Exemples de requêtes

Cette page présente des suggestions de recherche qui vous permettront de retrouver plus facilement les journaux importants. Toutes les requêtes répertoriées peuvent être appliquées dans la visionneuse de journaux (classique et aperçu), dans l'API Logging ou dans l'interface de ligne de commande. Toutefois, cette page se concentre sur l'utilisation des requêtes dans la visionneuse de journaux.

Une requête de journaux avancée est une expression booléenne qui délimite un sous-ensemble parmi toutes les entrées de journal d'un projet. Vous pouvez utiliser ces requêtes pour choisir des entrées de journal provenant de journaux ou de services de journalisation spécifiques, ou qui remplissent les conditions définies sur les métadonnées ou les champs définis par l'utilisateur. Pour obtenir des informations détaillées sur le mode d'interrogation avancé, consultez la section Requêtes de journaux avancées.

Premiers pas avec les requêtes avancées

Les requêtes présentées sur cette page sont destinées à être utilisées dans l'interface de requêtes avancées de la visionneuse de journaux.

Pour accéder à cette interface dans la visionneuse de journaux, procédez comme suit :

  1. Accédez à la page Logging > Journaux (Visionneuse de journaux) de la suite d'opérations Google Cloud dans Cloud Console :

    Accéder à la page Visionneuse de journaux

  2. Sélectionnez un projet Google Cloud en haut de la page.

  3. Cliquez sur la flèche du menu déroulant (▾) située à l'extrémité droite de la zone de requête de recherche, puis sélectionnez Convert to advanced filter (Convertir en filtre avancé) :

    Convertir en requête de journaux avancée

    L'interface de requête de journaux avancée s'affiche. Dans l'interface utilisateur, les requêtes de journaux sont associées à la mention "filtres", car elles vous permettent de sélectionner un ensemble spécifique d'entrées de journal.

Utiliser les requêtes

Pour appliquer une requête à partir des tableaux ci-dessous, copiez une expression en cliquant sur l'icône du presse-papiers à la fin de la ligne d'une expression, puis collez l'expression copiée dans la zone de requête de recherche de l'interface de requête avancée :

Zone de recherche de requête avancée

Les journaux correspondant à votre requête sont répertoriés sous la zone de requête de recherche.

Certaines des requêtes répertoriées ci-dessous incluent des variables (indiquées entre crochets []) que vous devez remplacer par des valeurs valides. Lorsqu'une requête inclut logName, le [PROJECT_ID] que vous indiquez doit faire référence au projet Google Cloud actuellement sélectionné. Sinon, la requête ne fonctionnera pas. Pour en savoir plus, consultez la section Dépannage.

Si vous rédigez une requête qui inclut un horodatage, vous devez sélectionner Aucune limite dans le sélecteur de période situé sous la zone de requête de recherche.

Les sections suivantes regroupent les requêtes par service Google Cloud.

Requêtes App Engine

Nom du filtre Expression
Journaux App Engine du Nouvel An (dans le fuseau horaire UTC)

resource.type="gae_app" AND
    severity>=ERROR AND
    timestamp>="2018-12-31T00:00:00Z" AND timestamp<="2019-01-01T00:00:00Z" 
Journaux de requête App Engine avec erreurs serveur

resource.type="gae_app" AND
    log_name="projects/[PROJECT_ID]/logs/appengine.googleapis.com%2Frequest_log" AND
    http_request.status>=500 
Échantillons de journaux d'erreurs HTTP

resource.type="gae_app" AND
    proto_payload.status >= 400 AND
    sample(insertId, 0.1) 
Recherche de l'ID de trace App Engine

resource.type="gae_app" AND
    trace="projects/[PROJECT_ID]/traces/[TRACE_ID]" 

Requêtes BigQuery

Nom du filtre Expression
Journaux d'audit BigQuery

resource.type="bigquery_resource" AND
    log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com" 
Tâches de service de transfert de données BigQuery

resource.type="bigquery_resource" AND
    proto_payload.request_metadata.caller_supplied_user_agent="BigQuery Data Transfer Service" AND
    proto_payload.method_name="jobservice.insert" 
Mises à jour des ensembles de données BigQuery

resource.type="bigquery_resource" AND
    log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
    proto_payload.method_name="datasetservice.update" 
Tâches BigQuery terminées

resource.type="bigquery_resource" AND
    log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access" AND
    proto_payload.method_name="jobservice.jobcompleted" 
Requêtes BigQuery volumineuses

resource.type="bigquery_resource" AND
    proto_payload.method_name="jobservice.jobcompleted" AND
    proto_payload.service_data.job_completed_event.job.job_statistics.total_billed_bytes>1073741824 
Quota BigQuery dépassé

resource.type="bigquery_resource" AND
    proto_payload.status.code=8 AND
    severity>=WARNING 
Requête BigQuery démarrée

resource.type="bigquery_resource" AND
    proto_payload.method_name="jobservice.insert" 

Requêtes Dataflow

Nom du filtre Expression
Erreurs et avertissements dans les nœuds de calcul Dataflow

resource.type="dataflow_step" AND
    log_name="projects/[PROJECT_ID]/logs/dataflow.googleapis.com%2Fworker" AND
    severity>=WARNING 

Requêtes Dataproc

Nom du filtre Expression
Journaux Dataproc Apache Hadoop

resource.type="cloud_dataproc_cluster" AND
    json_payload.class:"org.apache.hadoop.mapreduce" 

Cloud Deployment Manager

Nom du filtre Expression
Erreurs Deployment Manager

resource.type="deployment" AND
    severity>=ERROR 

Requêtes Cloud Functions

Nom du filtre Expression
Erreurs Cloud Functions

resource.type="cloud_function" AND
    log_name="projects/[PROJECT_ID]/logs/cloudfunctions.googleapis.com%2Fcloud-functions" AND
    severity>=ERROR 

Requêtes Cloud Identity and Access Management

Nom du filtre Expression
Journaux de création de compte de service

resource.type="service_account" AND
    log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
    proto_payload.method_name="google.iam.admin.v1.CreateServiceAccount" 
Journaux des clés de création de compte de service

resource.type="service_account" AND
    log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
    proto_payload.method_name="google.iam.admin.v1.CreateServiceAccountKey" 
Journaux de définition des stratégies de contrôle d'accès

resource.type="project" AND
    log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
    proto_payload.method_name="SetIamPolicy" 
Membre externe autorisé à accéder à l'organisation

resource.type="project" AND
    log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
    proto_payload.@type="type.googleapis.com/google.cloud.audit.AuditLog" AND
    proto_payload.request.@type:"IamPolicy" AND
    proto_payload.service_data.policy_delta.binding_deltas.member:* AND
    NOT proto_payload.service_data.policy_delta.binding_deltas.member:"@[DOMAIN_NAME].com" 

Requêtes Cloud Source Repositories

Nom du filtre Expression
Journaux Cloud Source Repositories

resource.type="csr_repository" AND
    resource.labels.name="[REPOSITORY_NAME]"

Requêtes Cloud Spanner

Nom du filtre Expression
Journaux Cloud Spanner pour une instance Spanner spécifique

resource.type="spanner_instance" AND
    resource.labels.instance_id="[SPANNER_INSTANCE]"

Requêtes Cloud SQL

Nom du filtre Expression
Base de données Cloud SQL

resource.type="cloudsql_database" AND
    resource.labels.database_id="[DATABASE_ID]"
Journaux d'erreurs MySQL Cloud SQL

resource.type="cloudsql_database" AND
    log_name="projects/[PROJECT_ID]/logs/cloudsql.googleapis.com%2Fmysql.err"
Bases de données MySQL Cloud SQL

resource.type="cloudsql_database" AND
    resource.labels.database_id="[DATABASE_ID]" AND
    log_name="projects/[PROJECT_ID]/logs/cloudsql.googleapis.com%2Fmysql"
Bases de données Postgres Cloud SQL

resource.type="cloudsql_database" AND
    resource.labels.database_id="[DATABASE_ID]" AND
    log_name="projects/[PROJECT_ID]/logs/cloudsql.googleapis.com%2Fpostgres.log"

Requêtes Compute Engine

Nom du filtre Expression
Journaux pour les activités d'administration Google Compute Engine

resource.type="gce_instance" AND
    log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity"
Suppression d'une règle de pare-feu Google Compute Engine

resource.type="gce_firewall_rule" AND
    log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
    proto_payload.method_name:"firewalls.delete" 
Journaux pour les anciennes activités Google Compute Engine

resource.type="gce_instance" AND
    log_name="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Factivity_log" 
Journaux syslog de VM Google Compute Engine

resource.type="gce_instance" AND
    log_name="projects/[PROJECT_ID]/logs/syslog" 

Requêtes Cloud Storage

Nom du filtre Expression
Journaux des buckets GCS

resource.type="gcs_bucket" AND
    resource.labels.bucket_name="[BUCKET_NAME]"
Journaux d'audit des buckets GCS

resource.type="gcs_bucket" AND
    log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com" 
Journaux de création de buckets GCS

resource.type="gcs_bucket" AND
    log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
    proto_payload.method_name="storage.buckets.create" 
Journaux de suppression de bucket GCS

resource.type="gcs_bucket" AND
    log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
    proto_payload.method_name="storage.buckets.delete" 

Requêtes Cloud Tasks

Nom du filtre Expression
Journaux de files d'attente Cloud Tasks

resource.type="cloud_tasks_queue" AND
    resource.labels.queue_id="[QUEUE_ID]"

Requêtes associées à Kubernetes

Nom du filtre Expression
Activité du cluster Google Kubernetes Engine avec erreurs

resource.type="gke_cluster" AND
    log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
    severity="ERROR"
Création du cluster Google Kubernetes Engine

resource.type="gke_cluster" AND
    log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
    proto_payload.method_name="google.container.v1.ClusterManager.CreateCluster"
Déploiement du cluster Kubernetes

resource.type="k8s_cluster" AND
    log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
    proto_payload.method_name:"deployments"
Échec de l'authentification du cluster Kubernetes

resource.type="k8s_cluster" AND
    log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
    proto_payload.authentication_info.principal_email="system:anonymous"
Requêtes d'écriture de cluster Kubernetes sur un secret

resource.type="k8s_cluster" AND
    log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
    proto_payload.method_name="io.k8s.core.v1.secrets" NOT
    proto_payload.method_name="get" NOT
    proto_payload.method_name="list" NOT
    proto_payload.method_name="watch"
Clusters Kubernetes dans us-central1-b

resource.type="k8s_cluster" AND
    resource.labels.location="us-central1-b"
Journaux de livre d'or de conteneur Kubernetes

resource.type="k8s_container" AND
    resource.labels.cluster_name="guestbook"
Requêtes de pod Kubernetes envoyées par des utilisateurs

resource.type="k8s_cluster" AND
    log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
    proto_payload.method_name:"io.k8s.core.v1.pods" AND
    proto_payload.authentication_info.principal_email="[USER_EMAIL]"

Requêtes d'application de l'agent Logging

Nom du filtre Expression
Journaux Apache

resource.type="gce_instance" AND
    (log_name:"/apache-access" OR log_name:"/apache-error")
Journaux Cassandra

resource.type="gce_instance" AND
    log_name="projects/[PROJECT_ID]/logs/cassandra"
Journaux Chef

resource.type="gce_instance" AND
    log_name:"projects/[PROJECT_ID]/logs/chef-"
Journaux gitlab

resource.type="gce_instance"
    log_name:"projects/[PROJECT_ID]/logs/gitlab-" 
Journaux Jenkins

resource.type="gce_instance" AND
    log_name="projects/[PROJECT_ID]/logs/jenkins"
Journaux Jetty

resource.type="gce_instance" AND
    log_name:"projects/[PROJECT_ID]/logs/jetty-"
Journaux Joomla

resource.type="gce_instance" AND
    log_name="projects/[PROJECT_ID]/logs/joomla"
Journaux syslog Linux

resource.type="gce_instance" AND
    log_name="projects/[PROJECT_ID]/logs/syslog"
Journaux Magneto

resource.type="gce_instance" AND
    log_name:"projects/[PROJECT_ID]/logs/magneto-"
Journaux MediaWiki

resource.type="gce_instance" AND
    log_name="projects/[PROJECT_ID]/logs/mediawiki"
Journaux memcached

resource.type="gce_instance" AND
    log_name="projects/[PROJECT_ID]/logs/memcached"
Journaux Mongodb

resource.type="gce_instance" AND
    log_name="projects/[PROJECT_ID]/logs/mongodb"
Journaux MySQL

resource.type="gce_instance" AND
    log_name="projects/[PROJECT_ID]/logs/mysql"
Journaux Nginx

resource.type="gce_instance" AND
    log_name:"projects/[PROJECT_ID]/logs/nginx-"
Journaux PostgreSQL

resource.type="gce_instance" AND
    log_name="projects/[PROJECT_ID]/logs/postgresql"
Journaux Puppet

resource.type="gce_instance" AND
    log_name:"projects/[PROJECT_ID]/logs/puppet-"
Journaux RabbitMQ

resource.type="gce_instance" AND
    log_name:"projects/[PROJECT_ID]/logs/rabbitmq-"
Journaux Redmine

resource.type="gce_instance" AND
    log_name="projects/[PROJECT_ID]/logs/redmine"
Journaux Salt

resource.type="gce_instance" AND
    log_name:"projects/[PROJECT_ID]/logs/salt-"
Requêtes MySQL lentes

resource.type="gce_instance" AND
    log_name="projects/[PROJECT_ID]/logs/mysql-slow"
Journaux Solr

resource.type="gce_instance" AND
    log_name="projects/[PROJECT_ID]/logs/solr"
Journaux SugarCRM

resource.type="gce_instance" AND
    log_name="projects/[PROJECT_ID]/logs/sugarcrm"
Journaux Tomcat

resource.type="gce_instance" AND
    log_name="projects/[PROJECT_ID]/logs/tomcat"
Journaux Zookeeper

resource.type="gce_instance" AND
    log_name="projects/[PROJECT_ID]/logs/zookeeper"

Requêtes de mise en réseau

Nom du filtre Expression
Tous les journaux de pare-feu

resource.type="gce_subnetwork" AND
    log_name="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Ffirewall"
Journaux de pare-feu par pays

resource.type="gce_subnetwork" AND
    log_name="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Ffirewall" AND
    json_payload.remote_location.country=[COUNTRY_ISO_ALPHA_3]
Journaux de pare-feu par VM

resource.type="gce_subnetwork" AND
    log_name="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Ffirewall" AND
    json_payload.instance.vm_name="[INSTANCE_NAME]"
Journaux de sous-réseau de pare-feu

resource.type="gce_subnetwork" AND
    log_name="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Ffirewall" AND
    resource.labels.subnetwork_name="[SUBNET_NAME]"
Journaux de trafic d'un sous-réseau Compute Engine vers un sous-réseau

resource.type="gce_subnetwork" AND
    ip_in_net(json_payload.connection.dest_ip, "[SUBNET_IP]")
Journaux de flux VPC

resource.type="gce_subnetwork" AND
    log_name="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Fvpc_flows"
Journaux de flux VPC pour un port et un protocole spécifiques

resource.type="gce_subnetwork" AND
    log_name="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Fvpc_flows" AND
    json_payload.connection.src_port="[PORT_ID]" AND
    json_payload.connection.protocol="[PROTOCOL]"
Journaux de flux VPC pour un sous-réseau spécifique

resource.type="gce_subnetwork" AND
    log_name="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Fvpc_flows" AND
    resource.labels.subnetwork_name"=[SUBNET_NAME]"
Journaux de flux VPC pour un préfixe de sous-réseau spécifique

resource.type="gce_subnetwork" AND
    log_name="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Fvpc_flows" AND
    ip_in_net(json_payload.connection.dest_ip,[SUBNET_IP])
Journaux de flux VPC pour des VM spécifiques

resource.type="gce_subnetwork" AND
    log_name="projects/[PROJECT_ID]/logs/compute.googleapis.com%2Fvpc_flows" AND
    json_payload.src_instance.vm_name="[VM_NAME]"
Journaux de passerelle VPN

resource.type="vpn_gateway" AND
    resource.labels.gateway_id="[GATEWAY_ID]"
Erreurs 5xx de l'équilibreur de charge HTTP

resource.type="http_load_balancer" AND
    http_request.status>=500
Requêtes de l'équilibreur de charge HTTP à phpMyAdmin

resource.type="http_load_balancer" AND
    http_request.request_url:"phpmyadmin"

Requêtes de journaux de sécurité

Nom du filtre Expression
Tous les journaux d'audit

log_name:"projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com"
Journaux d'audit pour Access Transparency (AXT)

log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Faccess_transparency"
Journaux d'audit des activités d'administration

log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity"
Journaux d'audit de l'accès aux données

log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fdata_access"
Journaux d'audit des événements système

log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Fsystem_event"

Requêtes d'opérations

Nom du filtre Expression
Activités de récepteur de journaux

resource.type="logging_sink" AND
    log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity"
Activités de création ou de mise à jour de métrique basée sur les journaux

resource.type="metric" AND
    log_name="projects/[PROJECT_ID]/logs/cloudaudit.googleapis.com%2Factivity" AND
    proto_payload.method_name:(UpdateLogMetric OR CreateLogMetric)
Tests de disponibilité d'URL pour un hôte

resource.type="uptime_url" AND
    resource.labels.host="[URL]"

Dépannage

Pour en savoir plus sur la syntaxe des requêtes avancées et obtenir des instructions de dépannage, consultez la section Requêtes de journaux avancées.

Étape suivante

Pour obtenir des informations détaillées sur la syntaxe des requêtes qui vous permet de les personnaliser, consultez la section Requêtes de journaux avancées.