本頁面由 Cloud Translation API 翻譯而成。

查詢範例

本文提供建議的查詢，讓您能更輕鬆地使用控制台中的記錄檔探索工具找出重要記錄檔。 Google Cloud 列出的查詢是以記錄查詢語言編寫，可用於記錄檢視器、Logging API 或指令列介面。

記錄探索工具會使用布林運算式，指定專案中所有記錄項目的子集。您可以使用這些查詢選擇特定記錄或記錄服務中的記錄項目，或是選擇滿足中繼資料或使用者定義欄位上之條件的記錄項目。

事前準備

請確認您具備正確的 Identity and Access Management 權限或角色，才能使用 Logs Explorer 建立查詢。如要進一步瞭解必要的 IAM 權限，請參閱「 Google Cloud 控制台的權限」。

開始使用

前往 Google Cloud 控制台的「Logs Explorer」頁面：
前往「Logs Explorer」(記錄檔探索工具)

如果您是使用搜尋列尋找這個頁面，請選取子標題為「Logging」的結果。
選取要查看記錄的適當 Google Cloud 專案或其他 Google Cloud資源。

使用範例查詢

如要套用下列表格的查詢，請按一下運算式的「Content Copy」圖示，然後將複製的運算式貼到「Logs Explorer」查詢編輯器欄位。

以下螢幕截圖顯示查詢窗格：

查詢編輯器顯示輸入查詢的位置

如果找不到查詢編輯器欄位，請啟用「顯示查詢」。

查看查詢運算式後，按一下「Run query」。符合查詢的記錄會列於「Query results」下方。

本頁後續列出的部分查詢包含變數，請將這些變數替換為有效的值。舉例來說，如果查詢包含 logName，則您提供的 PROJECT_ID 必須參照所選的Google Cloud 專案，否則查詢會失敗。

注意事項：

如果查詢含有時間戳記，則時間範圍選取器會停用，且查詢會使用時間戳記運算式做為時間範圍限制。如果查詢未使用時間戳記運算式，則會使用時間範圍選取器做為時間範圍限制。
查詢的長度不得超過 20,000 個字元。
記錄查詢語言不區分大小寫，但規則運算式除外。
您可以使用 log_id 函式查詢含有 log_name 運算式的查詢。例如，運算式 log_name="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access" 與 log_id("cloudaudit.googleapis.com/data_access") 相同。如要進一步瞭解 log_id 函式，請參閱「Logging 查詢語言：函式」。

如要瞭解如何在 Google Cloud 控制台中查詢，請參閱「在記錄檔探索工具中建構查詢」。

以下各節依 Google Cloud 服務將查詢分組。

App Engine 查詢

查詢/篩選器名稱	運算式
跨年當天的 App Engine 記錄 (以世界標準時間表示)	resource.type="gae_app" AND severity>=ERROR AND timestamp>="2018-12-31T00:00:00Z" AND timestamp<="2019-01-01T00:00:00Z"
含有伺服器錯誤的 App Engine 要求記錄檔	resource.type="gae_app" AND log_id("appengine.googleapis.com/request_log") AND httpRequest.status>=500
取樣的 HTTP 錯誤記錄檔	resource.type="gae_app" AND protoPayload.status >= 400 AND sample(insertId, 0.1)
App Engine 追蹤項目 ID 搜尋	resource.type="gae_app" AND trace="projects/`PROJECT_ID`/traces/`TRACE_ID`"
App Engine 記錄	resource.type="gae_app" AND resource.labels.module_id="`MODULE_ID`" AND resource.labels.version_id="`VERSION_ID`"
最近的 App Engine 部署作業	resource.type="gae_app" AND protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog" AND protoPayload.serviceName="appengine.googleapis.com"

啟用及停用 API 查詢

查詢/篩選器名稱	運算式
稽核 API 啟用記錄	protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.EnableService"
稽核 API 停用記錄	protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.DisableService"

BigQuery 查詢

查詢/篩選器名稱	運算式
BigQuery 稽核記錄	resource.type=("bigquery_dataset" OR "bigquery_project") AND logName:"cloudaudit.googleapis.com"
專案的 BigQuery 稽核記錄	resource.type="bigquery_project" AND logName:"cloudaudit.googleapis.com"
資料集的 BigQuery 稽核記錄	resource.type="bigquery_dataset" AND logName:"cloudaudit.googleapis.com"
BI Engine 模型的 BigQuery 稽核記錄	resource.type="bigquery_biengine_model" AND logName:"cloudaudit.googleapis.com"
資料移轉服務執行作業的 BigQuery 稽核記錄。	resource.type="bigquery_dts_run" AND logName:"cloudaudit.googleapis.com"
資料移轉服務設定的 BigQuery 稽核記錄。	resource.type="bigquery_dts_config" AND logName:"cloudaudit.googleapis.com"
BigQuery 資料移轉服務工作	resource.type=("bigquery_project") AND protoPayload.requestMetadata.callerSuppliedUserAgent= "BigQuery Data Transfer Service" AND protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR "google.cloud.bigquery.v2.JobService.Query")
BigQuery 轉移執行記錄	resource.type="bigquery_dts_config" AND labels.run_id="`RUN_ID`" AND resource.labels.config_id="`CONFIG_ID`"
BigQuery 資料集更新	resource.type="bigquery_dataset" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName= "google.cloud.bigquery.v2.DatasetService.UpdateDataset"
已完成的 BigQuery 工作	resource.type="bigquery_project" AND log_id("cloudaudit.googleapis.com/data_access") AND protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR "google.cloud.bigquery.v2.JobService.Query")
BigQuery 大量查詢	resource.type="bigquery_project" AND protoPayload.metadata.jobChange.job.jobStats.queryStats.totalBilledBytes > 1073741824
已超過 BigQuery 配額	resource.type=("bigquery_dataset" OR "bigquery_project") AND protoPayload.status.code=8 AND severity>=WARNING
已開始的 BigQuery 查詢	resource.type="bigquery_project" AND protoPayload.metadata.jobInsertion.reason:*
BigQuery 並行載入/擷取工作	resource.type="bigquery_resource" AND protoPayload.methodName="jobservice.insert" AND protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query: "extract"
資料列存取權政策的 BigQuery 稽核記錄	protoPayload.methodName="jobservice.insert" AND protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query:"ROW ACCESS POLICY"

Dataflow 查詢

查詢/篩選器名稱	運算式
Dataflow 工作站的錯誤與警告	resource.type="dataflow_step" AND log_id("dataflow.googleapis.com/worker") AND severity>=WARNING

Dataproc 查詢

查詢/篩選器名稱	運算式
Dataproc Apache Hadoop 記錄	resource.type="cloud_dataproc_cluster" AND jsonPayload.class:"org.apache.hadoop.mapreduce"

Cloud Deployment Manager

查詢/篩選器名稱	運算式
Deployment Manager 錯誤	resource.type="deployment" AND severity>=ERROR

Cloud Run 函式查詢

查詢/篩選器名稱	運算式
Cloud 函式錯誤	resource.type="cloud_function" AND log_id("cloudfunctions.googleapis.com/cloud-functions") AND severity>=ERROR

Cloud Monitoring 查詢

查詢/篩選器名稱	運算式
顯示所有通知管道錯誤	resource.type="stackdriver_notification_channel" AND severity>=ERROR
顯示因節流而導致的通知管道錯誤	resource.type="stackdriver_notification_channel" AND severity>=ERROR AND jsonPayload.summary="Notification delivery throttled."
顯示由運作時間資源寫入的記錄	resource.type="uptime_url"
顯示來自運作時間檢查服務的要求	"GoogleStackdriverMonitoring-UptimeChecks"

Cloud Run 查詢

查詢/篩選器名稱	運算式
特定工作的 Cloud Run 記錄	resource.type="cloud_run_job" AND resource.labels.service_name="`JOB_NAME`"
特定修訂版本和服務的 Cloud Run 記錄	resource.type="cloud_run_revision" AND resource.labels.service_name="`SERVICE_NAME`"

Cloud Source Repositories 查詢

查詢/篩選器名稱	運算式
Cloud Source Repositories 存放區記錄	resource.type="csr_repository" AND resource.labels.name="`REPOSITORY_NAME`"

Spanner 查詢

查詢/篩選器名稱	運算式
特定 Spanner 執行個體的 Cloud Spanner 記錄	resource.type="spanner_instance" AND resource.labels.instance_id="`SPANNER_INSTANCE`"

Cloud SQL 查詢

查詢/篩選器名稱	運算式
Cloud SQL 稽核記錄檔	resource.type="cloudsql_database" AND resource.labels.database_id="`DATABASE_ID`" AND log_id("cloudaudit.googleapis.com/activity")
Cloud SQL MySQL 錯誤記錄	resource.type="cloudsql_database" AND log_id("cloudsql.googleapis.com/mysql.err")
Cloud SQL MySQL 資料庫	resource.type="cloudsql_database" AND resource.labels.database_id="`DATABASE_ID`" AND log_id("cloudsql.googleapis.com/mysql")
Cloud SQL Postgres 資料庫	resource.type="cloudsql_database" AND resource.labels.database_id="`DATABASE_ID`" AND log_id("cloudsql.googleapis.com/postgres.log")
Cloud SQL SQL Server 錯誤記錄	resource.type="cloudsql_database" AND log_id("cloudsql.googleapis.com/sqlserver.err")
Cloud SQL SQL Server 資料庫	resource.type="cloudsql_database" AND resource.labels.database_id="`DATABASE_ID`" AND log_id("cloudsql.googleapis.com/sqlagent.out")

Cloud Storage 查詢

查詢/篩選器名稱	運算式
GCS 值區記錄	resource.type="gcs_bucket" AND resource.labels.bucket_name="`BUCKET_NAME`"
GCS 值區稽核記錄	resource.type="gcs_bucket" AND logName:"cloudaudit.googleapis.com"
GCS 值區建立記錄	resource.type="gcs_bucket" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.method_name="storage.buckets.create"
GCS 值區刪除記錄	resource.type="gcs_bucket" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.method_name="storage.buckets.delete"

Cloud Tasks 查詢

查詢/篩選器名稱	運算式
Cloud Tasks 佇列記錄	resource.type="cloud_tasks_queue" AND resource.labels.queue_id="`QUEUE_ID`"

Compute Engine 查詢

查詢/篩選器名稱	運算式
Compute Engine 管理員活動記錄	resource.type="gce_instance" AND log_id("cloudaudit.googleapis.com/activity")
Compute Engine 防火牆規則刪除	resource.type="gce_firewall_rule" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"firewalls.delete"
Compute Engine VM 系統記錄	resource.type="gce_instance" AND log_id("syslog")
Compute Engine VM 驗證記錄	resource.type="gce_instance" AND log_id("authlog")
Compute Engine 主機錯誤	resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName:"compute.instances.hostError" OR operation.producer:"compute.instances.hostError") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="`INSTANCE_ID`" severity=INFO
Compute Engine 主機記憶體警示	resource.type="gce_instance" AND protoPayload.serviceName="compute.googleapis.com" AND (jsonPayload.methodName:"compute.instances.host_event_notify" OR operation.producer:"compute.instances.host_event_notify") AND log_id("cloudaudit.googleapis.com/host_event_notify") AND resource.labels.instance_id="`INSTANCE_ID`" AND severity=CRITICAL
Compute Engine 主機已遷移	resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName: "compute.instances.migrateOnHostMaintenance" OR operation.producer: "compute.instances.migrateOnHostMaintenance") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="`INSTANCE_ID`" severity=INFO
Compute Engine VM 終止/預取	resource.type="gce_instance" protoPayload.methodName=~"compute\.instances\.(guestTerminate\|preempted)" log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="`INSTANCE_ID`"
由於建立暫存磁碟失敗，Compute Engine VM 已終止	resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName="compute.instances.scratchDiskCreationFailed" OR operation.producer: "compute.instances.scratchDiskCreationFailed) log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="`INSTANCE_ID`" severity=INFO
已建立 Compute Engine VM 執行個體	resource.type="gce_instance" protoPayload.methodName:"compute.instances.insert" log_id("cloudaudit.googleapis.com/activity") protoPayload.request.name="`INSTANCE_NAME`"
已刪除名為 Compute Engine VM 執行個體	resource.type="gce_instance" protoPayload.methodName:"compute.instances.delete" log_id("cloudaudit.googleapis.com/activity") protoPayload.resourceName:"`INSTANCE_NAME`"
已刪除的 Compute Engine VM 執行個體 ID	resource.type="gce_instance" protoPayload.methodName:"compute.instances.delete" log_id("cloudaudit.googleapis.com/activity") resource.labels.instance_id="`INSTANCE_ID`"
Compute Engine VM 執行個體已重新啟動	resource.type="gce_instance" protoPayload.methodName=~"compute\.instances\.( stop\|reset\|automaticRestart\|guestTerminate\| instanceManagerHaltForRestart)" (log_id("cloudaudit.googleapis.com/activity") OR log_id("cloudaudit.googleapis.com/system_event")) resource.labels.instance_id="`INSTANCE_ID`"
Compute Engine 受防護 VM 啟動完整性失敗	resource.type="gce_instance" log_id("compute.googleapis.com/shielded_vm_integrity") jsonPayload.earlyBootReportEvent.policyEvaluationPassed="false" resource.labels.instance_id="`INSTANCE_ID`"
由 Guest OS 停止的 Compute Engine VM 執行個體	resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName:"compute.instances.guestTerminate" OR operation.producer:"compute.instances.guestTerminate") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="`INSTANCE_ID`" severity=INFO
Compute Engine 受防護 VM 啟動檔案遭到封鎖	resource.type="gce_instance" log_id("serialconsole.googleapis.com/serial_port_1_output") textPayload:("Security Violation") resource.labels.instance_id="`INSTANCE_ID`"
已建立永久磁碟	resource.type="gce_disk" AND protoPayload.methodName:"compute.disks.insert" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.resourceName: "`PERSISTENT_DISK_NAME`"
在單一租戶節點中新增的節點	resource.type="gce_node_group" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName=~("compute.nodeGroups.addNodes" OR "compute.nodeGroups.insert") resource.labels.node_group_id="`NODE_GROUP_ID`" severity="INFO"
單一租用戶節點中的自動調度事件	resource.type="gce_node_group" log_id("cloudaudit.googleapis.com/system_event") protoPayload.methodName=~("compute.nodeGroups.deleteNodes" OR "compute.nodeGroups.addNodes") resource.labels.node_group_id="`NODE_GROUP_ID`"
手動拍攝快照	resource.type="gce_snapshot" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.snapshots.insert" protoPayload.resourceName:"`SNAPSHOT_NAME`"
已拍攝排定快照	resource.type="gce_disk" log_id("cloudaudit.googleapis.com/system_event") protoPayload.methodName="ScheduledSnapshots" protoPayload.response.operationType="createSnapshot" protoPayload.response.targetLink="`PERSISTENT_DISK_NAME`"
已建立快照排程	resource.type="gce_resource_policy" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.resourcePolicies.insert" protoPayload.request.name="`SCHEDULE_NAME`"
已附上快照排程	resource.type="gce_disk" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.disks.addResourcePolicies" protoPayload.request.resourcePolicys:"`SCHEDULE_NAME`" protoPayload.resourceName:"`PERSISTENT_DISK_NAME`"
超過配額	resource.type="gce_instance" protoPayload.methodName:"compute.instances.insert" protoPayload.status.message:"QUOTA_EXCEEDED" severity=ERROR
查詢執行個體群組中的不健康執行個體	resource.type="gce_instance_group" resource.labels.instance_group_name="`INSTANCE_GROUP_NAME"` jsonPayload.healthCheckProbeResult.healthState="UNHEALTHY"
以世界標準時間格式，在指定時間範圍內查詢執行個體群組成員	resource.type="gce_instance_group_manager" resource.labels.instance_group_manager_name="`INSTANCE_GROUP_NAME`" jsonPayload.@type= "type.googleapis.com/compute.InstanceGroupManagerEvent" jsonPayload.instanceHealthStateChange.detailedHealthState="HEALTHY" timestamp >= `START_TIME` timestamp <= `END_TIME`
新增至執行個體群組的執行個體	resource.type="gce_instance_group" protoPayload.methodName:"compute.instanceGroups.addInstances" log_id("cloudaudit.googleapis.com/activity") resource.labels.instance_group_name="`INSTANCE_GROUP_NAME`"
從執行個體群組中移除的執行個體	resource.type="gce_instance_group" protoPayload.methodName:"compute.instanceGroups.removeInstances" log_id("cloudaudit.googleapis.com/activity") resource.labels.instance_group_name="`INSTANCE_GROUP_NAME`"
設定或更新執行個體範本	resource.type="gce_instance_group_manager" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName= "v1.compute.instanceGroupManagers.setInstanceTemplate" resource.labels.instance_group_manager_name="`INSTANCE_GROUP_MANAGER`"
已刪除防火牆規則	resource.type="gce_firewall_rule" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"firewalls.delete"
防火牆記錄檔	resource.type="gce_subnetwork" log_id("compute.googleapis.com/firewall") jsonPayload.instance.vm_name="`INSTANCE_NAME`"

Google Cloud Observability 查詢

查詢/篩選器名稱	運算式
記錄接收器活動	resource.type="logging_sink" AND log_id("cloudaudit.googleapis.com/activity")
記錄指標建立或更新活動	resource.type="metric" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:(UpdateLogMetric OR CreateLogMetric)
主機的運作時間網址檢查	resource.type="uptime_url" AND resource.labels.host="`URL`"

查詢/篩選器名稱

運算式

記錄接收器活動

resource.type="logging_sink" AND
log_id("cloudaudit.googleapis.com/activity")

記錄指標建立或更新活動

resource.type="metric" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:(UpdateLogMetric OR CreateLogMetric)

主機的運作時間網址檢查

resource.type="uptime_url" AND
resource.labels.host="URL"

Identity and Access Management 查詢

查詢/篩選器名稱	運算式
服務帳戶建立記錄	resource.type="service_account" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.iam.admin.v1.CreateServiceAccount"
服務帳戶建立金鑰記錄	resource.type="service_account" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.iam.admin.v1.CreateServiceAccountKey"
存取權控管政策設定記錄	resource.type="project" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="SetIamPolicy"
外部主體已授予機構存取權	resource.type="project" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog" AND protoPayload.request.@type:"IamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:* AND NOT protoPayload.serviceData.policyDelta.bindingDeltas.member:"@`DOMAIN_NAME`.com"
建立、修改或刪除資源	log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:("create" OR "delete" OR "update")
授予主體的角色	log_id("cloudaudit.googleapis.com/activity") AND resource.type="project" AND protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.action="Add" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:"`EMAIL_ID`"
從主體移除角色	log_id("cloudaudit.googleapis.com/activity") AND resource.type="project" AND protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.action="Remove" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:"`EMAIL_ID`"
自訂角色中的權限已更新	log_id("cloudaudit.googleapis.com/activity") AND resource.type="iam_role" AND protoPayload.serviceName="iam.googleapis.com" AND protoPayload.methodName:"UpdateRole" AND resource.labels.role_name:"`ROLE_ID`"

Kubernetes 相關查詢

如需管理員活動稽核記錄查詢的總覽和範例，請參閱 GKE 稽核記錄頁面。

叢集層級查詢

查詢/篩選器名稱	運算式
Google Kubernetes Engine 叢集作業	resource.type="gke_cluster" AND log_id("cloudaudit.googleapis.com/activity")
Google Kubernetes Engine 叢集建立作業	resource.type="gke_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.container.v1.ClusterManager.CreateCluster"
Kubernetes 叢集部署作業	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"deployments"
Kubernetes 叢集驗證失敗	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.authenticationInfo.principalEmail="system:anonymous"
`us-central1-b` 中的 Kubernetes 叢集作業和事件	resource.type="k8s_cluster" AND resource.labels.location="us-central1-b"
使用者提出的 Kubernetes Pod 要求	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"io.k8s.core.v1.pods" AND protoPayload.authenticationInfo.principalEmail="`USER_EMAIL`"
Kubernetes 事件	resource.type="k8s_cluster" AND log_id("events")
Kubernetes 端點更新	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.request.kind="Endpoints"
Kubernetes 控制層記錄檔	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.serviceName="k8s.io"
Kubernetes Engine 控制層記錄檔	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.serviceName="container.googleapis.com"
Pod 刪除	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName=~"io\.k8s\.core\.v1\.pods\.(create\|delete)"
控制層中的 Kubernetes Pod 稽核記錄	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.resourceName="core/v1/namespaces/`POD_NAMESPACE`/pods/`POD_NAME`
撤銷 Kubernetes Pod	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="io.k8s.core.v1.pods.eviction.create"
控制層中的 Kubernetes 節點稽核記錄	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"io.k8s.core.v1.nodes"
Addon Manager 活動的 Kubernetes 叢集控制層	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.authenticationInfo.principalEmail="system:addon-manager"
Kubernetes 控制層錯誤 (不含 `Conflict`，這是正常現象)	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.status.message!="Conflict" AND protoPayload.status.code!=0
Ingress 控制器事件	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="loadbalancer-controller"
服務控管器事件 (kube-controller-manager)	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="service-controller"
叢集自動配置器事件	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="cluster-autoscaler"

Pod 層級查詢

篩選器名稱	運算式
建立期間查詢廣告連播	resource.type="k8s_pod" AND resource.labels.pod_name="`POD_NAME`" AND log_id("events")
查詢 Pod 因資源壓力而終止	resource.type="k8s_pod" AND log_id("events") AND jsonPayload.reason="Evicted"
排程器事件	resource.type="k8s_pod" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="default-scheduler"
排程器事件 (預取)	resource.type="k8s_pod" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="default-scheduler" AND jsonPayload.reason="Preempted"

節點層級查詢

篩選器名稱	運算式
節點事件	resource.type="k8s_node" AND log_id("events")
查看 Kube-proxy 記錄檔	resource.type="k8s_node" AND log_id("kube-proxy")
查看 dockerd 記錄	resource.type="k8s_node" AND log_id("container-runtime")
查看 kubelet 錯誤或失敗	resource.type="k8s_node" AND log_id("kubelet") AND jsonPayload.MESSAGE:("error" OR "fail")
查看 GKE 系統記錄檔的節點記錄檔	resource.type = "k8s_node" logName:( "logs/container-runtime" OR "logs/docker" OR "logs/kube-container-runtime-monitor" OR "logs/kube-logrotate" OR "logs/kube-node-configuration" OR "logs/kube-node-installation" OR "logs/kubelet" OR "logs/kubelet-monitor" OR "logs/node-journal" OR "logs/node-problem-detector")

命名空間查詢

篩選器名稱	運算式
GKE 系統記錄檔的容器和 Pod 記錄檔	resource.type = ("k8s_container" OR "k8s_pod") resource.labels.namespace_name = ( "cnrm-system" OR "config-management-system" OR "gatekeeper-system" OR "gke-connect" OR "gke-system" OR "istio-system" OR "knative-serving" OR "monitoring-system" OR "kube-system")

篩選器名稱

運算式

GKE 系統記錄檔的容器和 Pod 記錄檔

resource.type = ("k8s_container" OR "k8s_pod")
resource.labels.namespace_name = (
"cnrm-system" OR
"config-management-system" OR
"gatekeeper-system" OR
"gke-connect" OR
"gke-system" OR
"istio-system" OR
"knative-serving" OR
"monitoring-system" OR
"kube-system")

容器查詢

篩選器名稱	運算式
叢集內所有 Pod 和容器的 stdout 容器記錄檔	resource.type="k8s_container" AND log_id("stdout")
叢集內所有 Pod 和容器的容器錯誤記錄檔	resource.type="k8s_container" AND log_id("stderr") AND severity=ERROR
特定名稱 Pod 的容器錯誤記錄檔	resource.type="k8s_container" AND resource.labels.pod_name="`POD_NAME`" AND severity=ERROR
特定 Pod 中特定容器的容器錯誤記錄檔	resource.type="k8s_container" AND resource.labels.pod_name="`POD_NAME`" AND resource.labels.container_name="server" AND severity=ERROR
特定命名空間和容器的容器錯誤記錄檔	resource.type="k8s_container" AND resource.labels.namespace_name="istio-system" AND resource.labels.container_name="egressgateway" AND severity=ERROR
含有特定標籤的 Pod 容器記錄	resource.type="k8s_container" AND labels."k8s-pod/app"="loadgenerator" AND severity=ERROR
在特定節點上執行的 Pod 容器錯誤記錄檔	resource.type="k8s_container" AND labels."compute.googleapis.com/resource_name"=NODE_NAME AND severity=ERROR
使用 skaffold 產生標籤的 Pod 容器記錄	resource.type="k8s_container" AND labels."k8s-pod/app"="loadgenerator" AND labels."k8s-pod/skaffold_dev/run-id"=`SKAFFOLD_RUN_ID` severity=ERROR
特定 Pod 的容器錯誤記錄檔，其中 textPayload 包含 `POST`	resource.type="k8s_container" AND resource.labels.pod_name="`POD_NAME`" AND textPayload:"POST" AND severity=ERROR
特定 Pod 的容器錯誤記錄檔，其中包含結構化 JSON 中的 `GET`	resource.type="k8s_container" AND resource.labels.pod_name="`POD_NAME`" AND jsonPayload."http.req.method"="GET" AND severity=ERROR
kube-system 命名空間中的容器錯誤記錄檔	resource.type="k8s_container" AND resource.labels.namespace_name="kube-system" AND severity=ERROR
容器深入分析記錄中的容器錯誤	resource.type="k8s_container" AND log_id("clouderrorreporting.googleapis.com/insights")
Kubernetes 容器記錄檔	resource.type="k8s_container" AND resource.labels.container_name="`CONTAINER_NAME`"

控制平面查詢

注意：您必須啟用 GKE 控制層記錄。

篩選器名稱	運算式
Kubernetes API 伺服器記錄	resource.type="k8s_control_plane_component" resource.labels.component_name="apiserver" resource.labels.location="`CLUSTER_LOCATION`" resource.labels.cluster_name="`CLUSTER_NAME`"
Kubernetes 排程器記錄檔	resource.type="k8s_control_plane_component" resource.labels.component_name="scheduler" resource.labels.location="`CLUSTER_LOCATION`" resource.labels.cluster_name="`CLUSTER_NAME`"
Kubernetes 控制器管理工具記錄檔	resource.type="k8s_control_plane_component" resource.labels.component_name="controller-manager" resource.labels.location="`CLUSTER_LOCATION`" resource.labels.cluster_name="`CLUSTER_NAME`"

篩選器名稱

運算式

Kubernetes API 伺服器記錄

resource.type="k8s_control_plane_component"
resource.labels.component_name="apiserver"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"

Kubernetes 排程器記錄檔

resource.type="k8s_control_plane_component"
resource.labels.component_name="scheduler"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"

Kubernetes 控制器管理工具記錄檔

resource.type="k8s_control_plane_component"
resource.labels.component_name="controller-manager"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"

TPU 工作負載查詢

注意：您必須啟用 GKE 系統和工作負載記錄功能。

篩選器名稱	運算式
所有 TPU 節點的 Stdout 容器記錄檔皆具有相同的前置字元	resource.type="k8s_container" AND labels."compute.googleapis.com/resource_name"=~"`TPU_NODE_PREFIX`.*" AND log_id("stdout")
所有前置字元相同的 TPU 節點中的容器錯誤記錄檔	resource.type="k8s_container" AND labels."compute.googleapis.com/resource_name"=~"`TPU_NODE_PREFIX`.*" AND log_id("stderr") AND severity=ERROR
來自相同 GKE 工作負載的 Stdout 容器記錄檔	resource.type="k8s_container" AND labels."k8s-pod/batch.kubernetes.io/job-name" = "`JOB_NAME`" AND log_id("stdout")
同一個 GKE 工作項目的容器錯誤記錄檔	resource.type="k8s_container" AND labels."k8s-pod/batch.kubernetes.io/job-name"="`JOB_NAME`" AND log_id("stderr") AND severity=ERROR
來自相同 GKE JobSet 的 Stdout 容器記錄檔	resource.type="k8s_container" AND labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="`JOBSET_NAME`" AND log_id("stdout")
來自相同 GKE JobSet 的容器錯誤記錄檔	resource.type="k8s_container" AND labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="`JOBSET_NAME`" AND log_id("stderr") AND severity=ERROR

第三方應用程式查詢

下列查詢會使用舊版記錄代理程式收集的記錄檔的預設記錄 ID。如果您是使用 Ops Agent 收集記錄，則記錄名稱的設定可能會有所不同。如要進一步瞭解作業套件代理程式和應用程式記錄，請參閱「從第三方應用程式收集記錄」。

查詢/篩選器名稱	運算式
Apache 記錄	resource.type="gce_instance" AND (logName:"/apache-access" OR logName:"/apache-error")
Cassandra 記錄	resource.type="gce_instance" AND log_id("cassandra")
Chef 記錄	resource.type="gce_instance" AND logName:"projects/`PROJECT_ID`/logs/chef-"
Gitlab 記錄	resource.type="gce_instance" logName:"projects/`PROJECT_ID`/logs/gitlab-"
Jenkins 記錄	resource.type="gce_instance" AND log_id("jenkins")
Jetty 記錄	resource.type="gce_instance" AND logName:"projects/`PROJECT_ID`/logs/jetty-"
Joomla 記錄	resource.type="gce_instance" AND log_id("joomla")
Linux 系統記錄	resource.type="gce_instance" AND log_id("syslog")
Magneto 記錄	resource.type="gce_instance" AND logName:"projects/`PROJECT_ID`/logs/magneto-"
Mediawiki 記錄	resource.type="gce_instance" AND log_id("mediawiki")
Memcached 記錄	resource.type="gce_instance" AND log_id("memcached")
MongoDB 記錄	resource.type="gce_instance" AND log_id("mongodb")
MySQL 記錄	resource.type="gce_instance" AND log_id("mysql")
Nginx 記錄	resource.type="gce_instance" AND logName:"projects/`PROJECT_ID`/logs/nginx-"
PostgreSQL 記錄檔	resource.type="gce_instance" AND log_id("postgresql")
Puppet 記錄	resource.type="gce_instance" AND logName:"projects/`PROJECT_ID`/logs/puppet-"
RabbitMQ 記錄	resource.type="gce_instance" AND logName:"projects/`PROJECT_ID`/logs/rabbitmq-"
Redmine 記錄	resource.type="gce_instance" AND log_id("redmine")
Salt 記錄	resource.type="gce_instance" AND logName:"projects/`PROJECT_ID`/logs/salt-"
MySQL 查詢緩慢記錄	resource.type="gce_instance" AND log_id("mysql-slow")
Solr 記錄	resource.type="gce_instance" AND log_id("solr")
SugarCRM 記錄	resource.type="gce_instance" AND log_id("sugarcrm")
Tomcat 記錄	resource.type="gce_instance" AND log_id("tomcat")
Zookeeper 記錄	resource.type="gce_instance" AND log_id("zookeeper")

網路查詢

查詢/篩選器名稱	運算式
所有防火牆記錄	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall")
特定國家/地區的防火牆記錄	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND jsonPayload.remote_location.country=`COUNTRY_ISO_ALPHA_3`
VM 的防火牆記錄	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND jsonPayload.instance.vm_name="`INSTANCE_NAME`"
防火牆子網路記錄	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND resource.labels.subnetwork_name="`SUBNET_NAME`"
傳送至子網路的 Compute Engine 子網路流量記錄	resource.type="gce_subnetwork" AND ip_in_net(jsonPayload.connection.dest_ip, "`SUBNET_IP`")
虛擬私人雲端流程記錄	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows")
特定通訊埠和通訊協定的虛擬私人雲端流程記錄	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND jsonPayload.connection.src_port="`PORT_ID`" AND jsonPayload.connection.protocol="`PROTOCOL`"
特定子網路的虛擬私人雲端流程記錄	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND resource.labels.subnetwork_name"=`SUBNET_NAME`"
特定子網路前置字串的虛擬私人雲端流程記錄	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND ip_in_net(jsonPayload.connection.dest_ip,`SUBNET_IP`)
特定 VM 的虛擬私有雲流程記錄	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND jsonPayload.src_instance.vm_name="`VM_NAME`"
VPN 閘道記錄	resource.type="vpn_gateway" AND resource.labels.gateway_id="`GATEWAY_ID`"
HTTP 負載平衡器 5xx 錯誤	resource.type="http_load_balancer" AND httpRequest.status>=500
HTTP 負載平衡器對 PHPMyAdmin 發出的要求	resource.type="http_load_balancer" AND httpRequest.request_url:"phpmyadmin"

安全性查詢

查詢/篩選器名稱	運算式
稽核記錄：所有	logName:"cloudaudit.googleapis.com"
資料存取透明化控管機制 (AXT) 稽核記錄	log_id("cloudaudit.googleapis.com/access_transparency")
管理員活動稽核記錄	log_id("cloudaudit.googleapis.com/activity")
資料存取稽核記錄	log_id("cloudaudit.googleapis.com/data_access")
系統事件稽核記錄	log_id("cloudaudit.googleapis.com/system_event")

疑難排解

如要瞭解如何排解使用記錄檔探索工具時常見的問題，請參閱「使用記錄檔探索工具：疑難排解」一文。

後續步驟

如要進一步瞭解可用於自訂這些查詢的查詢語法，請參閱「Logging 查詢語言」。

如要進一步瞭解如何在 Google Cloud 控制台中進行查詢，請參閱「使用 Logging 查詢語言建構查詢」。