Cette page a été traduite par l'API Cloud Translation.

Exemples de requêtes

Ce document propose des suggestions de requêtes pour vous aider à trouver plus facilement les journaux importants à l'aide de l'explorateur de journaux de la console Google Cloud. Les requêtes répertoriées sont écrites Langage de requête Logging Elles peuvent être utilisées L'explorateur de journaux, la API Logging, ou interface de ligne de commande.

L'explorateur de journaux utilise des expressions booléennes pour spécifier un sous-ensemble parmi toutes les entrées de journal d'un projet. Vous pouvez utiliser ces requêtes pour choisir des entrées de journal provenant de journaux ou de services de journalisation spécifiques, ou qui remplissent les conditions définies sur les métadonnées ou les champs définis par l'utilisateur.

Avant de commencer

Assurez-vous de disposer des autorisations ou des rôles Identity and Access Management appropriés pour créer des requêtes à l'aide de l'explorateur de journaux. Pour en savoir plus sur les autorisations IAM nécessaires, consultez la page Autorisations pour la console Google Cloud.

Commencer

Dans la console Google Cloud, accédez à la page Explorateur de journaux.
Accéder à l'explorateur de journaux

Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Logging.
Sélectionnez le projet Google Cloud approprié ou un autre projet Google Cloud pour laquelle vous souhaitez afficher les journaux.

Utiliser les exemples de requêtes

Pour appliquer une requête à partir des tableaux suivants, cliquez sur le bouton Icône Contenu copié pour l'expression, puis coller l'expression copiée le champ de l'éditeur de requête de l'explorateur de journaux.

La capture d'écran suivante illustre le volet de requête:

L'éditeur de requête indique où saisir une requête

Si vous ne voyez pas le champ de l'éditeur de requête, activez l'option Afficher la requête.

Après avoir examiné l'expression de votre requête, cliquez sur Run query (Exécuter la requête). Les journaux correspondant à votre requête sont répertoriés sous les résultats de la requête.

Certaines des requêtes présentées plus loin sur cette page contiennent des variables que vous devez à remplacer par des valeurs valides. Par exemple, lorsqu'une requête inclut logName, alors le PROJECT_ID que vous indiquez doit faire référence à l'ID actuellement sélectionné projet Google Cloud. sinon la requête ne fonctionnera pas.

Veuillez noter les points suivants :

Lorsque vous rédigez une requête avec un horodatage, le sélecteur de période est désactivé et la requête utilise l'expression d'horodatage comme restriction de période. Si une requête n'utilise pas d'expression de code temporel, la requête utilise le sélecteur de période comme restriction de période.
La longueur d'une requête ne doit pas dépasser 20 000 caractères.
Langage de requête Logging n'est pas sensible à la casse, à l'exception des expressions régulières.
Vous pouvez utiliser la fonction log_id pour les requêtes avec un log_name. . Par exemple, l'expression log_name="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access" est identique à log_id("cloudaudit.googleapis.com/data_access"). Pour en savoir plus sur la fonction log_id, consultez Langage de requête Logging: fonctions

Pour savoir comment effectuer des requêtes dans la console Google Cloud, consultez Créez des requêtes dans l'explorateur de journaux.

Les sections suivantes regroupent les requêtes par service Google Cloud.

Requêtes App Engine

Nom de la requête/du filtre	Expression
Journaux App Engine du Nouvel An (dans le fuseau horaire UTC)	resource.type="gae_app" AND severity>=ERROR AND timestamp>="2018-12-31T00:00:00Z" AND timestamp<="2019-01-01T00:00:00Z"
Journaux de requête App Engine avec erreurs serveur	resource.type="gae_app" AND log_id("appengine.googleapis.com/request_log") AND httpRequest.status>=500
Échantillons de journaux d'erreurs HTTP	resource.type="gae_app" AND protoPayload.status >= 400 AND sample(insertId, 0.1)
Recherche de l'ID de trace App Engine	resource.type="gae_app" AND trace="projects/`PROJECT_ID`/traces/`TRACE_ID`"
Journaux App Engine	resource.type="gae_app" AND resource.labels.module_id="`MODULE_ID`" AND resource.labels.version_id="`VERSION_ID`"
Déploiements App Engine récents	resource.type="gae_app" AND protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog" AND protoPayload.serviceName="appengine.googleapis.com"

Activer et désactiver les requêtes d'API

Nom de la requête/du filtre	Expression
Journaux d'activation de l'API Audit	protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.EnableService"
Journaux de désactivation de l'API Audit	protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.DisableService"

Requêtes BigQuery

Nom de la requête/du filtre	Expression
Journaux d'audit BigQuery	resource.type=("bigquery_dataset" OR "bigquery_project") AND logName:"cloudaudit.googleapis.com"
Journaux d'audit BigQuery pour un projet	resource.type="bigquery_project" AND logName:"cloudaudit.googleapis.com"
Journaux d'audit BigQuery pour un ensemble de données	resource.type="bigquery_dataset" AND logName:"cloudaudit.googleapis.com"
Journaux d'audit BigQuery pour un modèle BI Engine	resource.type="bigquery_biengine_model" AND logName:"cloudaudit.googleapis.com"
Journaux d'audit BigQuery pour une exécution du service de transfert de données	resource.type="bigquery_dts_run" AND logName:"cloudaudit.googleapis.com"
Journaux d'audit BigQuery pour la configuration du service de transfert de données	resource.type="bigquery_dts_config" AND logName:"cloudaudit.googleapis.com"
Tâches de service de transfert de données BigQuery	resource.type=("bigquery_project") AND protoPayload.requestMetadata.callerSuppliedUserAgent= "BigQuery Data Transfer Service" AND protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR "google.cloud.bigquery.v2.JobService.Query")
Journaux d'exécution de transfert BigQuery	resource.type="bigquery_dts_config" AND labels.run_id="`RUN_ID`" AND resource.labels.config_id="`CONFIG_ID`"
Mises à jour des ensembles de données BigQuery	resource.type="bigquery_dataset" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName= "google.cloud.bigquery.v2.DatasetService.UpdateDataset"
Tâches BigQuery terminées	resource.type="bigquery_project" AND log_id("cloudaudit.googleapis.com/data_access") AND protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR "google.cloud.bigquery.v2.JobService.Query")
Requêtes BigQuery volumineuses	resource.type="bigquery_project" AND protoPayload.metadata.jobChange.job.jobStats.queryStats.totalBilledBytes > 1073741824
Quota BigQuery dépassé	resource.type=("bigquery_dataset" OR "bigquery_project") AND protoPayload.status.code=8 AND severity>=WARNING
Requête BigQuery démarrée	resource.type="bigquery_project" AND protoPayload.metadata.jobInsertion.reason:*
Jobs de chargement et d'extraction simultanés dans BigQuery	resource.type="bigquery_resource" AND protoPayload.methodName="jobservice.insert" AND protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query: "extract"

Requêtes Dataflow

Nom de la requête/du filtre	Expression
Erreurs et avertissements dans les nœuds de calcul Dataflow	resource.type="dataflow_step" AND log_id("dataflow.googleapis.com/worker") AND severity>=WARNING

Requêtes Dataproc

Nom de la requête/du filtre	Expression
Journaux Dataproc Apache Hadoop	resource.type="cloud_dataproc_cluster" AND jsonPayload.class:"org.apache.hadoop.mapreduce"

Cloud Deployment Manager

Nom de la requête/du filtre	Expression
Erreurs Deployment Manager	resource.type="deployment" AND severity>=ERROR

Requêtes des fonctions Cloud Run

Nom de la requête/du filtre	Expression
Erreurs Cloud Functions	resource.type="cloud_function" AND log_id("cloudfunctions.googleapis.com/cloud-functions") AND severity>=ERROR

Requêtes Cloud Monitoring

Nom de la requête/du filtre	Expression
Afficher toutes les erreurs de canal de notification	resource.type="stackdriver_notification_channel" AND severity>=ERROR
Afficher les erreurs du canal de notification en raison de la limitation	resource.type="stackdriver_notification_channel" AND severity>=ERROR AND jsonPayload.summary="Notification delivery throttled."
Afficher les journaux écrits par la ressource de disponibilité	resource.type="uptime_url"
Afficher les requêtes reçues du service de tests de disponibilité	"GoogleStackdriverMonitoring-UptimeChecks"

Requêtes Cloud Run

Nom de la requête/du filtre	Expression
Journaux Cloud Run pour une tâche spécifique	resource.type="cloud_run_job" AND resource.labels.service_name="`JOB_NAME`"
Journaux Cloud Run pour une révision et un service spécifiques	resource.type="cloud_run_revision" AND resource.labels.service_name="`SERVICE_NAME`"

Requêtes Cloud Source Repositories

Nom de la requête/du filtre	Expression
Journaux Cloud Source Repositories	resource.type="csr_repository" AND resource.labels.name="`REPOSITORY_NAME`"

Requêtes Spanner

Nom de la requête/du filtre	Expression
Journaux Cloud Spanner pour une instance Spanner spécifique	resource.type="spanner_instance" AND resource.labels.instance_id="`SPANNER_INSTANCE`"

Requêtes Cloud SQL

Nom de la requête/du filtre	Expression
Journaux d'audit Cloud SQL	resource.type="cloudsql_database" AND resource.labels.database_id="`DATABASE_ID`" AND log_id("cloudaudit.googleapis.com/activity")
Journaux d'erreurs MySQL Cloud SQL	resource.type="cloudsql_database" AND log_id("cloudsql.googleapis.com/mysql.err")
Bases de données MySQL Cloud SQL	resource.type="cloudsql_database" AND resource.labels.database_id="`DATABASE_ID`" AND log_id("cloudsql.googleapis.com/mysql")
Bases de données Postgres Cloud SQL	resource.type="cloudsql_database" AND resource.labels.database_id="`DATABASE_ID`" AND log_id("cloudsql.googleapis.com/postgres.log")
Journaux d'erreurs Cloud SQL SQL Server	resource.type="cloudsql_database" AND log_id("cloudsql.googleapis.com/sqlserver.err")
Bases de données SQL Server Cloud SQL	resource.type="cloudsql_database" AND resource.labels.database_id="`DATABASE_ID`" AND log_id("cloudsql.googleapis.com/sqlagent.out")

Requêtes Cloud Storage

Nom de la requête/du filtre	Expression
Journaux des buckets GCS	resource.type="gcs_bucket" AND resource.labels.bucket_name="`BUCKET_NAME`"
Journaux d'audit des buckets GCS	resource.type="gcs_bucket" AND logName:"cloudaudit.googleapis.com"
Journaux de création de buckets GCS	resource.type="gcs_bucket" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.method_name="storage.buckets.create"
Journaux de suppression de bucket GCS	resource.type="gcs_bucket" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.method_name="storage.buckets.delete"

Requêtes Cloud Tasks

Nom de la requête/du filtre	Expression
Journaux de files d'attente Cloud Tasks	resource.type="cloud_tasks_queue" AND resource.labels.queue_id="`QUEUE_ID`"

Requêtes Compute Engine

Nom de la requête/du filtre	Expression
Journaux des activités d'administration de Compute Engine	resource.type="gce_instance" AND log_id("cloudaudit.googleapis.com/activity")
Suppression d'une règle de pare-feu Compute Engine	resource.type="gce_firewall_rule" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"firewalls.delete"
Journaux syslog de VM Compute Engine	resource.type="gce_instance" AND log_id("syslog")
Journaux d'authentification de la VM Compute Engine	resource.type="gce_instance" AND log_id("authlog")
Erreur d'hôte Compute Engine	resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName:"OnHostMaintenance" OR operation.producer:"OnHostMaintenance") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="`INSTANCE_ID`" severity=INFO
Hôte Compute Engine migré	resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName: "compute.instances.migrateOnHostMaintenance" OR operation.producer: "compute.instances.migrateOnHostMaintenance") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="`INSTANCE_ID`" severity=INFO
VM Compute Engine arrêtée/préemptée	resource.type="gce_instance" protoPayload.methodName= ~"compute\.instances\.(guestTerminate\|preempted)" log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="`INSTANCE_ID`"
Instance de VM Compute Engine créée	resource.type="gce_instance" protoPayload.methodName:"compute.instances.insert" log_id("cloudaudit.googleapis.com/activity") protoPayload.request.name="`INSTANCE_NAME`"
Instance de VM Compute Engine supprimée avec son nom	resource.type="gce_instance" protoPayload.methodName:"compute.instances.delete" log_id("cloudaudit.googleapis.com/activity") protoPayload.resourceName:"`INSTANCE_NAME`"
Instance de VM Compute Engine supprimée avec son ID	resource.type="gce_instance" protoPayload.methodName:"compute.instances.delete" log_id("cloudaudit.googleapis.com/activity") resource.labels.instance_id="`INSTANCE_ID`"
Instance de VM Compute Engine redémarrée	resource.type="gce_instance" protoPayload.methodName=~"compute\.instances\.( stop\|reset\|automaticRestart\|guestTerminate\| instanceManagerHaltForRestart)" (log_id("cloudaudit.googleapis.com/activity") OR log_id("cloudaudit.googleapis.com/system_event")) resource.labels.instance_id="`INSTANCE_ID`"
Échec de l'intégrité du démarrage des VM protégées Compute Engine	resource.type="gce_instance" log_id("compute.googleapis.com/shielded_vm_integrity") jsonPayload.earlyBootReportEvent.policyEvaluationPassed="false" resource.labels.instance_id="`INSTANCE_ID`"
Instance de VM Compute Engine arrêtée par le système d'exploitation invité	resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName:"compute.instances.guestTerminate" OR operation.producer:"compute.instances.guestTerminate") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="`INSTANCE_ID`" severity=INFO
Le fichier de démarrage de la VM protégée Compute Engine a été bloqué	resource.type="gce_instance" log_id("serialconsole.googleapis.com/serial_port_1_output") textPayload:("Security Violation") resource.labels.instance_id="`INSTANCE_ID`"
Disque persistant créé	resource.type="gce_disk" AND protoPayload.methodName:"compute.disks.insert" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.resourceName: "`PERSISTENT_DISK_NAME`"
Nœuds ajoutés à un nœud à locataire unique	resource.type="gce_node_group" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName=~("compute.nodeGroups.addNodes" OR "compute.nodeGroups.insert") resource.labels.node_group_id="`NODE_GROUP_ID`" severity="INFO"
Événements d'autoscaling dans un nœud à locataire unique	resource.type="gce_node_group" log_id("cloudaudit.googleapis.com/system_event") protoPayload.methodName=~("compute.nodeGroups.deleteNodes" OR "compute.nodeGroups.addNodes") resource.labels.node_group_id="`NODE_GROUP_ID`"
Instantané effectué manuellement	resource.type="gce_snapshot" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.snapshots.insert" protoPayload.resourceName:"`SNAPSHOT_NAME`"
Instantané programmé pris	resource.type="gce_disk" log_id("cloudaudit.googleapis.com/system_event") protoPayload.methodName="ScheduledSnapshots" protoPayload.response.operationType="createSnapshot" protoPayload.response.targetLink="`PERSISTENT_DISK_NAME`"
Programmation d'instantané créée	resource.type="gce_resource_policy" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.resourcePolicies.insert" protoPayload.request.name="`SCHEDULE_NAME`"
Programmation des instantanés associée	resource.type="gce_disk" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.disks.addResourcePolicies" protoPayload.request.resourcePolicys:"`SCHEDULE_NAME`" protoPayload.resourceName:"`PERSISTENT_DISK_NAME`"
Quota dépassé	resource.type="gce_instance" protoPayload.methodName:"compute.instances.insert" protoPayload.status.message:"QUOTA_EXCEEDED" severity=ERROR
Interroger les instances non opérationnelles d'un groupe d'instances	resource.type="gce_instance_group" resource.labels.instance_group_name="`INSTANCE_GROUP_NAME"` jsonPayload.healthCheckProbeResult.healthState="UNHEALTHY"
Interroger les membres d'un groupe d'instances au cours d'une période au format UTC	resource.type="gce_instance_group_manager" resource.labels.instance_group_manager_name="`INSTANCE_GROUP_NAME`" jsonPayload.@type= "type.googleapis.com/compute.InstanceGroupManagerEvent" jsonPayload.instanceHealthStateChange.detailedHealthState="HEALTHY" timestamp >= `START_TIME` timestamp <= `END_TIME`
Instances supprimées du groupe d'instances	resource.type="gce_instance_group" protoPayload.methodName:"compute.instanceGroups.removeInstances" log_id("cloudaudit.googleapis.com/activity") resource.labels.instance_group_name="`INSTANCE_GROUP_NAME`"
Modèle d'instance défini ou mis à jour	resource.type="gce_instance_group_manager" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName= "v1.compute.instanceGroupManagers.setInstanceTemplate" resource.labels.instance_group_manager_name="`INSTANCE_GROUP_MANAGER`"
Règle de pare-feu détectée	resource.type="gce_firewall_rule" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"firewalls.delete"
Journaux de pare-feu	resource.type="gce_subnetwork" log_id("compute.googleapis.com/firewall") jsonPayload.instance.vm_name="`INSTANCE_NAME`"

Requêtes Google Cloud Observability

Nom de la requête/du filtre	Expression
Activités de récepteur de journaux	resource.type="logging_sink" AND log_id("cloudaudit.googleapis.com/activity")
Activités de création ou de mise à jour de métrique basée sur les journaux	resource.type="metric" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:(UpdateLogMetric OR CreateLogMetric)
Tests de disponibilité d'URL pour un hôte	resource.type="uptime_url" AND resource.labels.host="`URL`"

Nom de la requête/du filtre

Expression

Activités de récepteur de journaux

resource.type="logging_sink" AND
log_id("cloudaudit.googleapis.com/activity")

Activités de création ou de mise à jour de métrique basée sur les journaux

resource.type="metric" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:(UpdateLogMetric OR CreateLogMetric)

Tests de disponibilité d'URL pour un hôte

resource.type="uptime_url" AND
resource.labels.host="URL"

Requêtes de gestion de l'authentification et des accès

Nom de la requête/du filtre	Expression
Journaux de création de compte de service	resource.type="service_account" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.iam.admin.v1.CreateServiceAccount"
Journaux des clés de création de compte de service	resource.type="service_account" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.iam.admin.v1.CreateServiceAccountKey"
Journaux de définition des stratégies de contrôle d'accès	resource.type="project" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="SetIamPolicy"
Compte principal externe autorisé à accéder à l'organisation	resource.type="project" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog" AND protoPayload.request.@type:"IamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:* AND NOT protoPayload.serviceData.policyDelta.bindingDeltas.member:"@`DOMAIN_NAME`.com"
Création, modification ou suppression de ressources	log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:("create" OR "delete" OR "update")
Rôle attribué au compte principal	log_id("cloudaudit.googleapis.com/activity") AND resource.type="project" AND protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.action="Add" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:"`EMAIL_ID`"
Rôle supprimé du compte principal	log_id("cloudaudit.googleapis.com/activity") AND resource.type="project" AND protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.action="Remove" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:"`EMAIL_ID`"
Autorisation mise à jour dans un rôle personnalisé	log_id("cloudaudit.googleapis.com/activity") AND resource.type="iam_role" AND protoPayload.serviceName="iam.googleapis.com" AND protoPayload.methodName:"UpdateRole" AND resource.labels.role_name:"`ROLE_ID`"

Requêtes associées à Kubernetes

Vous trouverez une présentation et des exemples de requêtes de journaux d'audit pour les activités d'administration dans la Page des journaux d'audit GKE

Requêtes au niveau du cluster

Nom de la requête/du filtre	Expression
Opérations du cluster Google Kubernetes Engine	resource.type="gke_cluster" AND log_id("cloudaudit.googleapis.com/activity")
Création du cluster Google Kubernetes Engine	resource.type="gke_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.container.v1.ClusterManager.CreateCluster"
Déploiement du cluster Kubernetes	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"deployments"
Échec de l'authentification du cluster Kubernetes	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.authenticationInfo.principalEmail="system:anonymous"
Opérations et événements de cluster Kubernetes dans la zone `us-central1-b`	resource.type="k8s_cluster" AND resource.labels.location="us-central1-b"
Requêtes de pod Kubernetes envoyées par des utilisateurs	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"io.k8s.core.v1.pods" AND protoPayload.authenticationInfo.principalEmail="`USER_EMAIL`"
Événements Kubernetes	resource.type="k8s_cluster" AND log_id("events")
Mise à jour des points de terminaison Kubernetes	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.request.kind="Endpoints"
Journaux du plan de contrôle Kubernetes	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.serviceName="k8s.io"
Journaux du plan de contrôle Kubernetes Engine	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.serviceName="container.googleapis.com"
Suppression des pods	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName=~"io\.k8s\.core\.v1\.pods\.(create\|delete)"
Journaux d'audit des pods Kubernetes à partir du plan de contrôle	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.resourceName="core/v1/namespaces/`POD_NAMESPACE`/pods/`POD_NAME`
Évictions de pods Kubernetes	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="io.k8s.core.v1.pods.eviction.create"
Journaux d'audit des nœuds Kubernetes à partir du plan de contrôle	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"io.k8s.core.v1.nodes"
Plan de contrôle des clusters Kubernetes pour l'activité d'Addon Manager Activity	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.authenticationInfo.principalEmail="system:addon-manager"
Erreurs du plan de contrôle Kubernetes (à l'exception de `Conflict`, ce qui est normal)	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.status.message!="Conflict" AND protoPayload.status.code!=0
Événements du contrôleur d'entrée	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="loadbalancer-controller"
Événements du contrôleur de service (kube-controller-manager)	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="service-controller"
Événements de l'autoscaler de cluster	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="cluster-autoscaler"

Requêtes au niveau du pod

Nom du filtre	Expression
Interrogation du pod lors de la création	resource.type="k8s_pod" AND resource.labels.pod_name="`POD_NAME`" AND log_id("events")
Le pod de requêtes a été arrêté en raison de la pression sur les ressources	resource.type="k8s_pod" AND log_id("events") AND jsonPayload.reason="Evicted"
Événements du programmeur	resource.type="k8s_pod" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="default-scheduler"
Événements du programmeur (préemptions)	resource.type="k8s_pod" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="default-scheduler" AND jsonPayload.reason="Preempted"

Requêtes au niveau du nœud

Nom du filtre	Expression
Événements du nœud	resource.type="k8s_node" AND log_id("events")
Consultation des journaux de Kube-proxy	resource.type="k8s_node" AND log_id("kube-proxy")
Consultation des journaux dockerd	resource.type="k8s_node" AND log_id("container-runtime")
Consultation des erreurs ou des échecs de kubelet	resource.type="k8s_node" AND log_id("kubelet") AND jsonPayload.MESSAGE:("error" OR "fail")
Afficher les journaux de nœuds pour les journaux système de GKE	resource.type = "k8s_node" logName:( "logs/container-runtime" OR "logs/docker" OR "logs/kube-container-runtime-monitor" OR "logs/kube-logrotate" OR "logs/kube-node-configuration" OR "logs/kube-node-installation" OR "logs/kubelet" OR "logs/kubelet-monitor" OR "logs/node-journal" OR "logs/node-problem-detector")

Requêtes d'espace de noms

Nom du filtre	Expression
Journaux de conteneurs et de pods pour les journaux système GKE	resource.type = ("k8s_container" OR "k8s_pod") resource.labels.namespace_name = ( "cnrm-system" OR "config-management-system" OR "gatekeeper-system" OR "gke-connect" OR "gke-system" OR "istio-system" OR "knative-serving" OR "monitoring-system" OR "kube-system")

Nom du filtre

Expression

Journaux de conteneurs et de pods pour les journaux système GKE

resource.type = ("k8s_container" OR "k8s_pod")
resource.labels.namespace_name = (
"cnrm-system" OR
"config-management-system" OR
"gatekeeper-system" OR
"gke-connect" OR
"gke-system" OR
"istio-system" OR
"knative-serving" OR
"monitoring-system" OR
"kube-system")

Requêtes de conteneur

Nom du filtre	Expression
Journaux de conteneurs Stdout sur tous les pods et conteneurs d'un cluster	resource.type="k8s_container" AND log_id("stdout")
Journaux d'erreurs du conteneur sur tous les pods et conteneurs d'un cluster	resource.type="k8s_container" AND log_id("stderr") AND severity=ERROR
Journaux d'erreurs du conteneur pour un pod portant un nom spécifique	resource.type="k8s_container" AND resource.labels.pod_name="`POD_NAME`" AND severity=ERROR
Journaux d'erreurs du conteneur pour un conteneur dans un pod spécifique	resource.type="k8s_container" AND resource.labels.pod_name="`POD_NAME`" AND resource.labels.container_name="server" AND severity=ERROR
Journaux d'erreurs du conteneur pour un espace de noms et un conteneur spécifiques	resource.type="k8s_container" AND resource.labels.namespace_name="istio-system" AND resource.labels.container_name="egressgateway" AND severity=ERROR
Journaux de conteneurs pour un pod avec un libellé spécifique	resource.type="k8s_container" AND labels."k8s-pod/app"="loadgenerator" AND severity=ERROR
Journaux d'erreurs du conteneur pour les pods exécutés sur un nœud spécifique	resource.type="k8s_container" AND labels."compute.googleapis.com/resource_name"=NODE_NAME AND severity=ERROR
Journaux de conteneurs pour un pod avec un libellé généré à l'aide de Skaffold	resource.type="k8s_container" AND labels."k8s-pod/app"="loadgenerator" AND labels."k8s-pod/skaffold_dev/run-id"=`SKAFFOLD_RUN_ID` severity=ERROR
Journaux d'erreurs du conteneur pour un pod spécifique contenant un objet `POST` dans le champ textPayload	resource.type="k8s_container" AND resource.labels.pod_name="`POD_NAME`" AND textPayload:"POST" AND severity=ERROR
Journaux d'erreurs du conteneur pour un pod spécifique contenant un objet `GET` dans le fichier JSON structuré	resource.type="k8s_container" AND resource.labels.pod_name="`POD_NAME`" AND jsonPayload."http.req.method"="GET" AND severity=ERROR
Journaux d'erreurs du conteneur dans l'espace de noms kube-system	resource.type="k8s_container" AND resource.labels.namespace_name="kube-system" AND severity=ERROR
Erreur de conteneur dans le journal d'insights du conteneur	resource.type="k8s_container" AND log_id("clouderrorreporting.googleapis.com/insights")
Journaux de conteneur Kubernetes	resource.type="k8s_container" AND resource.labels.container_name="`CONTAINER_NAME`"

Requêtes du plan de contrôle

Remarque: Les journaux du plan de contrôle GKE doivent être activés.

Nom du filtre	Expression
Journaux du serveur d'API Kubernetes	resource.type="k8s_control_plane_component" resource.labels.component_name="apiserver" resource.labels.location="`CLUSTER_LOCATION`" resource.labels.cluster_name="`CLUSTER_NAME`"
Journaux du programmeur Kubernetes	resource.type="k8s_control_plane_component" resource.labels.component_name="scheduler" resource.labels.location="`CLUSTER_LOCATION`" resource.labels.cluster_name="`CLUSTER_NAME`"
Journaux du gestionnaire de contrôleurs Kubernetes	resource.type="k8s_control_plane_component" resource.labels.component_name="controller-manager" resource.labels.location="`CLUSTER_LOCATION`" resource.labels.cluster_name="`CLUSTER_NAME`"

Nom du filtre

Expression

Journaux du serveur d'API Kubernetes

resource.type="k8s_control_plane_component"
resource.labels.component_name="apiserver"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"

Journaux du programmeur Kubernetes

resource.type="k8s_control_plane_component"
resource.labels.component_name="scheduler"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"

Journaux du gestionnaire de contrôleurs Kubernetes

resource.type="k8s_control_plane_component"
resource.labels.component_name="controller-manager"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"

Requêtes de charge de travail TPU

Remarque: La journalisation des charges de travail et du système GKE doit être activée.

Nom du filtre	Expression
Journaux de conteneurs Stdout sur tous les nœuds TPU avec le même préfixe	resource.type="k8s_container" AND labels."compute.googleapis.com/resource_name"=~"`TPU_NODE_PREFIX`.*" AND log_id("stdout")
Journaux d'erreurs du conteneur sur tous les nœuds TPU ayant le même préfixe	resource.type="k8s_container" AND labels."compute.googleapis.com/resource_name"=~"`TPU_NODE_PREFIX`.*" AND log_id("stderr") AND severity=ERROR
Journaux de conteneurs Stdout issus du même job GKE	resource.type="k8s_container" AND labels."k8s-pod/batch.kubernetes.io/job-name" = "`JOB_NAME`" AND log_id("stdout")
Journaux d'erreurs du conteneur issus de la même tâche GKE	resource.type="k8s_container" AND labels."k8s-pod/batch.kubernetes.io/job-name"="`JOB_NAME`" AND log_id("stderr") AND severity=ERROR
Journaux de conteneurs Stdout issus du même JobSet GKE	resource.type="k8s_container" AND labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="`JOBSET_NAME`" AND log_id("stdout")
Journaux d'erreurs du conteneur du même JobSet GKE	resource.type="k8s_container" AND labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="`JOBSET_NAME`" AND log_id("stderr") AND severity=ERROR

Requêtes d'application de l'agent Logging

Nom de la requête/du filtre	Expression
Journaux Apache	resource.type="gce_instance" AND (logName:"/apache-access" OR logName:"/apache-error")
Journaux Cassandra	resource.type="gce_instance" AND log_id("cassandra")
Journaux Chef	resource.type="gce_instance" AND logName:"projects/`PROJECT_ID`/logs/chef-"
Journaux gitlab	resource.type="gce_instance" logName:"projects/`PROJECT_ID`/logs/gitlab-"
Journaux Jenkins	resource.type="gce_instance" AND log_id("jenkins")
Journaux Jetty	resource.type="gce_instance" AND logName:"projects/`PROJECT_ID`/logs/jetty-"
Journaux Joomla	resource.type="gce_instance" AND log_id("joomla")
Journaux syslog Linux	resource.type="gce_instance" AND log_id("syslog")
Journaux Magneto	resource.type="gce_instance" AND logName:"projects/`PROJECT_ID`/logs/magneto-"
Journaux MediaWiki	resource.type="gce_instance" AND log_id("mediawiki")
Journaux memcached	resource.type="gce_instance" AND log_id("memcached")
Journaux Mongodb	resource.type="gce_instance" AND log_id("mongodb")
Journaux MySQL	resource.type="gce_instance" AND log_id("mysql")
Journaux Nginx	resource.type="gce_instance" AND logName:"projects/`PROJECT_ID`/logs/nginx-"
Journaux PostgreSQL	resource.type="gce_instance" AND log_id("postgresql")
Journaux Puppet	resource.type="gce_instance" AND logName:"projects/`PROJECT_ID`/logs/puppet-"
Journaux RabbitMQ	resource.type="gce_instance" AND logName:"projects/`PROJECT_ID`/logs/rabbitmq-"
Journaux Redmine	resource.type="gce_instance" AND log_id("redmine")
Journaux Salt	resource.type="gce_instance" AND logName:"projects/`PROJECT_ID`/logs/salt-"
Requêtes MySQL lentes	resource.type="gce_instance" AND log_id("mysql-slow")
Journaux Solr	resource.type="gce_instance" AND log_id("solr")
Journaux SugarCRM	resource.type="gce_instance" AND log_id("sugarcrm")
Journaux Tomcat	resource.type="gce_instance" AND log_id("tomcat")
Journaux Zookeeper	resource.type="gce_instance" AND log_id("zookeeper")

Requêtes de mise en réseau

Nom de la requête/du filtre	Expression
Tous les journaux de pare-feu	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall")
Journaux de pare-feu par pays	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND jsonPayload.remote_location.country=`COUNTRY_ISO_ALPHA_3`
Journaux de pare-feu d'une VM	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND jsonPayload.instance.vm_name="`INSTANCE_NAME`"
Journaux de sous-réseau de pare-feu	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND resource.labels.subnetwork_name="`SUBNET_NAME`"
Journaux de trafic d'un sous-réseau Compute Engine vers un sous-réseau	resource.type="gce_subnetwork" AND ip_in_net(jsonPayload.connection.dest_ip, "`SUBNET_IP`")
Journaux de flux VPC	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows")
Journaux de flux VPC pour un port et un protocole spécifiques	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND jsonPayload.connection.src_port="`PORT_ID`" AND jsonPayload.connection.protocol="`PROTOCOL`"
Journaux de flux VPC pour un sous-réseau spécifique	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND resource.labels.subnetwork_name"=`SUBNET_NAME`"
Journaux de flux VPC pour un préfixe de sous-réseau spécifique	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND ip_in_net(jsonPayload.connection.dest_ip,`SUBNET_IP`)
Journaux de flux VPC pour une VM spécifique	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND jsonPayload.src_instance.vm_name="`VM_NAME`"
Journaux de passerelle VPN	resource.type="vpn_gateway" AND resource.labels.gateway_id="`GATEWAY_ID`"
Erreurs 5xx de l'équilibreur de charge HTTP	resource.type="http_load_balancer" AND httpRequest.status>=500
Requêtes de l'équilibreur de charge HTTP à phpMyAdmin	resource.type="http_load_balancer" AND httpRequest.request_url:"phpmyadmin"

Requêtes de sécurité

Nom de la requête/du filtre	Expression
Tous les journaux d'audit	logName:"cloudaudit.googleapis.com"
Journaux d'audit pour Access Transparency (AXT)	log_id("cloudaudit.googleapis.com/access_transparency")
Journaux d'audit des activités d'administration	log_id("cloudaudit.googleapis.com/activity")
Journaux d'audit de l'accès aux données	log_id("cloudaudit.googleapis.com/data_access")
Journaux d'audit des événements système	log_id("cloudaudit.googleapis.com/system_event")

Dépannage

Pour obtenir des instructions sur la résolution des problèmes courants survenant lors de l'utilisation du Explorateur de journaux, consultez Utiliser l'explorateur de journaux: dépannage

Étape suivante

Pour en savoir plus sur la syntaxe des requêtes, qui vous permet de les personnaliser, consultez la page Langage de requête Logging.

Pour en savoir plus sur l'exécution de requêtes dans la console Google Cloud, consultez la page Créer des requêtes à l'aide du langage de requête Logging.