Ce document propose des suggestions de requêtes pour faciliter la recherche de journaux importants à l'aide de l'explorateur de journaux de la console Google Cloud. Les requêtes répertoriées sont écrites dans le langage de requête Logging et peuvent être utilisées dans l'explorateur de journaux, l'API Logging ou l'interface de ligne de commande.
L'explorateur de journaux utilise des expressions booléennes pour spécifier un sous-ensemble parmi toutes les entrées de journal d'un projet. Vous pouvez utiliser ces requêtes pour choisir des entrées de journal provenant de journaux ou de services de journalisation spécifiques, ou qui remplissent les conditions définies sur les métadonnées ou les champs définis par l'utilisateur.
Avant de commencer
Pour afficher les journaux que vous envoyez à Logging depuis un compte Amazon Web Services (AWS), sélectionnez le projet de connecteur AWS dans le sélecteur de ressources de la console Google Cloud, puis utilisez l'explorateur de journaux. Le projet de connecteur AWS stocke le nom de ressource Amazon (ARN) de votre compte AWS et associe votre compte AWS aux services Google Cloud. Pour en savoir plus, consultez la page Collecter des métriques à partir de comptes AWS.Assurez-vous de disposer des autorisations ou des rôles Identity and Access Management appropriés pour créer des requêtes à l'aide de l'explorateur de journaux. Pour en savoir plus sur les autorisations IAM nécessaires, consultez la section Autorisations pour la console Google Cloud.
Démarrer
-
Dans la console Google Cloud, accédez à la page Explorateur de journaux :
Accéder à l'explorateur de journaux
Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Logging.
Sélectionnez le projet Google Cloud approprié ou une autre ressource Google Cloud pour laquelle vous souhaitez afficher les journaux.
Utiliser les exemples de requêtes
Pour appliquer une requête à partir des tables suivantes, cliquez sur l'icône content_copy Content Copy (Copie de contenu) de l'expression, puis collez l'expression copiée dans le champ de l'éditeur de requête de l'explorateur de journaux:
Si vous ne voyez pas le champ de l'éditeur de requête, activez Afficher la requête.
Après avoir examiné votre expression de requête, cliquez sur Exécuter la requête. Les journaux correspondant à votre requête sont répertoriés sous les résultats de la requête.
Certaines des requêtes répertoriées plus loin sur cette page incluent des variables que vous devez remplacer par des valeurs valides. Par exemple, lorsqu'une requête inclut logName, le PROJECT_ID que vous fournissez doit faire référence au projet Google Cloud actuellement sélectionné. Sinon, la requête ne fonctionnera pas.
Veuillez noter les points suivants :
Si l'une de vos requêtes comporte un horodatage, le sélecteur de période est désactivé et la requête utilise l'expression d'horodatage comme restriction de période. Si une requête n'utilise pas d'expression de code temporel, elle utilise le sélecteur de période comme restriction de période.
La longueur d'une requête ne peut pas dépasser 20 000 caractères.
Le langage de requête Logging n'est pas sensible à la casse, à l'exception des expressions régulières.
Vous pouvez utiliser la fonction
log_idpour les requêtes avec une expressionlog_name. Par exemple, l'expressionlog_name="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access"est identique àlog_id("cloudaudit.googleapis.com/data_access"). Pour en savoir plus sur la fonctionlog_id, consultez la page Langages de requête Logging: fonctions.
Pour découvrir comment effectuer des requêtes dans la console Google Cloud, consultez la page Créer des requêtes dans l'explorateur de journaux.
Les sections suivantes regroupent les requêtes par service Google Cloud.
Requêtes App Engine
| Nom de la requête/du filtre | Expression |
|---|---|
| Journaux App Engine du Nouvel An (dans le fuseau horaire UTC) | resource.type="gae_app" AND severity>=ERROR AND timestamp>="2018-12-31T00:00:00Z" AND timestamp<="2019-01-01T00:00:00Z" |
| Journaux de requête App Engine avec erreurs serveur | resource.type="gae_app" AND
log_id("appengine.googleapis.com/request_log") AND
httpRequest.status>=500 |
| Échantillons de journaux d'erreurs HTTP | resource.type="gae_app" AND protoPayload.status >= 400 AND sample(insertId, 0.1) |
| Recherche de l'ID de trace App Engine | resource.type="gae_app" AND trace="projects/PROJECT_ID/traces/TRACE_ID" |
| Journaux App Engine | resource.type="gae_app" AND resource.labels.module_id="MODULE_ID" AND resource.labels.version_id="VERSION_ID" |
| Déploiements App Engine récents | resource.type="gae_app" AND protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog" AND protoPayload.serviceName="appengine.googleapis.com" |
Requêtes d'activation et de désactivation des API
| Nom de la requête/du filtre | Expression |
|---|---|
| Journaux d'activation de l'API Audit | protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.EnableService" |
| Journaux de désactivation de l'API Audit | protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.DisableService" |
Requêtes BigQuery
| Nom de la requête/du filtre | Expression |
|---|---|
| Journaux d'audit BigQuery | resource.type=("bigquery_dataset" OR "bigquery_project") AND
logName:"cloudaudit.googleapis.com" |
| Journaux d'audit BigQuery pour un projet | resource.type="bigquery_project" AND logName:"cloudaudit.googleapis.com" |
| Journaux d'audit BigQuery pour un ensemble de données | resource.type="bigquery_dataset" AND logName:"cloudaudit.googleapis.com" |
| Journaux d'audit BigQuery pour un modèle BI Engine | resource.type="bigquery_biengine_model" AND logName:"cloudaudit.googleapis.com" |
| Journaux d'audit BigQuery pour l'exécution du service de transfert de données. | resource.type="bigquery_dts_run" AND logName:"cloudaudit.googleapis.com" |
| Journaux d'audit BigQuery pour une configuration du service de transfert de données | resource.type="bigquery_dts_config" AND logName:"cloudaudit.googleapis.com" |
| Tâches de service de transfert de données BigQuery | resource.type=("bigquery_project") AND
protoPayload.requestMetadata.callerSuppliedUserAgent=
"BigQuery Data Transfer Service" AND
protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR
"google.cloud.bigquery.v2.JobService.Query") |
| Journaux d'exécution de transfert BigQuery | resource.type="bigquery_dts_config" AND labels.run_id="RUN_ID" AND resource.labels.config_id="CONFIG_ID" |
| Mises à jour des ensembles de données BigQuery | resource.type="bigquery_dataset" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName=
"google.cloud.bigquery.v2.DatasetService.UpdateDataset" |
| Tâches BigQuery terminées | resource.type="bigquery_project" AND
log_id("cloudaudit.googleapis.com/data_access") AND
protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob"
OR "google.cloud.bigquery.v2.JobService.Query") |
| Requêtes BigQuery volumineuses | resource.type="bigquery_project" AND protoPayload.metadata.jobChange.job.jobStats.queryStats.totalBilledBytes > 1073741824 |
| Quota BigQuery dépassé | resource.type=("bigquery_dataset" OR "bigquery_project")
AND
protoPayload.status.code=8 AND
severity>=WARNING |
| Requête BigQuery démarrée | resource.type="bigquery_project" AND protoPayload.metadata.jobInsertion.reason:* |
| Jobs de chargement/d'extraction simultanés dans BigQuery | resource.type="bigquery_resource" AND protoPayload.methodName="jobservice.insert" AND protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query: "extract" |
Requêtes Dataflow
| Nom de la requête/du filtre | Expression |
|---|---|
| Erreurs et avertissements dans les nœuds de calcul Dataflow | resource.type="dataflow_step" AND
log_id("dataflow.googleapis.com/worker") AND
severity>=WARNING |
Requêtes Dataproc
| Nom de la requête/du filtre | Expression |
|---|---|
| Journaux Dataproc Apache Hadoop | resource.type="cloud_dataproc_cluster" AND jsonPayload.class:"org.apache.hadoop.mapreduce" |
Cloud Deployment Manager
| Nom de la requête/du filtre | Expression |
|---|---|
| Erreurs Deployment Manager | resource.type="deployment" AND severity>=ERROR |
Requêtes Cloud Functions
| Nom de la requête/du filtre | Expression |
|---|---|
| Erreurs Cloud Functions | resource.type="cloud_function" AND
log_id("cloudfunctions.googleapis.com/cloud-functions") AND
severity>=ERROR |
Requêtes Cloud Monitoring
| Nom de la requête/du filtre | Expression |
|---|---|
| Afficher toutes les erreurs du canal de notification |
resource.type="stackdriver_notification_channel" AND severity>=ERROR |
| Afficher les erreurs du canal de notification en raison d'une limitation |
resource.type="stackdriver_notification_channel" AND severity>=ERROR AND jsonPayload.summary="Notification delivery throttled." |
| Afficher les journaux écrits par la ressource de test de disponibilité |
resource.type="uptime_url" |
| Afficher les requêtes reçues du service de tests de disponibilité |
"GoogleStackdriverMonitoring-UptimeChecks" |
Requêtes Cloud Run
| Nom de la requête/du filtre | Expression |
|---|---|
| Journaux Cloud Run pour une tâche spécifique | resource.type="cloud_run_job" AND resource.labels.service_name="JOB_NAME" |
| Journaux Cloud Run pour une révision et un service spécifiques | resource.type="cloud_run_revision" AND resource.labels.service_name="SERVICE_NAME" |
Requêtes Cloud Source Repositories
| Nom de la requête/du filtre | Expression |
|---|---|
| Journaux Cloud Source Repositories | resource.type="csr_repository" AND resource.labels.name="REPOSITORY_NAME" |
Requêtes Spanner
| Nom de la requête/du filtre | Expression |
|---|---|
| Journaux Cloud Spanner pour une instance Spanner spécifique | resource.type="spanner_instance" AND resource.labels.instance_id="SPANNER_INSTANCE" |
Requêtes Cloud SQL
| Nom de la requête/du filtre | Expression |
|---|---|
| Journaux d'audit Cloud SQL | resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudaudit.googleapis.com/activity") |
| Journaux d'erreurs MySQL Cloud SQL | resource.type="cloudsql_database" AND
log_id("cloudsql.googleapis.com/mysql.err") |
| Bases de données MySQL Cloud SQL | resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/mysql") |
| Bases de données Postgres Cloud SQL | resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/postgres.log") |
| Journaux d'erreurs Cloud SQL SQL Server | resource.type="cloudsql_database" AND
log_id("cloudsql.googleapis.com/sqlserver.err") |
| Bases de données SQL Server Cloud SQL | resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/sqlagent.out") |
Requêtes Cloud Storage
| Nom de la requête/du filtre | Expression |
|---|---|
| Journaux des buckets GCS | resource.type="gcs_bucket" AND resource.labels.bucket_name="BUCKET_NAME" |
| Journaux d'audit des buckets GCS | resource.type="gcs_bucket" AND logName:"cloudaudit.googleapis.com" |
| Journaux de création de buckets GCS | resource.type="gcs_bucket" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.method_name="storage.buckets.create" |
| Journaux de suppression de bucket GCS | resource.type="gcs_bucket" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.method_name="storage.buckets.delete" |
Requêtes Cloud Tasks
| Nom de la requête/du filtre | Expression |
|---|---|
| Journaux de files d'attente Cloud Tasks | resource.type="cloud_tasks_queue" AND resource.labels.queue_id="QUEUE_ID" |
Requêtes Compute Engine
| Nom de la requête/du filtre | Expression |
|---|---|
| Journaux pour les activités d'administration Compute Engine | resource.type="gce_instance" AND
log_id("cloudaudit.googleapis.com/activity") |
| Suppression d'une règle de pare-feu Compute Engine | resource.type="gce_firewall_rule" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"firewalls.delete" |
| Journaux syslog de VM Compute Engine | resource.type="gce_instance" AND
log_id("syslog") |
| Journaux d'authentification des VM Compute Engine | resource.type="gce_instance" AND
log_id("authlog") |
| Erreur d'hôte Compute Engine | resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:"OnHostMaintenance"
OR
operation.producer:"OnHostMaintenance")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO |
| Hôte Compute Engine migré | resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:
"compute.instances.migrateOnHostMaintenance" OR
operation.producer:
"compute.instances.migrateOnHostMaintenance")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO |
| VM Compute Engine arrêtée/préemptée | resource.type="gce_instance"
protoPayload.methodName=
~"compute\.instances\.(guestTerminate|preempted)"
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID" |
| Instance de VM Compute Engine créée | resource.type="gce_instance"
protoPayload.methodName:"compute.instances.insert"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.request.name="INSTANCE_NAME" |
| Instance de VM Compute Engine supprimée avec son nom | resource.type="gce_instance"
protoPayload.methodName:"compute.instances.delete"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.resourceName:"INSTANCE_NAME" |
| Instance de VM Compute Engine supprimée avec l'ID | resource.type="gce_instance"
protoPayload.methodName:"compute.instances.delete"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.instance_id="INSTANCE_ID" |
| Instance de VM Compute Engine redémarrée | resource.type="gce_instance"
protoPayload.methodName=~"compute\.instances\.(
stop|reset|automaticRestart|guestTerminate|
instanceManagerHaltForRestart)"
(log_id("cloudaudit.googleapis.com/activity")
OR log_id("cloudaudit.googleapis.com/system_event"))
resource.labels.instance_id="INSTANCE_ID" |
| Échec de l'intégrité du démarrage de la VM protégée Compute Engine | resource.type="gce_instance"
log_id("compute.googleapis.com/shielded_vm_integrity")
jsonPayload.earlyBootReportEvent.policyEvaluationPassed="false"
resource.labels.instance_id="INSTANCE_ID" |
| Instance de VM Compute Engine arrêtée par l'OS invité | resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:"compute.instances.guestTerminate" OR
operation.producer:"compute.instances.guestTerminate")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO |
| Le fichier de démarrage de la VM protégée Compute Engine a été bloqué | resource.type="gce_instance"
log_id("serialconsole.googleapis.com/serial_port_1_output")
textPayload:("Security Violation")
resource.labels.instance_id="INSTANCE_ID" |
| Disque persistant créé | resource.type="gce_disk" AND
protoPayload.methodName:"compute.disks.insert" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.resourceName: "PERSISTENT_DISK_NAME" |
| Nœuds ajoutés au nœud à locataire unique | resource.type="gce_node_group"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName=~("compute.nodeGroups.addNodes"
OR "compute.nodeGroups.insert")
resource.labels.node_group_id="NODE_GROUP_ID"
severity="INFO" |
| Événements liés à l'autoscaling dans le nœud à locataire unique | resource.type="gce_node_group"
log_id("cloudaudit.googleapis.com/system_event")
protoPayload.methodName=~("compute.nodeGroups.deleteNodes"
OR "compute.nodeGroups.addNodes")
resource.labels.node_group_id="NODE_GROUP_ID" |
| Instantané effectué manuellement | resource.type="gce_snapshot"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.snapshots.insert"
protoPayload.resourceName:"SNAPSHOT_NAME" |
| Instantané programmé pris | resource.type="gce_disk"
log_id("cloudaudit.googleapis.com/system_event")
protoPayload.methodName="ScheduledSnapshots"
protoPayload.response.operationType="createSnapshot"
protoPayload.response.targetLink="PERSISTENT_DISK_NAME" |
| Programmation d'instantanés créée | resource.type="gce_resource_policy"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.resourcePolicies.insert"
protoPayload.request.name="SCHEDULE_NAME" |
| Programmation des instantanés associée | resource.type="gce_disk"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.disks.addResourcePolicies"
protoPayload.request.resourcePolicys:"SCHEDULE_NAME"
protoPayload.resourceName:"PERSISTENT_DISK_NAME" |
| Quota dépassé | resource.type="gce_instance" protoPayload.methodName:"compute.instances.insert" protoPayload.status.message:"QUOTA_EXCEEDED" severity=ERROR |
| Interroger les instances non opérationnelles dans le groupe d'instances | resource.type="gce_instance_group" resource.labels.instance_group_name="INSTANCE_GROUP_NAME" jsonPayload.healthCheckProbeResult.healthState="UNHEALTHY" |
| Interroger les membres du groupe d'instances sur une période donnée au format UTC |
resource.type="gce_instance_group_manager" resource.labels.instance_group_manager_name="INSTANCE_GROUP_NAME" jsonPayload.@type= "type.googleapis.com/compute.InstanceGroupManagerEvent" jsonPayload.instanceHealthStateChange.detailedHealthState="HEALTHY" timestamp >= START_TIME timestamp <= END_TIME |
| Instances supprimées du groupe d'instances | resource.type="gce_instance_group"
protoPayload.methodName:"compute.instanceGroups.removeInstances"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.instance_group_name="INSTANCE_GROUP_NAME" |
| Modèle d'instance défini ou mis à jour | resource.type="gce_instance_group_manager"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName=
"v1.compute.instanceGroupManagers.setInstanceTemplate"
resource.labels.instance_group_manager_name="INSTANCE_GROUP_MANAGER" |
| Règle de pare-feu détectée | resource.type="gce_firewall_rule"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"firewalls.delete" |
| Journaux de pare-feu | resource.type="gce_subnetwork"
log_id("compute.googleapis.com/firewall")
jsonPayload.instance.vm_name="INSTANCE_NAME" |
Requêtes d'observabilité Google Cloud
| Nom de la requête/du filtre | Expression |
|---|---|
| Activités de récepteur de journaux | resource.type="logging_sink" AND
log_id("cloudaudit.googleapis.com/activity") |
| Activités de création ou de mise à jour de métrique basée sur les journaux | resource.type="metric" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:(UpdateLogMetric OR CreateLogMetric) |
| Tests de disponibilité d'URL pour un hôte | resource.type="uptime_url" AND resource.labels.host="URL" |
Requêtes de gestion de l'authentification et des accès
| Nom de la requête/du filtre | Expression |
|---|---|
| Journaux de création de compte de service | resource.type="service_account" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.iam.admin.v1.CreateServiceAccount" |
| Journaux des clés de création de compte de service | resource.type="service_account" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.iam.admin.v1.CreateServiceAccountKey" |
| Journaux de définition des stratégies de contrôle d'accès | resource.type="project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="SetIamPolicy" |
| Compte principal externe autorisé à accéder à l'organisation | resource.type="project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog" AND
protoPayload.request.@type:"IamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:* AND
NOT protoPayload.serviceData.policyDelta.bindingDeltas.member:"@DOMAIN_NAME.com" |
| Création, modification ou suppression de ressources | log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:("create" OR "delete" OR "update") |
| Rôle attribué au compte principal | log_id("cloudaudit.googleapis.com/activity") AND
resource.type="project" AND
protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND
protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.action="Add" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID" |
| Rôle supprimé du compte principal | log_id("cloudaudit.googleapis.com/activity") AND
resource.type="project" AND
protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND
protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.action="Remove" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID" |
| Autorisation mise à jour dans un rôle personnalisé | log_id("cloudaudit.googleapis.com/activity") AND
resource.type="iam_role" AND
protoPayload.serviceName="iam.googleapis.com" AND
protoPayload.methodName:"UpdateRole" AND
resource.labels.role_name:"ROLE_ID" |
Requêtes associées à Kubernetes
Pour obtenir une présentation et des exemples de requêtes concernant le journal d'audit des activités d'administration, consultez celles fournies sur la page Journaux d'audit GKE.Requêtes au niveau du cluster
| Nom de la requête/du filtre | Expression |
|---|---|
| Opérations du cluster Google Kubernetes Engine | resource.type="gke_cluster" AND
log_id("cloudaudit.googleapis.com/activity") |
| Création du cluster Google Kubernetes Engine |
resource.type="gke_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.container.v1.ClusterManager.CreateCluster"
|
| Déploiement du cluster Kubernetes |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"deployments"
|
| Échec de l'authentification du cluster Kubernetes |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.authenticationInfo.principalEmail="system:anonymous"
|
Opérations et événements de cluster Kubernetes dans la zone us-central1-b |
resource.type="k8s_cluster" AND
resource.labels.location="us-central1-b"
|
| Requêtes de pod Kubernetes envoyées par des utilisateurs |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"io.k8s.core.v1.pods" AND
protoPayload.authenticationInfo.principalEmail="USER_EMAIL"
|
| Événements Kubernetes |
resource.type="k8s_cluster" AND
log_id("events")
|
| Mise à jour des points de terminaison Kubernetes |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.request.kind="Endpoints"
|
| Journaux du plan de contrôle Kubernetes |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.serviceName="k8s.io"
|
| Journaux du plan de contrôle Kubernetes Engine |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.serviceName="container.googleapis.com"
|
| Suppression des pods |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName=~"io\.k8s\.core\.v1\.pods\.(create|delete)"
|
| Journaux d'audit des pods Kubernetes à partir du plan de contrôle |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.resourceName="core/v1/namespaces/POD_NAMESPACE/pods/POD_NAME
|
| Évictions de pods Kubernetes |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="io.k8s.core.v1.pods.eviction.create"
|
| Journaux d'audit des nœuds Kubernetes à partir du plan de contrôle |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"io.k8s.core.v1.nodes"
|
| Plan de contrôle des clusters Kubernetes pour l'activité d'Addon Manager Activity |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.authenticationInfo.principalEmail="system:addon-manager"
|
Erreurs du plan de contrôle Kubernetes (à l'exception de Conflict, ce qui est normal) |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.status.message!="Conflict" AND
protoPayload.status.code!=0
|
| Événements du contrôleur d'entrée |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="loadbalancer-controller"
|
| Événements du contrôleur de service (kube-controller-manager) |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="service-controller"
|
| Événements de l'autoscaler de cluster |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="cluster-autoscaler"
|
Requêtes au niveau du pod
| Nom du filtre | Expression |
|---|---|
| Interrogation du pod lors de la création |
resource.type="k8s_pod" AND
resource.labels.pod_name="POD_NAME" AND
log_id("events")
|
| Le pod de la requête a été arrêté en raison de la pression des ressources |
resource.type="k8s_pod" AND
log_id("events") AND
jsonPayload.reason="Evicted"
|
| Événements du programmeur |
resource.type="k8s_pod" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="default-scheduler"
|
| Événements du programmeur (préemptions) |
resource.type="k8s_pod" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="default-scheduler" AND
jsonPayload.reason="Preempted"
|
Requêtes au niveau du nœud
| Nom du filtre | Expression |
|---|---|
| Événements du nœud |
resource.type="k8s_node" AND
log_id("events")
|
| Consultation des journaux de Kube-proxy |
resource.type="k8s_node" AND
log_id("kube-proxy")
|
| Consultation des journaux dockerd |
resource.type="k8s_node" AND
log_id("container-runtime")
|
| Consultation des erreurs ou des échecs de kubelet |
resource.type="k8s_node" AND
log_id("kubelet") AND
jsonPayload.MESSAGE:("error" OR "fail")
|
| Afficher les journaux de nœuds pour les journaux système de GKE |
resource.type = "k8s_node"
logName:( "logs/container-runtime" OR
"logs/docker" OR
"logs/kube-container-runtime-monitor" OR
"logs/kube-logrotate" OR
"logs/kube-node-configuration" OR
"logs/kube-node-installation" OR
"logs/kubelet" OR
"logs/kubelet-monitor" OR
"logs/node-journal" OR
"logs/node-problem-detector")
|
Requêtes d'espace de noms
| Nom du filtre | Expression |
|---|---|
| Journaux de conteneurs et de pods pour les journaux système GKE |
resource.type = ("k8s_container" OR "k8s_pod")
resource.labels.namespace_name = (
"cnrm-system" OR
"config-management-system" OR
"gatekeeper-system" OR
"gke-connect" OR
"gke-system" OR
"istio-system" OR
"knative-serving" OR
"monitoring-system" OR
"kube-system")
|
Requêtes de conteneur
| Nom du filtre | Expression |
|---|---|
| Journaux de conteneurs Stdout sur tous les pods et conteneurs d'un cluster |
resource.type="k8s_container" AND
log_id("stdout")
|
| Journaux d'erreurs du conteneur sur tous les pods et conteneurs d'un cluster |
resource.type="k8s_container" AND
log_id("stderr") AND
severity=ERROR
|
| Journaux d'erreurs du conteneur pour un pod portant un nom spécifique |
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
severity=ERROR
|
| Journaux d'erreurs du conteneur pour un conteneur dans un pod spécifique |
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
resource.labels.container_name="server" AND
severity=ERROR
|
| Journaux d'erreurs du conteneur pour un espace de noms et un conteneur spécifiques |
resource.type="k8s_container" AND
resource.labels.namespace_name="istio-system" AND
resource.labels.container_name="egressgateway" AND
severity=ERROR
|
| Journaux de conteneurs pour un pod avec un libellé spécifique |
resource.type="k8s_container" AND
labels."k8s-pod/app"="loadgenerator" AND
severity=ERROR
|
| Journaux d'erreurs du conteneur pour les pods exécutés sur un nœud spécifique |
resource.type="k8s_container" AND
labels."compute.googleapis.com/resource_name"=NODE_NAME AND
severity=ERROR
|
| Journaux de conteneurs pour un pod avec un libellé généré à l'aide de Skaffold |
resource.type="k8s_container" AND
labels."k8s-pod/app"="loadgenerator" AND
labels."k8s-pod/skaffold_dev/run-id"=SKAFFOLD_RUN_ID
severity=ERROR
|
Journaux d'erreurs du conteneur pour un pod spécifique contenant un objet POST dans le champ textPayload |
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
textPayload:"POST" AND
severity=ERROR
|
Journaux d'erreurs du conteneur pour un pod spécifique contenant un objet GET dans le fichier JSON structuré |
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
jsonPayload."http.req.method"="GET" AND
severity=ERROR
|
| Journaux d'erreurs du conteneur dans l'espace de noms kube-system |
resource.type="k8s_container" AND
resource.labels.namespace_name="kube-system" AND
severity=ERROR
|
| Erreur de conteneur dans le journal d'insights du conteneur |
resource.type="k8s_container" AND
log_id("clouderrorreporting.googleapis.com/insights")
|
| Journaux de conteneur Kubernetes |
resource.type="k8s_container" AND
resource.labels.container_name="CONTAINER_NAME"
|
Requêtes du plan de contrôle
Remarque: Les journaux du plan de contrôle GKE doivent être activés.| Nom du filtre | Expression |
|---|---|
| Journaux du serveur d'API Kubernetes |
resource.type="k8s_control_plane_component"
resource.labels.component_name="apiserver"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
|
| Journaux du programmeur Kubernetes |
resource.type="k8s_control_plane_component"
resource.labels.component_name="scheduler"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
|
| Journaux du gestionnaire de contrôleurs Kubernetes |
resource.type="k8s_control_plane_component"
resource.labels.component_name="controller-manager"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
|
Requêtes d'application de l'agent Logging
| Nom de la requête/du filtre | Expression |
|---|---|
| Journaux Apache | resource.type="gce_instance" AND (logName:"/apache-access" OR logName:"/apache-error") |
| Journaux Cassandra | resource.type="gce_instance" AND
log_id("cassandra") |
| Journaux Chef | resource.type="gce_instance" AND logName:"projects/PROJECT_ID/logs/chef-" |
| Journaux gitlab | resource.type="gce_instance" logName:"projects/PROJECT_ID/logs/gitlab-" |
| Journaux Jenkins | resource.type="gce_instance" AND
log_id("jenkins") |
| Journaux Jetty | resource.type="gce_instance" AND logName:"projects/PROJECT_ID/logs/jetty-" |
| Journaux Joomla | resource.type="gce_instance" AND
log_id("joomla") |
| Journaux syslog Linux | resource.type="gce_instance" AND
log_id("syslog") |
| Journaux Magneto | resource.type="gce_instance" AND logName:"projects/PROJECT_ID/logs/magneto-" |
| Journaux MediaWiki | resource.type="gce_instance" AND
log_id("mediawiki") |
| Journaux memcached | resource.type="gce_instance" AND
log_id("memcached") |
| Journaux Mongodb | resource.type="gce_instance" AND
log_id("mongodb") |
| Journaux MySQL | resource.type="gce_instance" AND
log_id("mysql") |
| Journaux Nginx | resource.type="gce_instance" AND logName:"projects/PROJECT_ID/logs/nginx-" |
| Journaux PostgreSQL | resource.type="gce_instance" AND
log_id("postgresql") |
| Journaux Puppet | resource.type="gce_instance" AND logName:"projects/PROJECT_ID/logs/puppet-" |
| Journaux RabbitMQ | resource.type="gce_instance" AND logName:"projects/PROJECT_ID/logs/rabbitmq-" |
| Journaux Redmine | resource.type="gce_instance" AND
log_id("redmine") |
| Journaux Salt | resource.type="gce_instance" AND logName:"projects/PROJECT_ID/logs/salt-" |
| Requêtes MySQL lentes | resource.type="gce_instance" AND
log_id("mysql-slow") |
| Journaux Solr | resource.type="gce_instance" AND
log_id("solr") |
| Journaux SugarCRM | resource.type="gce_instance" AND
log_id("sugarcrm") |
| Journaux Tomcat | resource.type="gce_instance" AND
log_id("tomcat") |
| Journaux Zookeeper | resource.type="gce_instance" AND
log_id("zookeeper") |
Requêtes de mise en réseau
| Nom de la requête/du filtre | Expression |
|---|---|
| Tous les journaux de pare-feu | resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") |
| Journaux de pare-feu pour un pays donné | resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
jsonPayload.remote_location.country=COUNTRY_ISO_ALPHA_3 |
| Journaux de pare-feu d'une VM | resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
jsonPayload.instance.vm_name="INSTANCE_NAME" |
| Journaux de sous-réseau de pare-feu | resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
resource.labels.subnetwork_name="SUBNET_NAME" |
| Journaux de trafic d'un sous-réseau Compute Engine vers un sous-réseau | resource.type="gce_subnetwork" AND ip_in_net(jsonPayload.connection.dest_ip, "SUBNET_IP") |
| Journaux de flux VPC | resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") |
| Journaux de flux VPC pour un port et un protocole spécifiques | resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
jsonPayload.connection.src_port="PORT_ID" AND
jsonPayload.connection.protocol="PROTOCOL" |
| Journaux de flux VPC pour un sous-réseau spécifique | resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
resource.labels.subnetwork_name"=SUBNET_NAME" |
| Journaux de flux VPC pour un préfixe de sous-réseau spécifique | resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
ip_in_net(jsonPayload.connection.dest_ip,SUBNET_IP) |
| Journaux de flux VPC pour une VM spécifique | resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
jsonPayload.src_instance.vm_name="VM_NAME" |
| Journaux de passerelle VPN | resource.type="vpn_gateway" AND resource.labels.gateway_id="GATEWAY_ID" |
| Erreurs 5xx de l'équilibreur de charge HTTP | resource.type="http_load_balancer" AND httpRequest.status>=500 |
| Requêtes de l'équilibreur de charge HTTP à phpMyAdmin | resource.type="http_load_balancer" AND httpRequest.request_url:"phpmyadmin" |
Requêtes de journaux de sécurité
| Nom de la requête/du filtre | Expression |
|---|---|
| Tous les journaux d'audit | logName:"cloudaudit.googleapis.com" |
| Journaux d'audit pour Access Transparency (AXT) | log_id("cloudaudit.googleapis.com/access_transparency") |
| Journaux d'audit des activités d'administration | log_id("cloudaudit.googleapis.com/activity") |
| Journaux d'audit de l'accès aux données | log_id("cloudaudit.googleapis.com/data_access") |
| Journaux d'audit des événements système | log_id("cloudaudit.googleapis.com/system_event") |
Dépannage
Pour obtenir des instructions sur la résolution des problèmes courants liés à l'utilisation de l'explorateur de journaux, consultez la section Utiliser l'explorateur de journaux: dépannage.
Étapes suivantes
Pour en savoir plus sur la syntaxe des requêtes, qui permet de les personnaliser, consultez la page Langage de requête Logging.
Pour en savoir plus sur l'exécution de requêtes dans la console Google Cloud, consultez la page Créer des requêtes à l'aide du langage de requête Logging.