Questo documento fornisce suggerimenti di query per semplificarne la ricerca
log importanti utilizzando Esplora log nella console Google Cloud.
Le query elencate sono scritte nel
Linguaggio di query di Logging,
e possono essere utilizzati
Esplora log,
API Logging,
o il
interfaccia a riga di comando.
Esplora log utilizza le espressioni booleane per specificare un sottoinsieme di tutti
le voci di log del tuo progetto. Puoi utilizzare queste query per scegliere le voci di log
da log o servizi di log specifici o che soddisfano condizioni su metadati o
e campi definiti dall'utente.
Prima di iniziare
Per visualizzare i log che stai inviando da un Amazon Web Services (AWS)
a Logging, seleziona
Progetto connettore AWS
nel selettore delle risorse della console Google Cloud, quindi usa
Esplora log.
Il progetto del connettore AWS archivia il nome della risorsa Amazon (ARN) per l'account AWS e
collega il tuo account AWS ai servizi Google Cloud. Per ulteriori informazioni, vedi
Raccogli metriche dagli account AWS.
Assicurati di disporre delle autorizzazioni o dei ruoli di Identity and Access Management corretti per
creando query utilizzando Esplora log. Per maggiori dettagli sul
le autorizzazioni IAM necessarie, consulta
Autorizzazioni per la console Google Cloud.
Inizia
-
Nella console Google Cloud, vai alla pagina Esplora log:
Vai a Esplora log
Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo
Logging.
Seleziona il progetto Google Cloud appropriato o un altro progetto Google Cloud
e la risorsa di cui vuoi visualizzare i log.
Utilizzare le query di esempio
Per applicare una query dalle tabelle seguenti, fai clic sul
content_copy Content Copy per l'espressione,
quindi incolla l'espressione copiata
nel campo dell'editor di query di Esplora log:
Se non vedi il campo dell'editor query, attiva Mostra query.
Dopo aver controllato l'espressione di query, fai clic su Esegui query. I log corrispondenti
sono elencate nella sezione Risultati delle query.
Alcune delle query elencate più avanti in questa pagina includono variabili che dovresti
sostituisci con valori validi. Ad esempio, se una query include logName
,
il PROJECT_ID da te fornito deve fare riferimento al modello attualmente selezionato
progetto Google Cloud. altrimenti la query non funzionerà.
Tieni presente quanto segue:
Se hai una query con un timestamp,
selettore dell'intervallo di tempo
è disabilitata e la query utilizza l'espressione timestamp come intervallo di tempo
delle risorse. Se una query non utilizza un'espressione timestamp, la query
utilizza il selettore dell'intervallo di tempo come restrizione relativa all'intervallo di tempo.
La lunghezza di una query non può superare i 20.000 caratteri.
Il linguaggio di query di Logging
non fa distinzione tra maiuscole e minuscole, ad eccezione delle espressioni regolari.
Puoi utilizzare la funzione log_id
per le query con un log_name
un'espressione di base. Ad esempio, l'espressione
log_name="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access"
è lo stesso di log_id("cloudaudit.googleapis.com/data_access")
.
Per ulteriori informazioni sulla funzione log_id
, consulta
Lingua di query di Logging: funzioni.
Per istruzioni sull'esecuzione di query nella console Google Cloud, consulta
Crea query in Esplora log.
Le seguenti sezioni raggruppano le query in base ai servizi Google Cloud.
Query di App Engine
Nome query/filtro |
Espressione |
Log di App Engine della notte di San Silvestro (in ora UTC) |
resource.type="gae_app" AND
severity>=ERROR AND
timestamp>="2018-12-31T00:00:00Z" AND timestamp<="2019-01-01T00:00:00Z" |
Log di richiesta App Engine con errori del server |
resource.type="gae_app" AND
log_id("appengine.googleapis.com/request_log") AND
httpRequest.status>=500 |
Log degli errori HTTP campionati |
resource.type="gae_app" AND
protoPayload.status >= 400 AND
sample(insertId, 0.1)
|
Cerca ID traccia App Engine |
resource.type="gae_app" AND
trace="projects/PROJECT_ID/traces/TRACE_ID" |
Log di App Engine |
resource.type="gae_app" AND
resource.labels.module_id="MODULE_ID" AND
resource.labels.version_id="VERSION_ID" |
Deployment recenti di App Engine |
resource.type="gae_app" AND
protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog" AND
protoPayload.serviceName="appengine.googleapis.com" |
Query di abilitazione e disabilitazione dell'API
Nome query/filtro |
Espressione |
Log di abilitazione dell'API Audit |
protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.EnableService" |
Log di disattivazione dell'API Audit |
protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.DisableService" |
Query BigQuery
Nome query/filtro |
Espressione |
Audit log BigQuery |
resource.type=("bigquery_dataset" OR "bigquery_project") AND
logName:"cloudaudit.googleapis.com" |
Audit log BigQuery per un progetto |
resource.type="bigquery_project" AND
logName:"cloudaudit.googleapis.com" |
Audit log BigQuery per un set di dati |
resource.type="bigquery_dataset" AND
logName:"cloudaudit.googleapis.com" |
Audit log BigQuery per il modello BI Engine |
resource.type="bigquery_biengine_model" AND
logName:"cloudaudit.googleapis.com" |
Audit log di BigQuery per l'esecuzione di un'esecuzione di Data Transfer Service. |
resource.type="bigquery_dts_run" AND
logName:"cloudaudit.googleapis.com" |
Audit log di BigQuery per una configurazione di Data Transfer Service. |
resource.type="bigquery_dts_config" AND
logName:"cloudaudit.googleapis.com" |
Job di BigQuery Data Transfer Service |
resource.type=("bigquery_project") AND
protoPayload.requestMetadata.callerSuppliedUserAgent=
"BigQuery Data Transfer Service" AND
protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR
"google.cloud.bigquery.v2.JobService.Query") |
Log di esecuzione del trasferimento di BigQuery |
resource.type="bigquery_dts_config" AND
labels.run_id="RUN_ID" AND
resource.labels.config_id="CONFIG_ID" |
Aggiornamenti del set di dati BigQuery |
resource.type="bigquery_dataset" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName=
"google.cloud.bigquery.v2.DatasetService.UpdateDataset" |
Job BigQuery completati |
resource.type="bigquery_project" AND
log_id("cloudaudit.googleapis.com/data_access") AND
protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob"
OR "google.cloud.bigquery.v2.JobService.Query") |
Query BigQuery di grandi dimensioni |
resource.type="bigquery_project" AND
protoPayload.metadata.jobChange.job.jobStats.queryStats.totalBilledBytes
> 1073741824 |
Quota BigQuery superata |
resource.type=("bigquery_dataset" OR "bigquery_project")
AND
protoPayload.status.code=8 AND
severity>=WARNING |
Query BigQuery avviata |
resource.type="bigquery_project" AND
protoPayload.metadata.jobInsertion.reason:* |
Job di caricamento/estrazione simultanei BigQuery |
resource.type="bigquery_resource" AND
protoPayload.methodName="jobservice.insert" AND
protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query:
"extract" |
Query Dataflow
Nome query/filtro |
Espressione |
Errori e avvisi nei worker di Dataflow |
resource.type="dataflow_step" AND
log_id("dataflow.googleapis.com/worker") AND
severity>=WARNING |
Query Dataproc
Nome query/filtro |
Espressione |
Log Dataproc Apache Hadoop |
resource.type="cloud_dataproc_cluster" AND
jsonPayload.class:"org.apache.hadoop.mapreduce" |
Cloud Deployment Manager
Nome query/filtro |
Espressione |
Errori Deployment Manager |
resource.type="deployment" AND
severity>=ERROR |
Query di Cloud Functions
Nome query/filtro |
Espressione |
Errori di funzione Cloud Functions |
resource.type="cloud_function" AND
log_id("cloudfunctions.googleapis.com/cloud-functions") AND
severity>=ERROR |
Query di Cloud Monitoring
Nome query/filtro |
Espressione |
Mostra tutti gli errori del canale di notifica |
resource.type="stackdriver_notification_channel" AND
severity>=ERROR |
Mostra gli errori del canale di notifica dovuti alla limitazione |
resource.type="stackdriver_notification_channel" AND
severity>=ERROR AND
jsonPayload.summary="Notification delivery throttled." |
Mostra i log scritti dalla risorsa di uptime |
resource.type="uptime_url" |
Mostra le richieste ricevute dal servizio di controllo di uptime |
"GoogleStackdriverMonitoring-UptimeChecks" |
Query di Cloud Run
Nome query/filtro |
Espressione |
Log di Cloud Run per un job specifico |
resource.type="cloud_run_job" AND
resource.labels.service_name="JOB_NAME"
|
Log di Cloud Run per una revisione e un servizio specifici |
resource.type="cloud_run_revision" AND
resource.labels.service_name="SERVICE_NAME" |
Query di Cloud Source Repositories
Nome query/filtro |
Espressione |
Log dei repository di codice sorgente Cloud |
resource.type="csr_repository" AND
resource.labels.name="REPOSITORY_NAME" |
Query Spanner
Nome query/filtro |
Espressione |
Log di Cloud Spanner per un'istanza di Spanner specifica |
resource.type="spanner_instance" AND
resource.labels.instance_id="SPANNER_INSTANCE" |
Query Cloud SQL
Nome query/filtro |
Espressione |
Audit log di Cloud SQL |
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudaudit.googleapis.com/activity") |
Log degli errori MySQL di Cloud SQL |
resource.type="cloudsql_database" AND
log_id("cloudsql.googleapis.com/mysql.err") |
Database Cloud SQL basati su MySQL |
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/mysql") |
Database basati su Postgres di Cloud SQL |
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/postgres.log") |
Log degli errori Cloud SQL per SQL Server |
resource.type="cloudsql_database" AND
log_id("cloudsql.googleapis.com/sqlserver.err") |
Database Cloud SQL basati su SQL Server |
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/sqlagent.out") |
Query su Cloud Storage
Nome query/filtro |
Espressione |
Log dei bucket GCS |
resource.type="gcs_bucket" AND
resource.labels.bucket_name="BUCKET_NAME" |
Audit log dei bucket GCS |
resource.type="gcs_bucket" AND
logName:"cloudaudit.googleapis.com" |
Log di creazione dei bucket GCS |
resource.type="gcs_bucket" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.method_name="storage.buckets.create" |
Log di eliminazione dei bucket GCS |
resource.type="gcs_bucket" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.method_name="storage.buckets.delete" |
Query di Cloud Tasks
Nome query/filtro |
Espressione |
Log delle code di Cloud Tasks |
resource.type="cloud_tasks_queue" AND
resource.labels.queue_id="QUEUE_ID" |
Query su Compute Engine
Nome query/filtro |
Espressione |
Log delle attività di amministrazione di Compute Engine |
resource.type="gce_instance" AND
log_id("cloudaudit.googleapis.com/activity") |
Eliminazione delle regole firewall di Compute Engine |
resource.type="gce_firewall_rule" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"firewalls.delete" |
syslog delle VM di Compute Engine |
resource.type="gce_instance" AND
log_id("syslog") |
Log di autenticazione delle VM di Compute Engine |
resource.type="gce_instance" AND
log_id("authlog") |
Errore host Compute Engine |
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:"OnHostMaintenance"
OR
operation.producer:"OnHostMaintenance")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO |
Migrazione dell'host Compute Engine |
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:
"compute.instances.migrateOnHostMaintenance" OR
operation.producer:
"compute.instances.migrateOnHostMaintenance")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO |
VM di Compute Engine terminata/prerilasciata |
resource.type="gce_instance"
protoPayload.methodName=
~"compute\.instances\.(guestTerminate|preempted)"
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID" |
Istanza VM di Compute Engine creata |
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.insert"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.request.name="INSTANCE_NAME" |
Istanza VM di Compute Engine eliminata con nome |
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.delete"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.resourceName:"INSTANCE_NAME" |
Istanza VM di Compute Engine eliminata con ID |
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.delete"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.instance_id="INSTANCE_ID" |
Istanza VM di Compute Engine riavviata |
resource.type="gce_instance"
protoPayload.methodName=~"compute\.instances\.(
stop|reset|automaticRestart|guestTerminate|
instanceManagerHaltForRestart)"
(log_id("cloudaudit.googleapis.com/activity")
OR log_id("cloudaudit.googleapis.com/system_event"))
resource.labels.instance_id="INSTANCE_ID" |
Errore di integrità dell'avvio della VM schermata di Compute Engine |
resource.type="gce_instance"
log_id("compute.googleapis.com/shielded_vm_integrity")
jsonPayload.earlyBootReportEvent.policyEvaluationPassed="false"
resource.labels.instance_id="INSTANCE_ID" |
Istanza VM di Compute Engine arrestata dal sistema operativo guest |
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:"compute.instances.guestTerminate" OR
operation.producer:"compute.instances.guestTerminate")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO |
Il file di avvio della Shielded VM di Compute Engine è stato bloccato |
resource.type="gce_instance"
log_id("serialconsole.googleapis.com/serial_port_1_output")
textPayload:("Security Violation")
resource.labels.instance_id="INSTANCE_ID" |
Disco permanente creato |
resource.type="gce_disk" AND
protoPayload.methodName:"compute.disks.insert" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.resourceName: "PERSISTENT_DISK_NAME" |
Nodi aggiunti nel nodo single-tenant |
resource.type="gce_node_group"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName=~("compute.nodeGroups.addNodes"
OR "compute.nodeGroups.insert")
resource.labels.node_group_id="NODE_GROUP_ID"
severity="INFO" |
Scala automaticamente gli eventi nel nodo single-tenant |
resource.type="gce_node_group"
log_id("cloudaudit.googleapis.com/system_event")
protoPayload.methodName=~("compute.nodeGroups.deleteNodes"
OR "compute.nodeGroups.addNodes")
resource.labels.node_group_id="NODE_GROUP_ID" |
Snapshot manuale acquisito |
resource.type="gce_snapshot"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.snapshots.insert"
protoPayload.resourceName:"SNAPSHOT_NAME" |
Snapshot pianificato acquisito |
resource.type="gce_disk"
log_id("cloudaudit.googleapis.com/system_event")
protoPayload.methodName="ScheduledSnapshots"
protoPayload.response.operationType="createSnapshot"
protoPayload.response.targetLink="PERSISTENT_DISK_NAME" |
Pianificazione snapshot creata |
resource.type="gce_resource_policy"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.resourcePolicies.insert"
protoPayload.request.name="SCHEDULE_NAME" |
Pianificazione snapshot collegata |
resource.type="gce_disk"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.disks.addResourcePolicies"
protoPayload.request.resourcePolicys:"SCHEDULE_NAME"
protoPayload.resourceName:"PERSISTENT_DISK_NAME" |
Quota superata |
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.insert"
protoPayload.status.message:"QUOTA_EXCEEDED"
severity=ERROR |
Esegui query su istanze in stato non integro nel gruppo di istanze |
resource.type="gce_instance_group"
resource.labels.instance_group_name="INSTANCE_GROUP_NAME"
jsonPayload.healthCheckProbeResult.healthState="UNHEALTHY" |
Esegui query sui membri del gruppo di istanze in un intervallo di tempo nel formato ora UTC |
resource.type="gce_instance_group_manager"
resource.labels.instance_group_manager_name="INSTANCE_GROUP_NAME"
jsonPayload.@type=
"type.googleapis.com/compute.InstanceGroupManagerEvent"
jsonPayload.instanceHealthStateChange.detailedHealthState="HEALTHY"
timestamp >= START_TIME timestamp <= END_TIME |
Istanze rimosse dal gruppo di istanze |
resource.type="gce_instance_group"
protoPayload.methodName:"compute.instanceGroups.removeInstances"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.instance_group_name="INSTANCE_GROUP_NAME" |
Modello di istanza impostato o aggiornato |
resource.type="gce_instance_group_manager"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName=
"v1.compute.instanceGroupManagers.setInstanceTemplate"
resource.labels.instance_group_manager_name="INSTANCE_GROUP_MANAGER" |
Regola firewall eliminata |
resource.type="gce_firewall_rule"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"firewalls.delete" |
Log dei firewall |
resource.type="gce_subnetwork"
log_id("compute.googleapis.com/firewall")
jsonPayload.instance.vm_name="INSTANCE_NAME" |
Query di Google Cloud Observability
Nome query/filtro |
Espressione |
Attività sink di log |
resource.type="logging_sink" AND
log_id("cloudaudit.googleapis.com/activity") |
Attività di creazione o aggiornamento di una metrica basata su log |
resource.type="metric" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:(UpdateLogMetric OR CreateLogMetric) |
Controlli degli URL di uptime per un host |
resource.type="uptime_url" AND
resource.labels.host="URL" |
Query di Identity and Access Management
Nome query/filtro |
Espressione |
Log di creazione degli account di servizio |
resource.type="service_account" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.iam.admin.v1.CreateServiceAccount" |
Log delle chiavi per la creazione di account di servizio |
resource.type="service_account" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.iam.admin.v1.CreateServiceAccountKey" |
Imposta i log dei criteri di controllo dell'accesso |
resource.type="project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="SetIamPolicy" |
Entità esterna autorizzata ad accedere all'organizzazione |
resource.type="project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog" AND
protoPayload.request.@type:"IamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:* AND
NOT protoPayload.serviceData.policyDelta.bindingDeltas.member:"@DOMAIN_NAME.com" |
Creazione, modifica o eliminazione di risorse |
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:("create" OR "delete" OR "update") |
Ruolo concesso all'entità |
log_id("cloudaudit.googleapis.com/activity") AND
resource.type="project" AND
protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND
protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.action="Add" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID" |
Ruolo rimosso dall'entità |
log_id("cloudaudit.googleapis.com/activity") AND
resource.type="project" AND
protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND
protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.action="Remove" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID" |
Autorizzazione aggiornata in un ruolo personalizzato |
log_id("cloudaudit.googleapis.com/activity") AND
resource.type="iam_role" AND
protoPayload.serviceName="iam.googleapis.com" AND
protoPayload.methodName:"UpdateRole" AND
resource.labels.role_name:"ROLE_ID" |
Query correlate a Kubernetes
Per una panoramica ed esempi di query degli audit log per le attività di amministrazione, consulta quelli forniti nella
Pagina Audit logging di GKE.
Query a livello di cluster
Nome query/filtro |
Espressione |
Operazioni cluster Google Kubernetes Engine |
resource.type="gke_cluster" AND
log_id("cloudaudit.googleapis.com/activity") |
Creazione del cluster Google Kubernetes Engine |
resource.type="gke_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.container.v1.ClusterManager.CreateCluster"
|
Deployment del cluster Kubernetes |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"deployments"
|
Errore di autenticazione del cluster Kubernetes |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.authenticationInfo.principalEmail="system:anonymous"
|
Operazioni ed eventi del cluster Kubernetes in us-central1-b |
resource.type="k8s_cluster" AND
resource.labels.location="us-central1-b"
|
Richieste di pod Kubernetes dagli utenti |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"io.k8s.core.v1.pods" AND
protoPayload.authenticationInfo.principalEmail="USER_EMAIL"
|
Eventi Kubernetes |
resource.type="k8s_cluster" AND
log_id("events")
|
Aggiornamento degli endpoint Kubernetes |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.request.kind="Endpoints"
|
Log del control plane Kubernetes |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.serviceName="k8s.io"
|
Log del control plane Kubernetes Engine |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.serviceName="container.googleapis.com"
|
Eliminazione dei pod |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName=~"io\.k8s\.core\.v1\.pods\.(create|delete)"
|
Audit log dei pod Kubernetes dal piano di controllo |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.resourceName="core/v1/namespaces/POD_NAMESPACE/pods/POD_NAME
|
Eliminazioni dei pod Kubernetes |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="io.k8s.core.v1.pods.eviction.create"
|
Audit log dei nodi Kubernetes dal control plane |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"io.k8s.core.v1.nodes"
|
Piano di controllo del cluster Kubernetes per l'attività di Addon Manager |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.authenticationInfo.principalEmail="system:addon-manager"
|
Errori del piano di controllo Kubernetes (esclusi Conflict , che è normale) |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.status.message!="Conflict" AND
protoPayload.status.code!=0
|
Eventi controller in entrata |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="loadbalancer-controller"
|
Eventi Service Controller (kube-controller-manager) |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="service-controller"
|
Eventi del gestore della scalabilità automatica del cluster |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="cluster-autoscaler"
|
Query a livello di pod
Nome filtro |
Espressione |
Query sul pod durante la creazione |
resource.type="k8s_pod" AND
resource.labels.pod_name="POD_NAME" AND
log_id("events")
|
Pod di query terminato a causa della pressione delle risorse |
resource.type="k8s_pod" AND
log_id("events") AND
jsonPayload.reason="Evicted"
|
Eventi scheduler |
resource.type="k8s_pod" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="default-scheduler"
|
Eventi scheduler (prerilascio) |
resource.type="k8s_pod" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="default-scheduler" AND
jsonPayload.reason="Preempted"
|
Query a livello di nodo
Nome filtro |
Espressione |
Eventi del nodo |
resource.type="k8s_node" AND
log_id("events")
|
Controllo dei log kube-proxy |
resource.type="k8s_node" AND
log_id("kube-proxy")
|
Controllo dei log Docker |
resource.type="k8s_node" AND
log_id("container-runtime")
|
Esaminare gli errori o gli errori relativi a kubelet |
resource.type="k8s_node" AND
log_id("kubelet") AND
jsonPayload.MESSAGE:("error" OR "fail")
|
Esamina i log dei nodi per i log di sistema GKE |
resource.type = "k8s_node"
logName:( "logs/container-runtime" OR
"logs/docker" OR
"logs/kube-container-runtime-monitor" OR
"logs/kube-logrotate" OR
"logs/kube-node-configuration" OR
"logs/kube-node-installation" OR
"logs/kubelet" OR
"logs/kubelet-monitor" OR
"logs/node-journal" OR
"logs/node-problem-detector")
|
Query sullo spazio dei nomi
Nome filtro |
Espressione |
Log di container e pod per i log di sistema GKE |
resource.type = ("k8s_container" OR "k8s_pod")
resource.labels.namespace_name = (
"cnrm-system" OR
"config-management-system" OR
"gatekeeper-system" OR
"gke-connect" OR
"gke-system" OR
"istio-system" OR
"knative-serving" OR
"monitoring-system" OR
"kube-system")
|
Query container
Nome filtro |
Espressione |
Log dei container standard in tutti i pod e i container in un cluster |
resource.type="k8s_container" AND
log_id("stdout")
|
Log degli errori dei container in tutti i pod e i container in un cluster |
resource.type="k8s_container" AND
log_id("stderr") AND
severity=ERROR
|
Log degli errori dei container per un pod con un nome specifico |
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
severity=ERROR
|
Log degli errori dei container per un container specifico in un pod specifico |
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
resource.labels.container_name="server" AND
severity=ERROR
|
Log degli errori dei container per uno spazio dei nomi e un container specifici |
resource.type="k8s_container" AND
resource.labels.namespace_name="istio-system" AND
resource.labels.container_name="egressgateway" AND
severity=ERROR
|
Log dei container per un pod con un'etichetta specifica |
resource.type="k8s_container" AND
labels."k8s-pod/app"="loadgenerator" AND
severity=ERROR
|
Log degli errori dei container per i pod in esecuzione su un nodo specifico |
resource.type="k8s_container" AND
labels."compute.googleapis.com/resource_name"=NODE_NAME AND
severity=ERROR
|
Log dei container per un pod con un'etichetta generata utilizzando skaffold |
resource.type="k8s_container" AND
labels."k8s-pod/app"="loadgenerator" AND
labels."k8s-pod/skaffold_dev/run-id"=SKAFFOLD_RUN_ID
severity=ERROR
|
Log degli errori dei container per un pod specifico contenente un valore POST nel campo textPayload |
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
textPayload:"POST" AND
severity=ERROR
|
Log degli errori del container per un pod specifico contenente un valore GET nel file JSON strutturato |
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
jsonPayload."http.req.method"="GET" AND
severity=ERROR
|
Log degli errori dei container nello spazio dei nomi kube-system |
resource.type="k8s_container" AND
resource.labels.namespace_name="kube-system" AND
severity=ERROR
|
Errore del container nel log degli insight sui container |
resource.type="k8s_container" AND
log_id("clouderrorreporting.googleapis.com/insights")
|
Log dei container Kubernetes |
resource.type="k8s_container" AND
resource.labels.container_name="CONTAINER_NAME"
|
Query sul piano di controllo
Nota: i log del piano di controllo GKE devono essere abilitati.
Nome filtro |
Espressione |
Log del server API Kubernetes |
resource.type="k8s_control_plane_component"
resource.labels.component_name="apiserver"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
|
Log dello scheduler Kubernetes |
resource.type="k8s_control_plane_component"
resource.labels.component_name="scheduler"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
|
Log di Kubernetes Controller Manager |
resource.type="k8s_control_plane_component"
resource.labels.component_name="controller-manager"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
|
Query sul carico di lavoro TPU
Nota: il logging del sistema e dei carichi di lavoro GKE deve essere abilitato.
Nome filtro |
Espressione |
Log dei container standard in tutti i nodi TPU con lo stesso prefisso
|
resource.type="k8s_container" AND
labels."compute.googleapis.com/resource_name"=~"TPU_NODE_PREFIX.*" AND
log_id("stdout")
|
Log degli errori dei container in tutti i nodi TPU con lo stesso prefisso
|
resource.type="k8s_container" AND
labels."compute.googleapis.com/resource_name"=~"TPU_NODE_PREFIX.*" AND
log_id("stderr") AND
severity=ERROR
|
Log dei container standard dello stesso job GKE
|
resource.type="k8s_container" AND
labels."k8s-pod/batch.kubernetes.io/job-name" = "JOB_NAME" AND
log_id("stdout")
|
Log degli errori dei container dello stesso job GKE
|
resource.type="k8s_container" AND
labels."k8s-pod/batch.kubernetes.io/job-name"="JOB_NAME" AND
log_id("stderr") AND
severity=ERROR
|
Log dei container standard dello stesso set di job GKE
|
resource.type="k8s_container" AND
labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="JOBSET_NAME" AND
log_id("stdout")
|
Log degli errori dei container dello stesso set di job GKE
|
resource.type="k8s_container" AND
labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="JOBSET_NAME" AND
log_id("stderr") AND
severity=ERROR
|
Query dell'applicazione dell'agente Logging
Nome query/filtro |
Espressione |
Log Apache |
resource.type="gce_instance" AND
(logName:"/apache-access" OR logName:"/apache-error") |
Log Cassandra |
resource.type="gce_instance" AND
log_id("cassandra") |
Diari chef |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/chef-" |
Log Gitlab |
resource.type="gce_instance"
logName:"projects/PROJECT_ID/logs/gitlab-" |
Log Jenkins |
resource.type="gce_instance" AND
log_id("jenkins") |
Log Jetty |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/jetty-" |
Log Joomla |
resource.type="gce_instance" AND
log_id("joomla") |
syslog di Linux |
resource.type="gce_instance" AND
log_id("syslog") |
Log Magneto |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/magneto-" |
Log Mediawiki |
resource.type="gce_instance" AND
log_id("mediawiki") |
Log Memcached |
resource.type="gce_instance" AND
log_id("memcached") |
Log MongoDB |
resource.type="gce_instance" AND
log_id("mongodb") |
Log MySQL |
resource.type="gce_instance" AND
log_id("mysql") |
Log Nginx |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/nginx-" |
Log PostgreSQL |
resource.type="gce_instance" AND
log_id("postgresql") |
Registri Puppet |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/puppet-" |
Log RabbitMQ |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/rabbitmq-" |
Log Redmine |
resource.type="gce_instance" AND
log_id("redmine") |
Diari di sale |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/salt-" |
Query MySQL lente |
resource.type="gce_instance" AND
log_id("mysql-slow") |
Log Solr |
resource.type="gce_instance" AND
log_id("solr") |
Log SugarCRM |
resource.type="gce_instance" AND
log_id("sugarcrm") |
Log Tomcat |
resource.type="gce_instance" AND
log_id("tomcat") |
Log Zookeeper |
resource.type="gce_instance" AND
log_id("zookeeper") |
Query di networking
Nome query/filtro |
Espressione |
Firewall: tutti i log |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") |
Log dei firewall per un determinato paese |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
jsonPayload.remote_location.country=COUNTRY_ISO_ALPHA_3 |
Log dei firewall da una VM |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
jsonPayload.instance.vm_name="INSTANCE_NAME" |
Log subnet firewall |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
resource.labels.subnetwork_name="SUBNET_NAME" |
Log del traffico della subnet Compute Engine in una subnet |
resource.type="gce_subnetwork" AND
ip_in_net(jsonPayload.connection.dest_ip, "SUBNET_IP") |
Log di flusso VPC |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") |
Log di flusso VPC per porta e protocollo specifici |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
jsonPayload.connection.src_port="PORT_ID" AND
jsonPayload.connection.protocol="PROTOCOL" |
Log di flusso VPC per subnet specifiche |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
resource.labels.subnetwork_name"=SUBNET_NAME" |
Log di flusso VPC per il prefisso di subnet specifico |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
ip_in_net(jsonPayload.connection.dest_ip,SUBNET_IP) |
Log di flusso VPC per una VM specifica |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
jsonPayload.src_instance.vm_name="VM_NAME" |
Log del gateway VPN |
resource.type="vpn_gateway" AND
resource.labels.gateway_id="GATEWAY_ID" |
Errori 5xx del bilanciatore del carico HTTP |
resource.type="http_load_balancer" AND
httpRequest.status>=500 |
Richieste del bilanciatore del carico HTTP a PHPMyAdmin |
resource.type="http_load_balancer" AND
httpRequest.request_url:"phpmyadmin" |
Query sul logging di sicurezza
Nome query/filtro |
Espressione |
Audit log—tutti |
logName:"cloudaudit.googleapis.com" |
Log di controllo - Access Transparency (AXT) |
log_id("cloudaudit.googleapis.com/access_transparency") |
Audit log - Attività di amministrazione |
log_id("cloudaudit.googleapis.com/activity") |
Audit log - Accesso ai dati |
log_id("cloudaudit.googleapis.com/data_access") |
Audit log - Evento di sistema |
log_id("cloudaudit.googleapis.com/system_event") |
Risoluzione dei problemi
Per istruzioni sulla risoluzione dei problemi più comuni durante l'utilizzo del
Esplora log, consulta
Utilizzo di Esplora log: risoluzione dei problemi.
Passaggi successivi
Per ulteriori informazioni sulla sintassi delle query, che puoi utilizzare per personalizzare
queste query, vedi
Linguaggio di query di Logging.
Per saperne di più sull'esecuzione di query nella console Google Cloud, consulta
Crea query utilizzando il linguaggio di query di Logging.