サンプルクエリ

このドキュメントでは、Google Cloud コンソール のログ エクスプローラを使用して、重要なログの検索を容易にする推奨クエリを提供します。リストされているクエリは Logging のクエリ言語で作成されており、ログ エクスプローラLogging API、またはコマンドライン インターフェースで使用できます。

ログ エクスプローラでは、ブール式を使用してプロジェクトのログエントリ全体のうちの特定部分を指定します。このようなクエリを使用して、特定のログまたはログサービスからのログエントリや、メタデータまたはユーザー定義フィールドに関する条件を満たすログエントリを選択できます。

準備

Amazon Web Services(AWS)アカウントから Logging に送信するログを表示するには、Google Cloud Console リソース選択ツールで AWS コネクタ プロジェクトを選択してから、ログ エクスプローラを使用します。AWS コネクタ プロジェクトは、AWS アカウントの Amazon Resource Name(ARN)を保存し、AWS アカウントを Google Cloud サービスにリンクします。詳細については、AWS アカウントから指標を収集するをご覧ください。

ログ エクスプローラを使用してクエリを作成するための適切な Identity and Access Management 権限またはロールがあることを確認します。必要な IAM 権限の詳細については、Google Cloud コンソールの権限をご覧ください。

使ってみる

  1. Google Cloud コンソールで、[ログ エクスプローラ] ページに移動します。

    [ログ エクスプローラ] に移動

    検索バーを使用してこのページを検索する場合は、小見出しが [Logging] である結果を選択します。

  2. ログを表示する対象の適切な Google Cloud プロジェクトまたは他の Google Cloud リソースを選択します。

サンプルクエリを使用する

次の表のクエリを適用するには、式の [コンテンツ コピー] アイコンをクリックし、コピーした式をログ エクスプローラのクエリエディタ フィールドに貼り付けます。

クエリを入力する場所を示すクエリエディタ。

クエリエディタ フィールドが表示されない場合は、[クエリを表示] を有効にします。

クエリ式を確認したら、[クエリを実行] をクリックします。クエリに一致するログが [クエリ結果] の下に表示されます。

このページで後述するクエリの中には、有効な値に置き換える必要がある変数が含まれるものがあります。たとえば、クエリに logName が含まれる場合、指定する PROJECT_ID は現在選択されている Google Cloud プロジェクトを参照する必要があります。そうしないと、クエリは機能しません。

次の点にご注意ください。

  • タイムスタンプのあるクエリの場合、時間範囲セレクタは無効になり、クエリはタイムスタンプ式を時間範囲の制限として使用します。クエリがタイムスタンプ式を使用しない場合、クエリは時間範囲セレクタを時間範囲の制限として使用します。

  • クエリの長さは 20,000 文字以下にする必要があります。

  • Logging のクエリ言語では、正規表現を除き、大文字と小文字が区別されません。

  • log_name 式を使用したクエリでは、log_id 関数を使用できます。たとえば、式 log_name="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access"log_id("cloudaudit.googleapis.com/data_access") と同じです。 log_id 関数の詳細については、Logging クエリ言語: 関数をご覧ください。

Google Cloud コンソールでクエリを実行する手順については、ログ エクスプローラでクエリを作成するをご覧ください。

以下のセクションでは、Google Cloud サービスによるクエリをグループ化しています。

App Engine のクエリ

クエリ / フィルタの名前
App Engine の大晦日(UTC 時間)のログ
resource.type="gae_app" AND
severity>=ERROR AND
timestamp>="2018-12-31T00:00:00Z" AND timestamp<="2019-01-01T00:00:00Z" 
App Engine のサーバーエラーを含むリクエストログ
resource.type="gae_app" AND
log_id("appengine.googleapis.com/request_log") AND
httpRequest.status>=500 
HTTP エラーログからのサンプリング
resource.type="gae_app" AND
protoPayload.status >= 400 AND
sample(insertId, 0.1) 
App Engine トレース ID で検索
resource.type="gae_app" AND
trace="projects/PROJECT_ID/traces/TRACE_ID" 
App Engine のログ
resource.type="gae_app" AND
resource.labels.module_id="MODULE_ID" AND
resource.labels.version_id="VERSION_ID" 
最近の App Engine デプロイ
resource.type="gae_app" AND
protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog" AND
protoPayload.serviceName="appengine.googleapis.com" 

API でクエリを有効または無効にする

クエリ / フィルタの名前
Audit API でログを有効にする
protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.EnableService"
Audit API でログを無効にする
protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.DisableService"

BigQuery のクエリ

クエリ / フィルタの名前
BigQuery 監査ログ
resource.type=("bigquery_dataset" OR "bigquery_project") AND
logName:"cloudaudit.googleapis.com" 
プロジェクトの BigQuery 監査ログ
resource.type="bigquery_project" AND
logName:"cloudaudit.googleapis.com" 
データセットの BigQuery 監査ログ
resource.type="bigquery_dataset" AND
logName:"cloudaudit.googleapis.com" 
BI Engine Model の BigQuery 監査ログ
resource.type="bigquery_biengine_model" AND
logName:"cloudaudit.googleapis.com" 
Data Transfer Service 実行の BigQuery 監査ログ
resource.type="bigquery_dts_run" AND
logName:"cloudaudit.googleapis.com" 
Data Transfer Service 構成の BigQuery 監査ログ
resource.type="bigquery_dts_config" AND
logName:"cloudaudit.googleapis.com" 
BigQuery Data Transfer Service のジョブ
resource.type=("bigquery_project") AND
protoPayload.requestMetadata.callerSuppliedUserAgent=
"BigQuery Data Transfer Service" AND
protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR
"google.cloud.bigquery.v2.JobService.Query") 
BigQuery 転送実行ログ
resource.type="bigquery_dts_config" AND
labels.run_id="RUN_ID" AND
resource.labels.config_id="CONFIG_ID" 
BigQuery データセットの更新
resource.type="bigquery_dataset" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName=
"google.cloud.bigquery.v2.DatasetService.UpdateDataset" 
BigQuery ジョブの完了
resource.type="bigquery_project" AND
log_id("cloudaudit.googleapis.com/data_access") AND
protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob"
OR "google.cloud.bigquery.v2.JobService.Query") 
BigQuery の大規模クエリ
resource.type="bigquery_project" AND
protoPayload.metadata.jobChange.job.jobStats.queryStats.totalBilledBytes
> 1073741824 
BigQuery の割り当て超過
resource.type=("bigquery_dataset" OR "bigquery_project")
AND
protoPayload.status.code=8 AND
severity>=WARNING 
BigQuery のクエリ開始
resource.type="bigquery_project" AND
protoPayload.metadata.jobInsertion.reason:*
BigQuery の同時実行読み込み / 抽出ジョブ
resource.type="bigquery_resource" AND
protoPayload.methodName="jobservice.insert" AND
protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query:
"extract"

Dataflow のクエリ

クエリ / フィルタの名前
Dataflow ワーカーのエラーと警告
resource.type="dataflow_step" AND
log_id("dataflow.googleapis.com/worker") AND
severity>=WARNING 

Dataproc のクエリ

クエリ / フィルタの名前
Dataproc Apache Hadoop のログ
resource.type="cloud_dataproc_cluster" AND
jsonPayload.class:"org.apache.hadoop.mapreduce" 

Cloud Deployment Manager

クエリ / フィルタの名前
Deployment Manager のエラー
resource.type="deployment" AND
severity>=ERROR 

Cloud Run 関数のクエリ

クエリ / フィルタの名前
Cloud 関数のエラー
resource.type="cloud_function" AND
log_id("cloudfunctions.googleapis.com/cloud-functions") AND
severity>=ERROR 

Cloud Monitoring のクエリ

クエリ / フィルタの名前
すべての通知チャンネル
エラーを表示
resource.type="stackdriver_notification_channel" AND
severity>=ERROR 
スロットリングによる通知チャンネル
エラーを表示
resource.type="stackdriver_notification_channel" AND
severity>=ERROR AND
jsonPayload.summary="Notification delivery throttled."
稼働時間リソースによって書き込まれた
ログを表示する
resource.type="uptime_url"
稼働時間チェック サービスから
受信したリクエストを表示する
"GoogleStackdriverMonitoring-UptimeChecks"

Cloud Run クエリ

クエリ / フィルタの名前
特定のジョブの Cloud Run ログ
resource.type="cloud_run_job" AND
resource.labels.service_name="JOB_NAME"
特定のリビジョンとサービスの Cloud Run ログ
resource.type="cloud_run_revision" AND
resource.labels.service_name="SERVICE_NAME"

Cloud Source Repositories のクエリ

クエリ / フィルタの名前
Cloud Source Repositories のリポジトリのログ
resource.type="csr_repository" AND
resource.labels.name="REPOSITORY_NAME"

Spanner のクエリ

クエリ / フィルタの名前
Cloud Spanner の特定 Spanner インスタンスのログ
resource.type="spanner_instance" AND
resource.labels.instance_id="SPANNER_INSTANCE"

Cloud SQL のクエリ

クエリ / フィルタの名前
Cloud SQL の監査ログ
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudaudit.googleapis.com/activity")
Cloud SQL MySQL のエラーログ
resource.type="cloudsql_database" AND
log_id("cloudsql.googleapis.com/mysql.err")
Cloud SQL の MySQL ベースのデータベース
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/mysql")
Cloud SQL の Postgres ベースのデータベース
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/postgres.log")
Cloud SQL SQL Server のエラーログ
resource.type="cloudsql_database" AND
log_id("cloudsql.googleapis.com/sqlserver.err")
Cloud SQL SQL Server ベースのデータベース
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/sqlagent.out")

Cloud Storage のクエリ

クエリ / フィルタの名前
GCS バケットのログ
resource.type="gcs_bucket" AND
resource.labels.bucket_name="BUCKET_NAME"
GCS バケットの監査ログ
resource.type="gcs_bucket" AND
logName:"cloudaudit.googleapis.com" 
GCS バケットの作成ログ
resource.type="gcs_bucket" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.method_name="storage.buckets.create" 
GCS バケットの削除ログ
resource.type="gcs_bucket" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.method_name="storage.buckets.delete" 

Cloud Tasks のクエリ

クエリ / フィルタの名前
Cloud Tasks キューのログ
resource.type="cloud_tasks_queue" AND
resource.labels.queue_id="QUEUE_ID"

Compute Engine のクエリ

クエリ / フィルタの名前
Compute Engine の管理アクティビティ ログ
resource.type="gce_instance" AND
log_id("cloudaudit.googleapis.com/activity")
Compute Engine のファイアウォール ルールの削除
resource.type="gce_firewall_rule" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"firewalls.delete" 
Compute Engine の VM の syslog
resource.type="gce_instance" AND
log_id("syslog") 
Compute Engine VM の認証ログ
resource.type="gce_instance" AND
log_id("authlog") 
Compute Engine ホストエラー
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:"OnHostMaintenance"
OR
operation.producer:"OnHostMaintenance")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO 
移行された Compute Engine ホスト
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:
"compute.instances.migrateOnHostMaintenance" OR
operation.producer:
"compute.instances.migrateOnHostMaintenance")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO 
Compute Engine VM の終了/プリエンプション
resource.type="gce_instance"
protoPayload.methodName=
~"compute\.instances\.(guestTerminate|preempted)"
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID" 
Compute Engine VM インスタンスの作成
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.insert"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.request.name="INSTANCE_NAME" 
名前を使用して Compute Engine VM インスタンスを削除しました
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.delete"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.resourceName:"INSTANCE_NAME" 
ID を使用して Compute Engine VM インスタンスを削除しました
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.delete"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.instance_id="INSTANCE_ID" 
Compute Engine VM インスタンスを再起動しました
resource.type="gce_instance"
protoPayload.methodName=~"compute\.instances\.(
stop|reset|automaticRestart|guestTerminate|
instanceManagerHaltForRestart)"
(log_id("cloudaudit.googleapis.com/activity")
OR log_id("cloudaudit.googleapis.com/system_event"))
resource.labels.instance_id="INSTANCE_ID" 
Compute Engine Shielded VM 起動時の整合性エラー
resource.type="gce_instance"
log_id("compute.googleapis.com/shielded_vm_integrity")
jsonPayload.earlyBootReportEvent.policyEvaluationPassed="false"
resource.labels.instance_id="INSTANCE_ID" 
ゲスト OS によって停止された Compute Engine VM インスタンス
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:"compute.instances.guestTerminate" OR
operation.producer:"compute.instances.guestTerminate")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO 
Compute Engine Shielded VM ブートファイルがブロックされました
resource.type="gce_instance"
log_id("serialconsole.googleapis.com/serial_port_1_output")
textPayload:("Security Violation")
resource.labels.instance_id="INSTANCE_ID" 
永続ディスクが作成されました
resource.type="gce_disk" AND
protoPayload.methodName:"compute.disks.insert" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.resourceName: "PERSISTENT_DISK_NAME"
単一テナントノードに追加されたノード
resource.type="gce_node_group"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName=~("compute.nodeGroups.addNodes"
OR "compute.nodeGroups.insert")
resource.labels.node_group_id="NODE_GROUP_ID"
severity="INFO"
単一テナントノードでのイベントの自動スケーリング
resource.type="gce_node_group"
log_id("cloudaudit.googleapis.com/system_event")
protoPayload.methodName=~("compute.nodeGroups.deleteNodes"
OR "compute.nodeGroups.addNodes")
resource.labels.node_group_id="NODE_GROUP_ID"
手動スナップショット取得
resource.type="gce_snapshot"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.snapshots.insert"
protoPayload.resourceName:"SNAPSHOT_NAME"
スケジュール設定されたスナップショットが取得されました
resource.type="gce_disk"
log_id("cloudaudit.googleapis.com/system_event")
protoPayload.methodName="ScheduledSnapshots"
protoPayload.response.operationType="createSnapshot"
protoPayload.response.targetLink="PERSISTENT_DISK_NAME"
スナップショット スケジュールが作成されました
resource.type="gce_resource_policy"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.resourcePolicies.insert"
protoPayload.request.name="SCHEDULE_NAME"
スナップショット スケジュールが添付されました
resource.type="gce_disk"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.disks.addResourcePolicies"
protoPayload.request.resourcePolicys:"SCHEDULE_NAME"
protoPayload.resourceName:"PERSISTENT_DISK_NAME"
上限を超えています
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.insert"
protoPayload.status.message:"QUOTA_EXCEEDED"
severity=ERROR
インスタンス グループ内の異常なインスタンスをクエリする
resource.type="gce_instance_group"
resource.labels.instance_group_name="INSTANCE_GROUP_NAME"
jsonPayload.healthCheckProbeResult.healthState="UNHEALTHY"
期間内のインスタンス グループ メンバーを UTC 時間形式でクエリする
resource.type="gce_instance_group_manager"
resource.labels.instance_group_manager_name="INSTANCE_GROUP_NAME"
jsonPayload.@type=
"type.googleapis.com/compute.InstanceGroupManagerEvent"
jsonPayload.instanceHealthStateChange.detailedHealthState="HEALTHY"
timestamp >= START_TIME timestamp <= END_TIME 
インスタンス グループから削除されたインスタンス
resource.type="gce_instance_group"
protoPayload.methodName:"compute.instanceGroups.removeInstances"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.instance_group_name="INSTANCE_GROUP_NAME"
インスタンス テンプレートを設定または更新
resource.type="gce_instance_group_manager"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName=
"v1.compute.instanceGroupManagers.setInstanceTemplate"
resource.labels.instance_group_manager_name="INSTANCE_GROUP_MANAGER"
ファイアウォール ルールが削除されました
resource.type="gce_firewall_rule"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"firewalls.delete"
ファイアウォール ログ
resource.type="gce_subnetwork"
log_id("compute.googleapis.com/firewall")
jsonPayload.instance.vm_name="INSTANCE_NAME"

Google Cloud Observability のクエリ

クエリ / フィルタの名前
ログシンク アクティビティ
resource.type="logging_sink" AND
log_id("cloudaudit.googleapis.com/activity")
ログベースの指標の作成または更新のアクティビティ
resource.type="metric" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:(UpdateLogMetric OR CreateLogMetric)
指定ホストの URL 稼働時間チェック
resource.type="uptime_url" AND
resource.labels.host="URL"

Cloud Identity and Access Management のクエリ

クエリ / フィルタの名前
サービス アカウント作成のログ
resource.type="service_account" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.iam.admin.v1.CreateServiceAccount" 
サービス アカウント作成キーのログ
resource.type="service_account" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.iam.admin.v1.CreateServiceAccountKey" 
アクセス制御ポリシー設定のログ
resource.type="project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="SetIamPolicy" 
外部プリンシパルが組織へのアクセスを許可
resource.type="project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog" AND
protoPayload.request.@type:"IamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:* AND
NOT protoPayload.serviceData.policyDelta.bindingDeltas.member:"@DOMAIN_NAME.com" 
リソースの作成、変更、削除
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:("create" OR "delete" OR "update")
プリンシパルに付与されたロール
log_id("cloudaudit.googleapis.com/activity") AND
resource.type="project" AND
protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND
protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.action="Add" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID" 
プリンシパルから削除されたロール
log_id("cloudaudit.googleapis.com/activity") AND
resource.type="project" AND
protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND
protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.action="Remove" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID" 
カスタムロールで更新された権限
log_id("cloudaudit.googleapis.com/activity") AND
resource.type="iam_role" AND
protoPayload.serviceName="iam.googleapis.com" AND
protoPayload.methodName:"UpdateRole" AND
resource.labels.role_name:"ROLE_ID" 

Kubernetes 関連のクエリ

管理アクティビティ監査ログクエリの概要と例については、GKE 監査ログのページをご覧ください。

クラスタレベルのクエリ

クエリ / フィルタの名前
Google Kubernetes Engine クラスタの操作
resource.type="gke_cluster" AND
log_id("cloudaudit.googleapis.com/activity")
Google Kubernetes Engine クラスタの作成
resource.type="gke_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.container.v1.ClusterManager.CreateCluster"
      
Kubernetes クラスタのデプロイ
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"deployments"
      
Kubernetes クラスタ認証の失敗
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.authenticationInfo.principalEmail="system:anonymous"
      
us-central1-b の Kubernetes クラスタの操作とイベント
resource.type="k8s_cluster" AND
resource.labels.location="us-central1-b"
      
ユーザーからの Kubernetes Pod リクエスト
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"io.k8s.core.v1.pods" AND
protoPayload.authenticationInfo.principalEmail="USER_EMAIL"
      
Kubernetes イベント
resource.type="k8s_cluster" AND
log_id("events")
      
Kubernetes Endpoints の更新
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.request.kind="Endpoints"
      
Kubernetes コントロール プレーンのログ
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.serviceName="k8s.io"
      
Kubernetes Engine コントロール プレーンのログ
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.serviceName="container.googleapis.com"
      
Pod の削除
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName=~"io\.k8s\.core\.v1\.pods\.(create|delete)"
      
コントロール プレーンからの Kubernetes Pod 監査ログ
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.resourceName="core/v1/namespaces/POD_NAMESPACE/pods/POD_NAME
      
Kubernetes ポッドの強制排除
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="io.k8s.core.v1.pods.eviction.create"
      
コントロール プレーンからの Kubernetes ノード監査ログ
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"io.k8s.core.v1.nodes"
      
Addon Manager Activity 用の Kubernetes クラスタ コントロール プレーン
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.authenticationInfo.principalEmail="system:addon-manager"
      
Kubernetes コントロール プレーンのエラー(通常の Conflict を除く)
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.status.message!="Conflict" AND
protoPayload.status.code!=0
      
内向きコントローラ イベント
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="loadbalancer-controller"
      
サービス コントローラ イベント(kube-controller-manager)
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="service-controller"
      
クラスタ オートスケーラー イベント
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="cluster-autoscaler"
      

Pod レベルのクエリ

フィルタ名
作成中のクエリ Pod
resource.type="k8s_pod" AND
resource.labels.pod_name="POD_NAME" AND
log_id("events")
      
リソースの負荷が原因でクエリ Pod が終了した
resource.type="k8s_pod" AND
        log_id("events") AND
        jsonPayload.reason="Evicted"
      
スケジューラ イベント
resource.type="k8s_pod" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="default-scheduler"
      
スケジューラ イベント(プリエンプション)
resource.type="k8s_pod" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="default-scheduler" AND
jsonPayload.reason="Preempted"
      

ノードレベルのクエリ

フィルタ名
ノードイベント
resource.type="k8s_node" AND
log_id("events")
      
Kube-proxy ログの確認
resource.type="k8s_node" AND
log_id("kube-proxy")
      
Dockerd ログの確認
resource.type="k8s_node" AND
log_id("container-runtime")
      
kubelet エラーまたは失敗を確認する
resource.type="k8s_node" AND
log_id("kubelet") AND
jsonPayload.MESSAGE:("error" OR "fail")
      
GKE システムログのノードログを確認する
resource.type = "k8s_node"
logName:( "logs/container-runtime" OR
"logs/docker" OR
"logs/kube-container-runtime-monitor" OR
"logs/kube-logrotate" OR
"logs/kube-node-configuration" OR
"logs/kube-node-installation" OR
"logs/kubelet" OR
"logs/kubelet-monitor" OR
"logs/node-journal" OR
"logs/node-problem-detector")
      

名前空間クエリ

フィルタ名
GKE システムログのコンテナログと Pod ログ
resource.type = ("k8s_container" OR "k8s_pod")
resource.labels.namespace_name = (
"cnrm-system" OR
"config-management-system" OR
"gatekeeper-system" OR
"gke-connect" OR
"gke-system" OR
"istio-system" OR
"knative-serving" OR
"monitoring-system" OR
"kube-system")
      

コンテナクエリ

フィルタ名
クラスタ内のすべての Pod とコンテナの標準出力コンテナログ
resource.type="k8s_container" AND
log_id("stdout")
      
クラスタ内のすべてのPod とコンテナのコンテナ エラー ログ
resource.type="k8s_container" AND
log_id("stderr") AND
severity=ERROR
      
特定の名前のPodのコンテナ エラー ログ
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
severity=ERROR
      
特定の Pod 内の特定のコンテナのコンテナ エラー ログ
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
resource.labels.container_name="server" AND
severity=ERROR
      
特定の名前空間とコンテナのコンテナ エラー ログ
resource.type="k8s_container" AND
resource.labels.namespace_name="istio-system" AND
resource.labels.container_name="egressgateway" AND
severity=ERROR
      
特定のラベルを持つ Pod のコンテナログ
resource.type="k8s_container" AND
labels."k8s-pod/app"="loadgenerator" AND
severity=ERROR
      
特定のノードで実行されている Pod のコンテナ エラー ログ
resource.type="k8s_container" AND
labels."compute.googleapis.com/resource_name"=NODE_NAME AND
severity=ERROR
      
skaffold を使用して生成されたラベルを持つ Pod のコンテナログ
resource.type="k8s_container" AND
labels."k8s-pod/app"="loadgenerator" AND
labels."k8s-pod/skaffold_dev/run-id"=SKAFFOLD_RUN_ID
severity=ERROR
      
textPayload に POST を含む特定の Pod のコンテナ エラー ログ
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
textPayload:"POST" AND
severity=ERROR
      
構造化 JSON に GET を含む特定の Pod のコンテナ エラー ログ
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
jsonPayload."http.req.method"="GET" AND
severity=ERROR
      
kube-system 名前空間のコンテナ エラー ログ
resource.type="k8s_container" AND
resource.labels.namespace_name="kube-system" AND
severity=ERROR
      
コンテナ インサイト ログのコンテナエラー
resource.type="k8s_container" AND
log_id("clouderrorreporting.googleapis.com/insights")
      
Kubernetes コンテナのログ
resource.type="k8s_container" AND
resource.labels.container_name="CONTAINER_NAME"
      

コントロール プレーンのクエリ

注: GKE コントロール プレーンのログを有効にする必要があります。
フィルタ名
Kubernetes API サーバーログ
resource.type="k8s_control_plane_component"
resource.labels.component_name="apiserver"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
      
Kubernetes Scheduler のログ
resource.type="k8s_control_plane_component"
resource.labels.component_name="scheduler"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
      
Kubernetes Controller Manager のログ
resource.type="k8s_control_plane_component"
resource.labels.component_name="controller-manager"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
      

TPU ワークロードのクエリ

注: GKE システムとワークロードのロギングを有効にする必要があります。
フィルタ名
同じ接頭辞を持つすべての TPU ノードの標準出力コンテナログ
resource.type="k8s_container" AND
labels."compute.googleapis.com/resource_name"=~"TPU_NODE_PREFIX.*" AND
log_id("stdout")
      
同じ接頭辞を持つすべての TPU ノードのコンテナ エラー ログ
resource.type="k8s_container" AND
labels."compute.googleapis.com/resource_name"=~"TPU_NODE_PREFIX.*" AND
log_id("stderr") AND
severity=ERROR
      
同じ GKE Job の標準出力コンテナログ
resource.type="k8s_container" AND
labels."k8s-pod/batch.kubernetes.io/job-name" = "JOB_NAME" AND
log_id("stdout")
      
同じ GKE ジョブからのコンテナ エラー ログ
resource.type="k8s_container" AND
labels."k8s-pod/batch.kubernetes.io/job-name"="JOB_NAME" AND
log_id("stderr") AND
severity=ERROR
      
同じ GKE JobSet の標準出力コンテナログ
resource.type="k8s_container" AND
labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="JOBSET_NAME" AND
log_id("stdout")
      
同じ GKE JobSet からのコンテナ エラー ログ
resource.type="k8s_container" AND
labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="JOBSET_NAME" AND
log_id("stderr") AND
severity=ERROR
      

Logging エージェントのアプリケーションのクエリ

クエリ / フィルタの名前
Apache のログ
resource.type="gce_instance" AND
(logName:"/apache-access" OR logName:"/apache-error")
Cassandra のログ
resource.type="gce_instance" AND
log_id("cassandra")
Chef のログ
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/chef-"
Gitlab のログ
resource.type="gce_instance"
logName:"projects/PROJECT_ID/logs/gitlab-" 
Jenkins のログ
resource.type="gce_instance" AND
log_id("jenkins")
Jetty のログ
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/jetty-"
Joomla のログ
resource.type="gce_instance" AND
log_id("joomla")
Linux の syslog
resource.type="gce_instance" AND
log_id("syslog")
Magneto のログ
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/magneto-"
Mediawiki のログ
resource.type="gce_instance" AND
log_id("mediawiki")
memcached のログ
resource.type="gce_instance" AND
log_id("memcached")
MongoDB のログ
resource.type="gce_instance" AND
log_id("mongodb")
MySQL のログ
resource.type="gce_instance" AND
log_id("mysql")
Nginx のログ
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/nginx-"
PostgreSQL のログ
resource.type="gce_instance" AND
log_id("postgresql")
Puppet のログ
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/puppet-"
RabbitMQ のログ
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/rabbitmq-"
Redmine のログ
resource.type="gce_instance" AND
log_id("redmine")
Salt のログ
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/salt-"
MySQL のスロークエリ
resource.type="gce_instance" AND
log_id("mysql-slow")
Solr のログ
resource.type="gce_instance" AND
log_id("solr")
SugarCRM のログ
resource.type="gce_instance" AND
log_id("sugarcrm")
Tomcat のログ
resource.type="gce_instance" AND
log_id("tomcat")
Zookeeper のログ
resource.type="gce_instance" AND
log_id("zookeeper")

ネットワーキングのクエリ

クエリ / フィルタの名前
ファイアウォールのすべてのログ
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall")
指定した国のファイアウォール ログ
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
jsonPayload.remote_location.country=COUNTRY_ISO_ALPHA_3
VM からのファイアウォール ログ
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
jsonPayload.instance.vm_name="INSTANCE_NAME"
サブネット指定のファイアウォール ログ
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
resource.labels.subnetwork_name="SUBNET_NAME"
宛先サブネット指定の Compute Engine サブネットワーク トラフィック ログ
resource.type="gce_subnetwork" AND
ip_in_net(jsonPayload.connection.dest_ip, "SUBNET_IP")
VPC フローログ
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows")
ポート、プロトコル指定の VPC フローログ
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
jsonPayload.connection.src_port="PORT_ID" AND
jsonPayload.connection.protocol="PROTOCOL"
サブネット指定の VPC フローログ
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
resource.labels.subnetwork_name"=SUBNET_NAME"
サブネット プレフィックス指定の VPC フローログ
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
ip_in_net(jsonPayload.connection.dest_ip,SUBNET_IP)
特定の VM の VPC フローログ
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
jsonPayload.src_instance.vm_name="VM_NAME"
VPN ゲートウェイのログ
resource.type="vpn_gateway" AND
resource.labels.gateway_id="GATEWAY_ID"
HTTP ロードバランサの 5xx エラー
resource.type="http_load_balancer" AND
httpRequest.status>=500
HTTP ロードバランサの phpMyAdmin へのリクエスト
resource.type="http_load_balancer" AND
httpRequest.request_url:"phpmyadmin"

セキュリティのクエリ

クエリ / フィルタの名前
監査ログ - すべて
logName:"cloudaudit.googleapis.com"
監査ログ - アクセスの透明性(AXT)
log_id("cloudaudit.googleapis.com/access_transparency")
監査ログ - 管理アクティビティ
log_id("cloudaudit.googleapis.com/activity")
監査ログ - データアクセス
log_id("cloudaudit.googleapis.com/data_access")
監査ログ - システム イベント
log_id("cloudaudit.googleapis.com/system_event")

トラブルシューティング

ログ エクスプローラの使用時によく発生する問題のトラブルシューティングの手順については、ログ エクスプローラの使用: トラブルシューティングをご覧ください。

次のステップ

これらのクエリのカスタマイズに使用できるクエリ構文の詳細については、Logging のクエリ言語をご覧ください。

Google Cloud コンソールでのクエリの詳細については、Logging のクエリ言語を使用してクエリをビルドするをご覧ください。