サンプルクエリ

このページでは、重要なログの検索を容易にする推奨クエリを提供します。ここに示すすべてのクエリは、ログビューア(従来版とプレビュー版の両方)、Logging APIコマンドライン インターフェースで適用できますが、このページではログビューアでクエリを使用する方法を中心に説明します。

高度なログクエリとは、プロジェクトのログエントリ全体のうちの特定部分を指定するブール式のことです。このようなクエリを使用して、特定のログまたはログサービスからのログエントリや、メタデータまたはユーザー定義フィールドに関する条件を満たすログエントリを選択できます。高度なクエリの詳細については、高度なログクエリをご覧ください。

高度なクエリのスタートガイド

このページに表示されるクエリは、ログビューアの高度なクエリ インターフェースで使用することが想定されています。

ログビューアで高度なクエリ インターフェースに移動するには、以下の手順に従います。

  1. Cloud Console で Google Cloud のオペレーション スイートの [Logging] > [ログ](ログビューア)ページに移動します。

    ログビューア ページに移動

  2. Google Cloud プロジェクトを選択します。

  3. 検索フィルタ ボックスの右端にあるプルダウン矢印(▾)をクリックして、[高度なフィルタに変換] を選択します。

    高度なログクエリに変換

    高度なログクエリ インターフェースが表示されます。ログクエリは、ログエントリの特定のセットを選択できるようになっているため、ユーザー インターフェースでは「フィルタ」のラベルが付いています。

クエリの使用

次の表のクエリを適用するには、式の行の末尾にあるクリップボードのアイコン をクリックし、コピーした式を高度なクエリ インターフェースの検索ボックスに貼り付けます。

高度なクエリの検索ボックス

クエリに一致するログが検索クエリボックスの下に表示されます。

以下に示すクエリの中には変数(角かっこ [] で示される)が含まれるものがあり、これらは有効な値に置き換える必要があります。クエリに logName が含まれる場合、指定する [PROJECT_ID] は現在選択されている Google Cloud プロジェクトを参照する必要があります。そうしないと、クエリは機能しません。詳細については、トラブルシューティングをご覧ください。

タイムスタンプを含むクエリを作成する場合は、検索クエリボックスの下にある時間範囲セレクタから [制限なし] を選択する必要があります。

以下のセクションでは、Google Cloud サービスによるクエリをグループ化しています。

App Engine のクエリ

フィルタ名
App Engine の大晦日(UTC 時間)のログ

resource.type="gae_app" AND
severity>=ERROR AND
timestamp>="2018-12-31T00:00:00Z" AND timestamp<="2019-01-01T00:00:00Z" 
App Engine のサーバーエラーを含むリクエストログ

resource.type="gae_app" AND
log_id("appengine.googleapis.com/request_log") AND
httpRequest.status>=500 
HTTP エラーログからのサンプリング

resource.type="gae_app" AND
protoPayload.status >= 400 AND
sample(insertId, 0.1) 
App Engine トレース ID で検索

resource.type="gae_app" AND
trace="projects/[PROJECT_ID]/traces/[TRACE_ID]" 

BigQuery のクエリ

フィルタ名
BigQuery の監査ログ

resource.type=("bigquery_dataset" OR "bigquery_project") AND
logName:"cloudaudit.googleapis.com" 
プロジェクトの BigQuery 監査ログ

resource.type="bigquery_project" AND
logName:"cloudaudit.googleapis.com" 
データセットの BigQuery 監査ログ

resource.type="bigquery_dataset" AND
logName:"cloudaudit.googleapis.com" 
BI Engine モデルの BigQuery 監査ログ

resource.type="bigquery_biengine_model" AND
logName:"cloudaudit.googleapis.com" 
Data Transfer Service Run の BigQuery 監査ログ

resource.type="bigquery_dts_run" AND
logName:"cloudaudit.googleapis.com" 
Data Transfer Service 構成の BigQuery 監査ログ

resource.type="bigquery_dts_config" AND
logName:"cloudaudit.googleapis.com" 
BigQuery Data Transfer Service のジョブ

resource.type=("bigquery_project") AND
protoPayload.requestMetadata.callerSuppliedUserAgent="BigQuery Data Transfer Service" AND
protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR "google.cloud.bigquery.v2.JobService.Query") 
BigQuery データセットの更新

resource.type="bigquery_dataset" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.cloud.bigquery.v2.DatasetService.UpdateDataset" 
BigQuery ジョブの完了

resource.type="bigquery_project" AND
log_id("cloudaudit.googleapis.com/data_access") AND
protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR "google.cloud.bigquery.v2.JobService.Query") 
BigQuery の大規模クエリ

resource.type="bigquery_project" AND
protoPayload.metadata.jobChange.job.jobStats.queryStats.totalBilledBytes>1073741824 
BigQuery の割り当て超過

resource.type=("bigquery_dataset" OR "bigquery_project") AND
protoPayload.status.code=8 AND
severity>=WARNING 
BigQuery のクエリ開始

resource.type="bigquery_project" AND
protoPayload.metadata.jobInsertion.reason:*

Dataflow のクエリ

フィルタ名
Dataflow ワーカーのエラーと警告

resource.type="dataflow_step" AND
log_id("dataflow.googleapis.com/worker") AND
severity>=WARNING 

Dataproc のクエリ

フィルタ名
Dataproc Apache Hadoop のログ

resource.type="cloud_dataproc_cluster" AND
jsonPayload.class:"org.apache.hadoop.mapreduce" 

Cloud Deployment Manager

フィルタ名
Deployment Manager のエラー

resource.type="deployment" AND
severity>=ERROR 

Cloud Functions のクエリ

フィルタ名
Cloud 関数のエラー

resource.type="cloud_function" AND
log_id("cloudfunctions.googleapis.com/cloud-functions") AND
severity>=ERROR 

Cloud Identity and Access Management のクエリ

フィルタ名
サービス アカウント作成のログ

resource.type="service_account" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.iam.admin.v1.CreateServiceAccount" 
サービス アカウント作成キーのログ

resource.type="service_account" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.iam.admin.v1.CreateServiceAccountKey" 
アクセス制御ポリシー設定のログ

resource.type="project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="SetIamPolicy" 
外部メンバーが組織へのアクセスを許可

resource.type="project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog" AND
protoPayload.request.@type:"IamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:* AND
NOT protoPayload.serviceData.policyDelta.bindingDeltas.member:"@[DOMAIN_NAME].com" 
リソースの作成、変更、削除

log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:("create" OR "delete" OR "update")

Cloud Source Repositories のクエリ

フィルタ名
Cloud Source Repositories のリポジトリのログ

resource.type="csr_repository" AND
resource.labels.name="[REPOSITORY_NAME]"

Cloud Spanner のクエリ

フィルタ名
Cloud Spanner の特定 Spanner インスタンスのログ

resource.type="spanner_instance" AND
resource.labels.instance_id="[SPANNER_INSTANCE]"

Cloud SQL のクエリ

フィルタ名
Cloud SQL の監査ログ

resource.type="cloudsql_database" AND
resource.labels.database_id="[DATABASE_ID]" AND
log_id("cloudaudit.googleapis.com/activity")
Cloud SQL MySQL のエラーログ

resource.type="cloudsql_database" AND
log_id("cloudsql.googleapis.com/mysql.err")
Cloud SQL の MySQL ベースのデータベース

resource.type="cloudsql_database" AND
resource.labels.database_id="[DATABASE_ID]" AND
log_id("cloudsql.googleapis.com/mysql")
Cloud SQL の Postgres ベースのデータベース

resource.type="cloudsql_database" AND
resource.labels.database_id="[DATABASE_ID]" AND
log_id("cloudsql.googleapis.com/postgres.log")

Compute Engine のクエリ

フィルタ名
Google Compute Engine の管理アクティビティ ログ

resource.type="gce_instance" AND
log_id("cloudaudit.googleapis.com/activity")
Google Compute Engine のファイアウォール ルールの削除

resource.type="gce_firewall_rule" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"firewalls.delete" 
Google Compute Engine の VM の syslog

resource.type="gce_instance" AND
log_id("syslog") 

Cloud Storage のクエリ

フィルタ名
GCS バケットのログ

resource.type="gcs_bucket" AND
resource.labels.bucket_name="[BUCKET_NAME]"
GCS バケットの監査ログ

resource.type="gcs_bucket" AND
logName:"cloudaudit.googleapis.com" 
GCS バケットの作成ログ

resource.type="gcs_bucket" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.method_name="storage.buckets.create" 
GCS バケットの削除ログ

resource.type="gcs_bucket" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.method_name="storage.buckets.delete" 

Cloud Tasks のクエリ

フィルタ名
Cloud Tasks キューのログ

resource.type="cloud_tasks_queue" AND
resource.labels.queue_id="[QUEUE_ID]"

Kubernetes 関連のクエリ

管理アクティビティ監査ログクエリの概要と例については、GKE 監査ログのページをご覧ください。

クラスタレベルのクエリ

フィルタ名
Google Kubernetes Engine クラスタの操作

resource.type="gke_cluster" AND
log_id("cloudaudit.googleapis.com/activity")
Google Kubernetes Engine クラスタの作成

resource.type="gke_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.container.v1.ClusterManager.CreateCluster"
      
Kubernetes クラスタのデプロイ

resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"deployments"
      
Kubernetes クラスタ認証の失敗

resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.authenticationInfo.principalEmail="system:anonymous"
      
us-central1-b の Kubernetes クラスタの操作とイベント

resource.type="k8s_cluster" AND
resource.labels.location="us-central1-b"
      
ユーザーからの Kubernetes Pod リクエスト

resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"io.k8s.core.v1.pods" AND
protoPayload.authenticationInfo.principalEmail="[USER_EMAIL]"
      
Kubernetes イベント

resource.type="k8s_cluster" AND
log_id("events")
      
Kubernetes Endpoints の更新

resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.request.kind="Endpoints"
      
Kubernetes コントロール プレーンのログ

resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.serviceName="k8s.io"
      
Kubernetes Engine コントロール プレーンのログ

resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.serviceName="container.googleapis.com"
      
Pod の削除

resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName=~"io\.k8s\.core\.v1\.pods\.(create|delete)"
      
コントロール プレーンからの Kubernetes Pod 監査ログ

resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.resourceName="core/v1/namespaces/POD_NAMESPACE/pods/POD_NAME
      
Kubernetes ポッドの強制排除

resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="io.k8s.core.v1.pods.eviction.create"
      
コントロール プレーンからの Kubernetes ノード監査ログ

resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"io.k8s.core.v1.nodes"
      
アドオン マネージャー アクティビティの Kubernetes クラスタ コントロール プレーン

resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.authenticationInfo.principalEmail="system:addon-manager"
      
Kubernetes コントロール プレーンのエラー(通常の Conflict を除く)

resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.status.message!="Conflict" AND
protoPayload.status.code!=0
      
Ingress コントローラ イベント

resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="loadbalancer-controller"
      
サービス コントローラ イベント(kube-controller-manager)

resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="service-controller"
      
クラスタ オートスケーラー イベント

resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="cluster-autoscaler"
      

Pod レベルのクエリ

フィルタ名
作成中のクエリ Pod

resource.type="k8s_pod" AND
resource.labels.pod_name="POD_NAME" AND
log_id("events")
      
スケジューラ イベント

resource.type="k8s_pod" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="default-scheduler"
      
スケジューラ イベント(プリエンプション)

resource.type="k8s_pod" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="default-scheduler" AND
jsonPayload.reason="Preempted"
      

ノードレベルのクエリ

フィルタ名
ノードイベント

resource.type="k8s_node" AND
log_id("events")
      
Kube-proxy ログの確認

resource.type="k8s_node" AND
log_id("kube-proxy")
      
Dockerd ログの確認

resource.type="k8s_node" AND
log_id("container-runtime")
      
kubelet エラーまたは失敗を確認する

resource.type="k8s_node" AND
log_id("kubelet") AND
jsonPayload.MESSAGE:("error" OR "fail")
      

コンテナクエリ

フィルタ名
クラスタ内のすべての Pod とコンテナの標準出力コンテナログ

resource.type="k8s_container" AND
log_id("stdout")
      
クラスタ内のすべてのPod とコンテナのコンテナ エラー ログ

resource.type="k8s_container" AND
log_id("stderr") AND
severity=ERROR
      
特定の名前のPodのコンテナ エラー ログ

resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
severity=ERROR
      
特定の Pod 内の特定のコンテナのコンテナ エラー ログ

resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
resource.labels.container_name="server" AND
severity=ERROR
      
特定の名前空間とコンテナのコンテナ エラー ログ

resource.type="k8s_container" AND
resource.labels.namespace_name="istio-system" AND
resource.labels.container_name="egressgateway" AND
severity=ERROR
      
特定のラベルを持つ Pod のコンテナログ

resource.type="k8s_container" AND
labels."k8s-pod/app"="loadgenerator" AND
severity=ERROR
      
skaffold を使用して生成されたラベルを持つ Pod のコンテナログ

resource.type="k8s_container" AND
labels."k8s-pod/app"="loadgenerator" AND
labels."k8s-pod/skaffold_dev/run-id"=[SKAFFOLD_RUN_ID]
severity=ERROR
      
textPayload に POST を含む特定の Pod のコンテナ エラー ログ

resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
textPayload:"POST" AND
severity=ERROR
      
構造化 JSON に GET を含む特定の Pod のコンテナ エラー ログ

resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
jsonPayload."http.req.method"="GET" AND
severity=ERROR
      
kube-system 名前空間のコンテナ エラー ログ

resource.type="k8s_container" AND
resource.labels.namespace_name="kube-system" AND
severity=ERROR
      
コンテナ インサイト ログのコンテナエラー

resource.type="k8s_container" AND
log_id("clouderrorreporting.googleapis.com/insights")
      
Kubernetes コンテナのログ

resource.type="k8s_container" AND
resource.labels.cluster_name="CONTAINER_NAME"
      

Logging エージェントのアプリケーションのクエリ

フィルタ名
Apache のログ

resource.type="gce_instance" AND
(logName:"/apache-access" OR logName:"/apache-error")
Cassandra のログ

resource.type="gce_instance" AND
log_id("cassandra")
Chef のログ

resource.type="gce_instance" AND
logName:"projects/[PROJECT_ID]/logs/chef-"
Gitlab のログ

resource.type="gce_instance"
logName:"projects/[PROJECT_ID]/logs/gitlab-" 
Jenkins のログ

resource.type="gce_instance" AND
log_id("jenkins")
Jetty のログ

resource.type="gce_instance" AND
logName:"projects/[PROJECT_ID]/logs/jetty-"
Joomla のログ

resource.type="gce_instance" AND
log_id("joomla")
Linux の syslog

resource.type="gce_instance" AND
log_id("syslog")
Magneto のログ

resource.type="gce_instance" AND
logName:"projects/[PROJECT_ID]/logs/magneto-"
Mediawiki のログ

resource.type="gce_instance" AND
log_id("mediawiki")
memcached のログ

resource.type="gce_instance" AND
log_id("memcached")
MongoDB のログ

resource.type="gce_instance" AND
log_id("mongodb")
MySQL のログ

resource.type="gce_instance" AND
log_id("mysql")
Nginx のログ

resource.type="gce_instance" AND
logName:"projects/[PROJECT_ID]/logs/nginx-"
PostgreSQL のログ

resource.type="gce_instance" AND
log_id("postgresql")
Puppet のログ

resource.type="gce_instance" AND
logName:"projects/[PROJECT_ID]/logs/puppet-"
RabbitMQ のログ

resource.type="gce_instance" AND
logName:"projects/[PROJECT_ID]/logs/rabbitmq-"
Redmine のログ

resource.type="gce_instance" AND
log_id("redmine")
Salt のログ

resource.type="gce_instance" AND
logName:"projects/[PROJECT_ID]/logs/salt-"
MySQL のスロークエリ

resource.type="gce_instance" AND
log_id("mysql-slow")
Solr のログ

resource.type="gce_instance" AND
log_id("solr")
SugarCRM のログ

resource.type="gce_instance" AND
log_id("sugarcrm")
Tomcat のログ

resource.type="gce_instance" AND
log_id("tomcat")
Zookeeper のログ

resource.type="gce_instance" AND
log_id("zookeeper")

ネットワーキングのクエリ

フィルタ名
ファイアウォールのすべてのログ

resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall")
特定の国のファイアウォール ログ

resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
jsonPayload.remote_location.country=[COUNTRY_ISO_ALPHA_3]
VM からのファイアウォール ログ

resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
jsonPayload.instance.vm_name="[INSTANCE_NAME]"
サブネット指定のファイアウォール ログ

resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
resource.labels.subnetwork_name="[SUBNET_NAME]"
宛先サブネット指定の Compute Engine サブネットワーク トラフィック ログ

resource.type="gce_subnetwork" AND
ip_in_net(jsonPayload.connection.dest_ip, "[SUBNET_IP]")
VPC フローログ

resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows")
ポート、プロトコル指定の VPC フローログ

resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
jsonPayload.connection.src_port="[PORT_ID]" AND
jsonPayload.connection.protocol="[PROTOCOL]"
サブネット指定の VPC フローログ

resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
resource.labels.subnetwork_name"=[SUBNET_NAME]"
サブネット プレフィックス指定の VPC フローログ

resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
ip_in_net(jsonPayload.connection.dest_ip,[SUBNET_IP])
特定の VM の VPC フローログ

resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
jsonPayload.src_instance.vm_name="[VM_NAME]"
VPN ゲートウェイのログ

resource.type="vpn_gateway" AND
resource.labels.gateway_id="[GATEWAY_ID]"
HTTP ロードバランサの 5xx エラー

resource.type="http_load_balancer" AND
httpRequest.status>=500
HTTP ロードバランサの phpMyAdmin へのリクエスト

resource.type="http_load_balancer" AND
httpRequest.request_url:"phpmyadmin"

セキュリティ ロギングのクエリ

フィルタ名
監査ログ - すべて

logName:"cloudaudit.googleapis.com"
監査ログ - アクセスの透明性(AXT)

log_id("cloudaudit.googleapis.com/access_transparency")
監査ログ - 管理アクティビティ

log_id("cloudaudit.googleapis.com/activity")
監査ログ - データアクセス

log_id("cloudaudit.googleapis.com/data_access")
監査ログ - システム イベント

log_id("cloudaudit.googleapis.com/system_event")

Google Cloud のオペレーション スイートのクエリ

フィルタ名
ログシンク アクティビティ

resource.type="logging_sink" AND
log_id("cloudaudit.googleapis.com/activity")
ログベースの指標の作成または更新のアクティビティ

resource.type="metric" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:(UpdateLogMetric OR CreateLogMetric)
指定ホストの URL 稼働時間チェック

resource.type="uptime_url" AND
resource.labels.host="[URL]"

トラブルシューティング

高度なクエリの構文とトラブルシューティングの手順の詳細については、高度なログクエリをご覧ください。

次のステップ

これらのクエリをカスタマイズするために使用できるクエリ構文の詳細については、高度なログクエリをご覧ください。