Logs mit Log Analytics abfragen und analysieren

In diesem Dokument wird beschrieben, wie Sie Ihre Logdaten mit Log Analytics abfragen und analysieren. Log Analytics bietet eine SQL-basierte Abfrageschnittstelle. Mit SQL können Sie Aufgaben wie Logeinträge mit einem Feld zählen, das einem Muster entspricht, ausführen. Log Analytics bietet einen SQL-Editor und ein menübasiertes System zum Erstellen von Abfragen. Sie können die Abfrageergebnisse in Tabellenform ansehen oder die Daten in einem Diagramm visualisieren. Sie können Ihre Diagramme in Ihren benutzerdefinierten Dashboards speichern.

Sie können entweder eine Logansicht für ein Log-Bucket oder eine Analytics-Ansicht abfragen. Wenn Sie eine Logansicht abfragen, entspricht das Schema dem der Datenstruktur LogEntry. Da das Schema vom Ersteller einer Analyseansicht festgelegt wird, können Sie mit Analyseansichten Logdaten aus dem LogEntry-Format in ein für Sie besser geeignetes Format umwandeln.

In Loganalysen werden doppelte Logeinträge nicht entfernt. Das kann sich auf die Art und Weise auswirken, wie Sie Ihre Abfragen schreiben. Außerdem gibt es einige Einschränkungen bei der Verwendung von Log Analytics. Weitere Informationen zu diesen Themen finden Sie in den folgenden Dokumenten:

• Fehlerbehebung: In meinen Loganalyse-Ergebnissen sind doppelte Logeinträge vorhanden
• Log Analytics: Einschränkungen

Verknüpfte Datasets

Loganalysen unterstützen die Erstellung von verknüpften BigQuery-Datasets, mit denen BigQuery Lesezugriff auf die zugrunde liegenden Daten erhält. Wenn Sie ein verknüpftes Dataset erstellen, haben Sie folgende Möglichkeiten:

• Logeinträge mit anderen BigQuery-Datasets verknüpfen
• Logdaten aus einem anderen Dienst wie BigQuery Studio oder Looker Studio abfragen
• Leistung der Abfragen verbessern, die Sie über Loganalysen ausführen, indem Sie sie in Ihren reservierten BigQuery-Slots ausführen
• Benachrichtigungsrichtlinie erstellen, die das Ergebnis einer SQL-Abfrage überwacht Weitere Informationen finden Sie unter SQL-Abfrageergebnisse mit einer Benachrichtigungsrichtlinie überwachen.

Wenn Sie ein verknüpftes Dataset für einen Log-Bucket erstellen, erweitern Sie die Sicherheitsgrenze Ihrer Logdaten auf BigQuery-Dienste. Das bedeutet, dass BigQuery-Dienste Ihre Logdaten jetzt abfragen können, indem sie eine Abfrage für das verknüpfte Dataset ausgeben. Bevor Sie ein verknüpftes Dataset erstellen, sollten Sie sich Datensicherheit mit Log Analytics ansehen.

Hinweise

In diesem Abschnitt werden die Schritte beschrieben, die Sie ausführen müssen, bevor Sie Loganalysen verwenden können.

Log-Buckets konfigurieren

Prüfen Sie, ob für Ihre Log-Buckets ein Upgrade zur Verwendung von Loganalysen durchgeführt wurde:

1. Rufen Sie in der Google Cloud -Console die Seite Logspeicher auf.

   Zum Logspeicher

   Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis mit der Zwischenüberschrift Logging aus.

2. Prüfen Sie für Log-Buckets mit einer Logansicht, die Sie abfragen möchten, ob in der Spalte Loganalysen verfügbar die Option Öffnen angezeigt wird. Wenn Upgrade angezeigt wird, klicken Sie auf Upgrade und schließen Sie das Dialogfeld.

IAM-Rollen und ‑Berechtigungen konfigurieren

In diesem Abschnitt werden die IAM-Rollen oder -Berechtigungen beschrieben, die für die Verwendung von Loganalysen erforderlich sind:

• Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihr Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zur Verwendung von Loganalysen und zum Abfragen von Logansichten benötigen:

  • So fragen Sie die Log-Buckets _Required und _Default ab: Loganzeige (roles/logging.viewer)
  • So fragen Sie alle Logansichten in einem Projekt ab: Logs View Accessor (roles/logging.viewAccessor)

  Sie können einen Prinzipal auf eine bestimmte Logansicht beschränken, indem Sie entweder eine IAM-Bedingung für die auf Projektebene erteilte Rolle „Logs View Accessor“ hinzufügen oder eine IAM-Bindung zur Richtliniendatei der Logansicht hinzufügen. Weitere Informationen finden Sie unter Zugriff auf eine Logansicht steuern.

  Dies sind dieselben Berechtigungen, die Sie benötigen, um Logeinträge auf der Seite Log-Explorer aufzurufen. Informationen zu zusätzlichen Rollen, die Sie zum Abfragen von Ansichten in benutzerdefinierten Buckets oder zum Abfragen der _AllLogs-Ansicht des _Default-Log-Buckets benötigen, finden Sie unter Cloud Logging-Rollen.

• Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Observability Analytics User (roles/observability.analyticsUser) für Ihr Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Abfragen von Analyseansichten benötigen.

Logdaten abfragen

In diesem Abschnitt werden die Ansätze beschrieben, mit denen Sie Ihre Protokolldaten abfragen können:

• Laden Sie eine systemdefinierte Abfrage, bearbeiten Sie sie und führen Sie sie dann aus.
• Geben Sie eine benutzerdefinierte Abfrage ein und führen Sie sie aus. Sie können beispielsweise eine vorhandene Anfrage einfügen oder eine neue schreiben. Benutzerdefinierte Abfragen können Joins, verschachtelte Abfragen und andere komplexe SQL-Anweisungen enthalten. Beispiele finden Sie unter Beispiel-SQL-Abfragen.
• Erstellen Sie eine Abfrage, indem Sie Menüauswahlen treffen, und führen Sie die Abfrage dann aus. Bei Loganalysen werden Ihre Auswahlmöglichkeiten in eine SQL-Abfrage umgewandelt, die Sie sich ansehen und bearbeiten können.

Systemdefinierte Abfrage laden, bearbeiten und ausführen

1. Rufen Sie in der Google Cloud -Console die Seite Loganalysen auf.

   Zu Loganalysen

   Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis mit der Zwischenüberschrift Logging aus.

2. Rufen Sie im Menü Ansichten den Abschnitt segment Logs oder data_table Analytics Views auf und wählen Sie die Ansicht aus, die Sie abfragen möchten.

   Verwenden Sie die filter_list Filterleiste oder scrollen Sie durch die Liste, um die Ansicht zu finden, die Sie abfragen möchten:

   • Logansichten werden nach BUCKET_ID.LOG_VIEW_ID aufgelistet. Diese Felder beziehen sich auf die IDs des Log-Buckets und der Logansicht.

   • Analytics-Datenansichten werden nach LOCATION.ANALYTICS_VIEW_ID aufgeführt. Diese Felder beziehen sich auf den Speicherort und die ID einer Analytics-Datenansicht. Analytics-Ansichten sind in der öffentlichen Vorschau verfügbar.

3. Führen Sie einen der folgenden Schritte aus:

   • Wenn Sie eine systemdefinierte Abfrage laden möchten, die auf dem Query Builder basiert, mit dem Sie die Abfrage über Menüauswahlen definieren können, muss im Bereich Query (Abfrage) Query Builder angezeigt werden. Wenn ein SQL-Editor angezeigt wird, klicken Sie auf tune Builder.

   • Wenn Sie eine vom System definierte Abfrage laden möchten, mit der JSON-Werte extrahiert werden, muss im Bereich Abfrage der SQL-Editor angezeigt werden. Wenn in diesem Bereich Abfrage-Generator angezeigt wird, klicken Sie auf code SQL.

4. Wählen Sie im Bereich Schema die Option Abfrage aus und klicken Sie dann auf Überschreiben.

   Im Bereich Abfrage wird eine systemdefinierte Abfrage angezeigt. Wenn Sie den Modus Abfrage-Generator ausgewählt haben, aber die SQL-Abfrage sehen möchten, klicken Sie auf code SQL.

5. Optional: Ändern Sie die Abfrage.

6. Klicken Sie zum Ausführen der Abfrage in der Symbolleiste auf Abfrage ausführen.

   Log Analytics präsentiert die Abfrageergebnisse in einer Tabelle. Sie können jedoch ein Diagramm erstellen und die Tabelle oder das Diagramm in einem benutzerdefinierten Dashboard speichern. Weitere Informationen finden Sie unter SQL-SQL-Abfrage darstellen.

   Wenn in der Symbolleiste In BigQuery ausführen angezeigt wird, müssen Sie die Standard-Abfrage-Engine für Loganalysen verwenden. Klicken Sie dazu in der Symbolleiste des Bereichs Abfrage auf settings Einstellungen und wählen Sie dann Analytics (Standard) aus.

Benutzerdefinierte Abfrage eingeben und ausführen

So geben Sie eine SQL-Abfrage ein:

1. Rufen Sie in der Google Cloud -Console die Seite Loganalysen auf.

   Zu Loganalysen

   Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis mit der Zwischenüberschrift Logging aus.

2. Klicken Sie im Bereich Abfrage auf code SQL.

   • Wir empfehlen, den Zeitraum über die Zeitraumauswahl festzulegen. Wenn Sie eine WHERE-Klausel hinzufügen, in der das Feld timestamp angegeben ist, wird die Einstellung in der Zeitraumauswahl überschrieben und die Auswahl wird deaktiviert.

   • Beispiele finden Sie unter Beispiel-SQL-Abfragen.

   • Sie können Logansichten oder Analytics-Ansichten abfragen. Verwenden Sie das folgende Format für die FROM-Klausel:

     • Logansichten:

       FROM `PROJECT_ID.LOCATION.BUCKET_ID.LOG_VIEW_ID`
       

     • Analytics-Datenansichten:

       FROM `analytics_view.PROJECT_ID.LOCATION.ANALYTICS_VIEW_ID`
       

     Die Felder in den vorherigen Ausdrücken haben die folgende Bedeutung:

     • PROJECT_ID: Die Kennung des Projekts.
     • LOCATION: Der Speicherort der Logansicht oder der Analyseansicht.
     • BUCKET_ID: Der Name oder die ID des Log-Buckets.
     • LOG_VIEW_ID: Die Kennung der Logansicht. Sie ist auf 100 Zeichen begrenzt und darf nur Buchstaben, Ziffern, Unterstriche und Bindestriche enthalten.
     • ANALYTICS_VIEW_ID: Die ID der Analytics-Ansicht. Sie ist auf 100 Zeichen begrenzt und darf nur Buchstaben, Ziffern, Unterstriche und Bindestriche enthalten.

     Wenn im Bereich „Abfrage“ eine Fehlermeldung angezeigt wird, die auf die FROM-Anweisung verweist, kann die Ansicht nicht gefunden werden. Informationen zur Behebung dieses Fehlers finden Sie unter Fehler: FROM-Klausel muss genau eine Log-Ansicht enthalten.

3. Klicken Sie zum Ausführen der Abfrage in der Symbolleiste auf Abfrage ausführen.

   Log Analytics präsentiert die Abfrageergebnisse in einer Tabelle. Sie können jedoch ein Diagramm erstellen und die Tabelle oder das Diagramm in einem benutzerdefinierten Dashboard speichern. Weitere Informationen finden Sie unter SQL-SQL-Abfrage darstellen.

   Wenn in der Symbolleiste In BigQuery ausführen angezeigt wird, müssen Sie die Standard-Abfrage-Engine für Loganalysen verwenden. Klicken Sie dazu in der Symbolleiste des Bereichs Abfrage auf settings Einstellungen und wählen Sie dann Analytics (Standard) aus.

Abfrage erstellen, bearbeiten und ausführen

Über die Benutzeroberfläche von Query Builder können Sie eine Abfrage erstellen, indem Sie eine Auswahl aus den Menüs treffen. In Loganalysen werden Ihre Auswahlmöglichkeiten in eine SQL-Abfrage umgewandelt, die Sie aufrufen und bearbeiten können. Sie können beispielsweise mit der Query Builder-Oberfläche beginnen und dann zum SQL-Editor wechseln, um Ihre Abfrage zu verfeinern.

Loganalysen können Ihre Menüauswahlen aus der Abfrage-Builder-Oberfläche immer in eine SQL-Abfrage konvertieren. Allerdings können nicht alle SQL-Abfragen über die Query Builder-Oberfläche dargestellt werden. So können beispielsweise Abfragen mit Joins nicht über diese Schnittstelle dargestellt werden.

So erstellen Sie eine Abfrage:

1. Rufen Sie in der Google Cloud -Console die Seite Loganalysen auf.

   Zu Loganalysen

   Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis mit der Zwischenüberschrift Logging aus.

2. Wenn im Bereich Abfrage ein SQL-Editor angezeigt wird, wählen Sie tune Builder aus. Dadurch wird der Bereich Query Builder geöffnet.

3. Wählen Sie im Menü Quelle die Ansicht aus, die Sie abfragen möchten. Ihre Auswahl wird der FROM-Klausel in der SQL-Abfrage zugeordnet.

4. Optional: Mit den folgenden Menüs können Sie die Ergebnistabelle einschränken oder formatieren:

   • Alle Felder durchsuchen: Suchen Sie nach übereinstimmenden Strings. Ihre Auswahl wird der WHERE-Klausel in der SQL-Abfrage zugeordnet.

   • Spalten: Wählen Sie die Spalten aus, die in der Ergebnistabelle angezeigt werden sollen. Ihre Auswahl wird den SELECT-Klauseln in der SQL-Abfrage zugeordnet.

     Wenn Sie in diesem Menü einen Feldnamen auswählen, wird ein Dialogfeld geöffnet. In diesem Dialogfeld haben Sie folgende Möglichkeiten:

     • Über das Menü können Sie Ihre Daten aggregieren oder gruppieren.

       Um Syntaxfehler zu vermeiden, werden alle Aggregationen und Gruppierungen, die Sie auf eine Spalte anwenden, automatisch auch auf andere Spalten angewendet. Ein Beispiel für das Aggregieren und Gruppieren von Einträgen finden Sie unter Daten mit dem Query Builder gruppieren und aggregieren.

     • Wandelt einen Wert eines beliebigen Typs in einen anderen angegebenen Datentyp um. Weitere Informationen finden Sie in der Dokumentation zu CAST.

     • Extrahiert einen Teilstring von Werten mithilfe regulärer Ausdrücke. Weitere Informationen finden Sie in der Dokumentation zu REGEXP_EXTRACT.

   • Filter: Fügen Sie Filter hinzu, um die Abfrage auf Zeiträume mit einem bestimmten Attribut oder einer bestimmten Spannen-ID zu beschränken. Im Menü werden alle verfügbaren Filteroptionen aufgeführt. Ihre Auswahl wird der WHERE-Klausel in der SQL-Abfrage zugeordnet.

   • Sortieren nach: Legen Sie die Spalten fest, nach denen sortiert werden soll, und ob die Sortierung aufsteigend oder absteigend erfolgen soll. Ihre Auswahl wird der ORDER BY-Klausel in der SQL-Abfrage zugeordnet.

   • Limit: Legen Sie die maximale Anzahl von Zeilen in der Ergebnistabelle fest. Ihre Auswahl wird der LIMIT-Klausel in der SQL-Abfrage zugeordnet.

5. Klicken Sie zum Ausführen der Abfrage in der Symbolleiste auf Abfrage ausführen.

   Log Analytics präsentiert die Abfrageergebnisse in einer Tabelle. Sie können jedoch ein Diagramm erstellen und die Tabelle oder das Diagramm in einem benutzerdefinierten Dashboard speichern. Weitere Informationen finden Sie unter SQL-SQL-Abfrage darstellen.

   Wenn in der Symbolleiste In BigQuery ausführen angezeigt wird, müssen Sie die Standard-Abfrage-Engine für Loganalysen verwenden. Klicken Sie dazu in der Symbolleiste des Bereichs Abfrage auf settings Einstellungen und wählen Sie dann Analytics (Standard) aus.

Beispiel: Daten mit dem Query Builder gruppieren und aggregieren

Wenn Sie eine Spalte im Query Builder auswählen, enthält jedes Feld ein Menü, in dem Sie Gruppierung und Aggregation hinzufügen können. Mit der Gruppierung können Sie Ihre Daten anhand des Werts einer oder mehrerer Spalten in Gruppen einteilen. Mit der Aggregation können Sie Berechnungen für diese Gruppen ausführen, um einen einzelnen Wert zurückzugeben.

Jedes Feld, das Sie im Element Spalten auswählen, hat ein angehängtes Menü mit den folgenden Optionen:

• Keine: Es wird nicht nach diesem Feld gruppiert oder aggregiert.
• Aggregieren: Gruppieren Sie Felder, die im Element Spalten aufgeführt sind, es sei denn, für das Feld ist eine Aggregation ausgewählt. Für diese Felder wird der Wert durch Ausführen eines Vorgangs für alle Einträge in jeder Gruppierung berechnet. Die Operation kann beispielsweise darin bestehen, den Durchschnitt eines Felds zu berechnen oder die Anzahl der Einträge in jeder Gruppierung zu zählen.
• Gruppieren nach: Gruppieren Sie Einträge nach allen Feldern, die im Element Spalten aufgeführt sind.

Im Folgenden sehen Sie, wie Sie eine Abfrage erstellen, die Einträge gruppiert und dann eine Art Aggregation durchführt.

In diesem Beispiel wird beschrieben, wie Sie mit dem Query Builder Logeinträge nach Schweregrad und Zeitstempel gruppieren und dann den Durchschnitt des Felds http_request.response_size für jede Gruppe berechnen.

So erstellen Sie eine Abfrage, mit der Ihre Daten gruppiert und aggregiert werden:

1. Wählen Sie im Menü Spalten die Felder timestamp, severity und http_request.response_size aus.

   1. Wenn Sie Ihre Daten gruppieren möchten, klicken Sie auf das Feld timestamp, um das Dialogfeld „Einstellungen“ zu öffnen. Wählen Sie in diesem Dialogfeld die Option Group by (Gruppieren nach) aus und legen Sie den Truncation Granularity (Detaillierungsgrad für das Kürzen) auf HOUR fest. Die Gruppierung wird dann automatisch auf alle anderen Felder angewendet, um Syntaxfehler zu vermeiden. Wenn ungültige Felder vorhanden sind, auf die keine Gruppierung angewendet werden kann, wird eine Fehlermeldung angezeigt. Entfernen Sie die ungültigen Felder aus dem Menü, um diesen Fehler zu beheben.

   2. Wenn Sie das Feld http_request.response_size aggregieren möchten, klicken Sie darauf, um das Dialogfeld mit den Einstellungen zu öffnen. Wählen Sie in diesem Dialogfeld Aggregieren aus. Klicken Sie im Menü Aggregation auf Durchschnitt.

2. Fügen Sie im Menü Filter http_request.response_size hinzu und legen Sie den Vergleichsoperator auf IS NOT NULL fest. Dieser Filter entspricht Logeinträgen, die einen response_size-Wert enthalten.

   Die Menüs im Query Builder sehen in etwa so aus:

   

3. Klicken Sie zum Ausführen der Abfrage in der Symbolleiste auf Abfrage ausführen.

   Die Ergebnisse dieser Abfrage sehen in etwa so aus:

   +-----------------------------------+----------+---------------+
   | Row | hour_timestamp              | severity | response_size |
   |     | TIMESTAMP                   | STRING   | INTEGER       |
   +-----+-----------------------------+----------+---------------+
   | 1   | 2025-10-06 16:00:00.000 UTC | NOTICE   | 3082          |
   | 2   | 2025-10-06 17:00:00.000 UTC | WARNING  | 338           |
   | 3   | 2025-10-06 16:00:00.000 UTC | INFO     | 149           |
   

Die entsprechende SQL-Abfrage für das vorherige Beispiel sieht so aus:

SELECT
  -- Truncate the timestamp by hour.
  TIMESTAMP_TRUNC( timestamp, HOUR ) AS hour_timestamp,
  severity,
  -- Compute average response_size.
  AVG( http_request.response_size ) AS average_http_request_response_size
FROM
  `PROJECT_ID.LOCATION.BUCKET_ID.LOG_VIEW_ID`
WHERE
  -- Matches log entries that have a response_size.
  http_request.response_size IS NOT NULL
GROUP BY
  -- Group log entries by timestamp and severity.
  TIMESTAMP_TRUNC( timestamp, HOUR ),
  severity
LIMIT
  1000

Schema anzeigen

Das Schema definiert, wie die Daten gespeichert werden, einschließlich der Felder und ihrer Datentypen. Diese Informationen sind wichtig, da das Schema bestimmt, welche Felder Sie abfragen und ob Sie Felder in andere Datentypen umwandeln müssen. Wenn Sie beispielsweise eine Abfrage schreiben möchten, mit der die durchschnittliche Latenz von HTTP-Anfragen berechnet wird, müssen Sie wissen, wie Sie auf das Feld „Latenz“ zugreifen und ob es als Ganzzahl wie 100 oder als String wie "100" gespeichert ist. Wenn die Latenzdaten als String gespeichert sind, muss der Wert in der Abfrage in einen numerischen Wert umgewandelt werden, bevor ein Durchschnitt berechnet werden kann.

So ermitteln Sie das Schema:

1. Rufen Sie in der Google Cloud -Console die Seite Loganalysen auf.

   Zu Loganalysen

   Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis mit der Zwischenüberschrift Logging aus.

2. Rufen Sie im Menü Ansichten den Abschnitt segment Logs oder data_table Analytics Views auf und wählen Sie die Ansicht aus, die Sie abfragen möchten.

   Der Bereich Schema wird aktualisiert. Log Analytics leitet die Felder einer Spalte automatisch ab, wenn der Datentyp JSON ist. Wenn Sie sehen möchten, wie oft diese abgeleiteten Felder in Ihren Daten vorkommen, klicken Sie auf more_vert Optionen und wählen Sie Informationen und Beschreibung ansehen aus.

   Für Logansichten ist das Schema festgelegt und entspricht dem LogEntry. Bei Analyseansichten können Sie die SQL-Abfrage ändern, um das Schema zu ändern.

Nächste Schritte

• Weitere Informationen zu Analytics-Ansichten
• SQL-Abfrage speichern und freigeben
• SQL-SQL-Abfrage darstellen
• SQL-Beispielabfragen
• Verknüpftes Dataset in BigQuery abfragen