewalls.delete" |
| ファイアウォール ログ |
resource.type="gce_subnetwork"
log_id("compute.googleapis.com/firewall")
jsonPayload.instance.vm_name="INSTANCE_NAME" |
Google Cloud Observability のクエリ
| クエリ / フィルタの名前 |
式 |
| ログシンク アクティビティ |
resource.type="logging_sink" AND
log_id("cloudaudit.googleapis.com/activity") |
| ログベースの指標の作成または更新のアクティビティ |
resource.type="metric" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:(UpdateLogMetric OR CreateLogMetric) |
| 指定ホストの URL 稼働時間チェック |
resource.type="uptime_url" AND
resource.labels.host="URL" |
Cloud Identity and Access Management のクエリ
| クエリ / フィルタの名前 |
式 |
| サービス アカウント作成のログ |
resource.type="service_account" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.iam.admin.v1.CreateServiceAccount" |
| サービス アカウント作成キーのログ |
resource.type="service_account" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.iam.admin.v1.CreateServiceAccountKey" |
| アクセス制御ポリシー設定のログ |
resource.type="project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="SetIamPolicy" |
| 外部プリンシパルが組織へのアクセスを許可 |
resource.type="project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog" AND
protoPayload.request.@type:"IamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:* AND
NOT protoPayload.serviceData.policyDelta.bindingDeltas.member:"@DOMAIN_NAME.com" |
| リソースの作成、変更、削除 |
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:("create" OR "delete" OR "update") |
| プリンシパルに付与されたロール |
log_id("cloudaudit.googleapis.com/activity") AND
resource.type="project" AND
protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND
protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.action="Add" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID" |
| プリンシパルから削除されたロール |
log_id("cloudaudit.googleapis.com/activity") AND
resource.type="project" AND
protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND
protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.action="Remove" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID" |
| カスタムロールで更新された権限 |
log_id("cloudaudit.googleapis.com/activity") AND
resource.type="iam_role" AND
protoPayload.serviceName="iam.googleapis.com" AND
protoPayload.methodName:"UpdateRole" AND
resource.labels.role_name:"ROLE_ID" |
Kubernetes 関連のクエリ
管理アクティビティ監査ログクエリの概要と例については、
GKE 監査ログのページをご覧ください。
クラスタレベルのクエリ
| クエリ / フィルタの名前 |
式 |
| Google Kubernetes Engine クラスタの操作 |
resource.type="gke_cluster" AND
log_id("cloudaudit.googleapis.com/activity") |
| Google Kubernetes Engine クラスタの作成 |
resource.type="gke_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.container.v1.ClusterManager.CreateCluster"
|
| Kubernetes クラスタのデプロイ |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"deployments"
|
| Kubernetes クラスタ認証の失敗 |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.authenticationInfo.principalEmail="system:anonymous"
|
us-central1-b の Kubernetes クラスタの操作とイベント |
resource.type="k8s_cluster" AND
resource.labels.location="us-central1-b"
|
| ユーザーからの Kubernetes Pod リクエスト |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"io.k8s.core.v1.pods" AND
protoPayload.authenticationInfo.principalEmail="USER_EMAIL"
|
| Kubernetes イベント |
resource.type="k8s_cluster" AND
log_id("events")
|
| Kubernetes Endpoints の更新 |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.request.kind="Endpoints"
|
| Kubernetes コントロール プレーンのログ |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.serviceName="k8s.io"
|
| Kubernetes Engine コントロール プレーンのログ |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.serviceName="container.googleapis.com"
|
| Pod の削除 |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName=~"io\.k8s\.core\.v1\.pods\.(create|delete)"
|
| コントロール プレーンからの Kubernetes Pod 監査ログ |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.resourceName="core/v1/namespaces/POD_NAMESPACE/pods/POD_NAME
|
| Kubernetes ポッドの強制排除 |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="io.k8s.core.v1.pods.eviction.create"
|
| コントロール プレーンからの Kubernetes ノード監査ログ |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"io.k8s.core.v1.nodes"
|
| Addon Manager Activity 用の Kubernetes クラスタ コントロール プレーン |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.authenticationInfo.principalEmail="system:addon-manager"
|
Kubernetes コントロール プレーンのエラー(通常の Conflict を除く) |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.status.message!="Conflict" AND
protoPayload.status.code!=0
|
| 内向きコントローラ イベント |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="loadbalancer-controller"
|
| サービス コントローラ イベント(kube-controller-manager) |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="service-controller"
|
| クラスタ オートスケーラー イベント |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="cluster-autoscaler"
|
Pod レベルのクエリ
| フィルタ名 |
式 |
| 作成中のクエリ Pod |
resource.type="k8s_pod" AND
resource.labels.pod_name="POD_NAME" AND
log_id("events")
|
| リソースの負荷が原因でクエリ Pod が終了した |
resource.type="k8s_pod" AND
log_id("events") AND
jsonPayload.reason="Evicted"
|
| スケジューラ イベント |
resource.type="k8s_pod" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="default-scheduler"
|
| スケジューラ イベント(プリエンプション) |
resource.type="k8s_pod" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="default-scheduler" AND
jsonPayload.reason="Preempted"
|
ノードレベルのクエリ
| フィルタ名 |
式 |
| ノードイベント |
resource.type="k8s_node" AND
log_id("events")
|
| Kube-proxy ログの確認 |
resource.type="k8s_node" AND
log_id("kube-proxy")
|
| Dockerd ログの確認 |
resource.type="k8s_node" AND
log_id("container-runtime")
|
| kubelet エラーまたは失敗を確認する |
resource.type="k8s_node" AND
log_id("kubelet") AND
jsonPayload.MESSAGE:("error" OR "fail")
|
| GKE システムログのノードログを確認する |
resource.type = "k8s_node"
logName:( "logs/container-runtime" OR
"logs/docker" OR
"logs/kube-container-runtime-monitor" OR
"logs/kube-logrotate" OR
"logs/kube-node-configuration" OR
"logs/kube-node-installation" OR
"logs/kubelet" OR
"logs/kubelet-monitor" OR
"logs/node-journal" OR
"logs/node-problem-detector")
|
名前空間クエリ
| フィルタ名 |
式 |
| GKE システムログのコンテナログと Pod ログ |
resource.type = ("k8s_container" OR "k8s_pod")
resource.labels.namespace_name = (
"cnrm-system" OR
"config-management-system" OR
"gatekeeper-system" OR
"gke-connect" OR
"gke-system" OR
"istio-system" OR
"knative-serving" OR
"monitoring-system" OR
"kube-system")
|
コンテナクエリ
| フィルタ名 |
式 |
| クラスタ内のすべての Pod とコンテナの標準出力コンテナログ |
resource.type="k8s_container" AND
log_id("stdout")
|
| クラスタ内のすべてのPod とコンテナのコンテナ エラー ログ |
resource.type="k8s_container" AND
log_id("stderr") AND
severity=ERROR
|
| 特定の名前のPodのコンテナ エラー ログ |
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
severity=ERROR
|
| 特定の Pod 内の特定のコンテナのコンテナ エラー ログ |
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
resource.labels.container_name="server" AND
severity=ERROR
|
| 特定の名前空間とコンテナのコンテナ エラー ログ |
resource.type="k8s_container" AND
resource.labels.namespace_name="istio-system" AND
resource.labels.container_name="egressgateway" AND
severity=ERROR
|
| 特定のラベルを持つ Pod のコンテナログ |
resource.type="k8s_container" AND
labels."k8s-pod/app"="loadgenerator" AND
severity=ERROR
|
| 特定のノードで実行されている Pod のコンテナ エラー ログ |
resource.type="k8s_container" AND
labels."compute.googleapis.com/resource_name"=NODE_NAME AND
severity=ERROR
|
| skaffold を使用して生成されたラベルを持つ Pod のコンテナログ |
resource.type="k8s_container" AND
labels."k8s-pod/app"="loadgenerator" AND
labels."k8s-pod/skaffold_dev/run-id"=SKAFFOLD_RUN_ID
severity=ERROR
|
textPayload に POST を含む特定の Pod のコンテナ エラー ログ |
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
textPayload:"POST" AND
severity=ERROR
|
構造化 JSON に GET を含む特定の Pod のコンテナ エラー ログ |
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
jsonPayload."http.req.method"="GET" AND
severity=ERROR
|
| kube-system 名前空間のコンテナ エラー ログ |
resource.type="k8s_container" AND
resource.labels.namespace_name="kube-system" AND
severity=ERROR
|
| コンテナ インサイト ログのコンテナエラー |
resource.type="k8s_container" AND
log_id("clouderrorreporting.googleapis.com/insights")
|
| Kubernetes コンテナのログ |
resource.type="k8s_container" AND
resource.labels.container_name="CONTAINER_NAME"
|
コントロール プレーンのクエリ
注: GKE コントロール プレーンのログを有効にする必要があります。
| フィルタ名 |
式 |
| Kubernetes API サーバーログ |
resource.type="k8s_control_plane_component"
resource.labels.component_name="apiserver"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
|
| Kubernetes Scheduler のログ |
resource.type="k8s_control_plane_component"
resource.labels.component_name="scheduler"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
|
| Kubernetes Controller Manager のログ |
resource.type="k8s_control_plane_component"
resource.labels.component_name="controller-manager"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
|
TPU ワークロードのクエリ
注: GKE システムとワークロードのロギングを有効にする必要があります。
| フィルタ名 |
式 |
| 同じ接頭辞を持つすべての TPU ノードの標準出力コンテナログ |
resource.type="k8s_container" AND
labels."compute.googleapis.com/resource_name"=~"TPU_NODE_PREFIX.*" AND
log_id("stdout")
|
| 同じ接頭辞を持つすべての TPU ノードのコンテナ エラー ログ
|
resource.type="k8s_container" AND
labels."compute.googleapis.com/resource_name"=~"TPU_NODE_PREFIX.*" AND
log_id("stderr") AND
severity=ERROR
|
| 同じ GKE Job の標準出力コンテナログ |
resource.type="k8s_container" AND
labels."k8s-pod/batch.kubernetes.io/job-name" = "JOB_NAME" AND
log_id("stdout")
|
| 同じ GKE ジョブからのコンテナ エラー ログ |
resource.type="k8s_container" AND
labels."k8s-pod/batch.kubernetes.io/job-name"="JOB_NAME" AND
log_id("stderr") AND
severity=ERROR
|
| 同じ GKE JobSet の標準出力コンテナログ |
resource.type="k8s_container" AND
labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="JOBSET_NAME" AND
log_id("stdout")
|
| 同じ GKE JobSet からのコンテナ エラー ログ |
resource.type="k8s_container" AND
labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="JOBSET_NAME" AND
log_id("stderr") AND
severity=ERROR
|
Logging エージェントのアプリケーションのクエリ
| クエリ / フィルタの名前 |
式 |
| Apache のログ |
resource.type="gce_instance" AND
(logName:"/apache-access" OR logName:"/apache-error") |
| Cassandra のログ |
resource.type="gce_instance" AND
log_id("cassandra") |
| Chef のログ |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/chef-" |
| Gitlab のログ |
resource.type="gce_instance"
logName:"projects/PROJECT_ID/logs/gitlab-" |
| Jenkins のログ |
resource.type="gce_instance" AND
log_id("jenkins") |
| Jetty のログ |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/jetty-" |
| Joomla のログ |
resource.type="gce_instance" AND
log_id("joomla") |
| Linux の syslog |
resource.type="gce_instance" AND
log_id("syslog") |
| Magneto のログ |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/magneto-" |
| Mediawiki のログ |
resource.type="gce_instance" AND
log_id("mediawiki") |
| memcached のログ |
resource.type="gce_instance" AND
log_id("memcached") |
| MongoDB のログ |
resource.type="gce_instance" AND
log_id("mongodb") |
| MySQL のログ |
resource.type="gce_instance" AND
log_id("mysql") |
| Nginx のログ |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/nginx-" |
| PostgreSQL のログ |
resource.type="gce_instance" AND
log_id("postgresql") |
| Puppet のログ |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/puppet-" |
| RabbitMQ のログ |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/rabbitmq-" |
| Redmine のログ |
resource.type="gce_instance" AND
log_id("redmine") |
| Salt のログ |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/salt-" |
| MySQL のスロークエリ |
resource.type="gce_instance" AND
log_id("mysql-slow") |
| Solr のログ |
resource.type="gce_instance" AND
log_id("solr") |
| SugarCRM のログ |
resource.type="gce_instance" AND
log_id("sugarcrm") |
| Tomcat のログ |
resource.type="gce_instance" AND
log_id("tomcat") |
| Zookeeper のログ |
resource.type="gce_instance" AND
log_id("zookeeper") |
ネットワーキングのクエリ
| クエリ / フィルタの名前 |
式 |
| ファイアウォールのすべてのログ |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") |
| 指定した国のファイアウォール ログ |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
jsonPayload.remote_location.country=COUNTRY_ISO_ALPHA_3 |
| VM からのファイアウォール ログ |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
jsonPayload.instance.vm_name="INSTANCE_NAME" |
| サブネット指定のファイアウォール ログ |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
resource.labels.subnetwork_name="SUBNET_NAME" |
| 宛先サブネット指定の Compute Engine サブネットワーク トラフィック ログ |
resource.type="gce_subnetwork" AND
ip_in_net(jsonPayload.connection.dest_ip, "SUBNET_IP") |
| VPC フローログ |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") |
| ポート、プロトコル指定の VPC フローログ |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
jsonPayload.connection.src_port="PORT_ID" AND
jsonPayload.connection.protocol="PROTOCOL" |
| サブネット指定の VPC フローログ |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
resource.labels.subnetwork_name"=SUBNET_NAME" |
| サブネット プレフィックス指定の VPC フローログ |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
ip_in_net(jsonPayload.connection.dest_ip,SUBNET_IP) |
| 特定の VM の VPC フローログ |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
jsonPayload.src_instance.vm_name="VM_NAME" |
| VPN ゲートウェイのログ |
resource.type="vpn_gateway" AND
resource.labels.gateway_id="GATEWAY_ID" |
| HTTP ロードバランサの 5xx エラー |
resource.type="http_load_balancer" AND
httpRequest.status>=500 |
| HTTP ロードバランサの phpMyAdmin へのリクエスト |
resource.type="http_load_balancer" AND
httpRequest.request_url:"phpmyadmin" |
セキュリティのクエリ
| クエリ / フィルタの名前 |
式 |
| 監査ログ - すべて |
logName:"cloudaudit.googleapis.com" |
| 監査ログ - アクセスの透明性(AXT) |
log_id("cloudaudit.googleapis.com/access_transparency") |
| 監査ログ - 管理アクティビティ |
log_id("cloudaudit.googleapis.com/activity") |
| 監査ログ - データアクセス |
log_id("cloudaudit.googleapis.com/data_access") |
| 監査ログ - システム イベント |
log_id("cloudaudit.googleapis.com/system_event") |
トラブルシューティング
ログ エクスプローラの使用時によく発生する問題のトラブルシューティングの手順については、ログ エクスプローラの使用: トラブルシューティングをご覧ください。
次のステップ
これらのクエリのカスタマイズに使用できるクエリ構文の詳細については、Logging のクエリ言語をご覧ください。
Google Cloud コンソールでのクエリの詳細については、Logging のクエリ言語を使用してクエリをビルドするをご覧ください。
