使用記錄檔探索工具和記錄檔分析工具分析記錄檔

本文說明如何使用 Google Cloud 控制台查詢、查看及分析記錄項目。您可以使用兩種介面：記錄檔探索工具和記錄檔分析。您可以使用這兩種介面查詢、查看及分析記錄，但兩者使用的查詢語言和功能不同：

• 如要排解記錄資料問題及探索記錄資料，請使用記錄檔探索工具。

• 如要加入記錄和追蹤資料，或是產生洞察和趨勢，請使用 Log Analytics。

您可以發出 Logging API 指令，查詢及儲存記錄檔查詢。您也可以使用 Google Cloud CLI 查詢記錄。

使用記錄檔探索工具

記錄檔探索工具可協助您排解服務和應用程式的效能問題，並進行分析。舉例來說，直方圖會顯示錯誤率。如果發現錯誤網頁數量突然增加或有其他值得注意的內容，可以找出並查看對應的記錄項目。如果記錄項目與錯誤群組相關聯，系統會在記錄項目中標註選項選單，方便您存取錯誤群組的詳細資訊。

Cloud Logging API、Google Cloud CLI 和 Logs Explorer 支援相同的查詢語言。使用記錄檔探索工具時，您可以透過選單建構查詢、輸入文字，以及在顯示個別記錄項目時使用選項，簡化查詢建構作業。

記錄檔探索器不支援匯總作業，例如計算含有特定模式的記錄項目數。如要執行匯總作業，請在記錄檔 bucket 中啟用分析功能，然後使用記錄檔分析工具。

如要進一步瞭解如何使用記錄檔探索工具搜尋及查看記錄檔，請參閱「使用記錄檔探索工具查看記錄檔」。

探索記錄檔分析

您可以使用 Log Analytics 執行查詢，將記錄檔資料分組並匯總，藉此產生洞察結果。這些洞察資料可協助您減少排解問題的時間。如要查看查詢結果，請使用表格、圖表或兩者。圖表可協助您找出記錄資料中的模式和趨勢。舉例來說，以下螢幕截圖顯示以表格和圖表呈現的查詢結果：

記錄分析支援下列項目：

• 將記錄資料分組及匯總。

  舉例來說，您可以執行 SQL 查詢，依小時分組記錄項目，然後計算每個群組中，向特定網址發出的 HTTP 要求平均延遲時間。

• 使用管道語法的 SQL 查詢。

• 記錄檢視和分析檢視的查詢。

  記錄檔檢視區塊具有系統定義的結構定義。您要定義 Analytics 檢視區塊的結構定義。

• 彙整記錄和追蹤記錄資料。

  如要瞭解如何查詢追蹤記錄資料，請參閱「查詢及分析追蹤記錄」。

您也可以透過 Cloud Logging 從 BigQuery 查詢記錄資料，不必將資料匯出至 BigQuery。將記錄檔 bucket 升級為使用記錄檔分析工具後，請建立連結的資料集。您可以使用 BigQuery 服務查詢連結的資料集。

升級記錄檔 bucket 不會影響記錄檔探索工具的使用體驗。 記錄檔瀏覽器只需要將記錄資料儲存在記錄檔 bucket 中。

限制

• 如要升級現有記錄檔 bucket 以使用記錄檔分析，請注意下列限制：

  • 記錄值區是在 Google Cloud 專案層級建立。
  • 記錄檔 bucket 預設為解鎖狀態，但 _Required bucket 除外。
  • 值區沒有待處理的更新。

• bucket 升級前寫入的記錄項目不會立即提供。 不過，回填作業完成後，您就可以分析這些記錄檔項目。回填程序可能需要幾天才能完成。

• 如果記錄檔值區已設定欄位層級存取權控管，您就無法使用「記錄分析」頁面查詢記錄檢視畫面。不過，您可以透過「記錄檔總管」頁面發出查詢，也可以查詢已連結的 BigQuery 資料集。由於 BigQuery 不會遵守欄位層級的存取權控管，因此查詢連結的資料集時，您可以查詢記錄項目中的所有欄位。

• 系統不會在執行查詢前移除重複的記錄項目。使用 Logs Explorer 查詢記錄項目時，系統會比較記錄名稱、時間戳記和插入 ID 欄位，並移除重複項目，與上述行為不同。詳情請參閱「疑難排解：記錄檔分析結果中出現重複的記錄項目」。

聯結限制

如要聯結檢視區塊，請遵守下列限制：

1. 檢視區塊的位置符合下列其中一項條件：

   • 所有檢視區塊都位於相同位置。
   • 所有檢視畫面都位於 global 或 us 位置。

2. 如果儲存空間資源使用客戶自行管理的加密金鑰 (CMEK)，則必須符合下列其中一項條件：

   • 使用 CMEK 的儲存空間資源會使用相同的 Cloud KMS 金鑰。
   • 使用 CMEK 的儲存空間資源具有共同祖先，而該祖先會指定與儲存空間資源位於相同位置的預設 Cloud KMS 金鑰。

   當一或多個儲存空間資源使用 CMEK 時，系統會使用通用 Cloud KMS 金鑰或上層的預設 Cloud KMS 金鑰，加密聯結產生的暫時資料。

舉例來說，假設您有兩個位於相同位置的檢視區塊。接著，在符合下列任一條件時，即可聯結這些檢視畫面：

• 儲存空間資源未使用 CMEK。
• 一個儲存空間資源使用 CMEK，另一個則否。
• 兩個儲存空間資源都使用 CMEK，且都使用相同的 Cloud KMS 金鑰。

• 這兩種儲存空間資源都使用 CMEK，但使用的金鑰不同。不過，這些資源共用一個祖先，該祖先會指定與儲存空間資源位於相同位置的預設 Cloud KMS 金鑰。

  舉例來說，假設記錄檔值區和可觀測性值區的資源階層包含相同機構。如果已為機構設定 Cloud Logging 的預設資源設定，並為可觀測性 bucket 設定儲存位置的預設 Cloud KMS 金鑰，即可加入這些 bucket 的檢視畫面。

定價

如要查看定價資訊，請參閱「Google Cloud Observability 定價」頁面。如果將記錄資料傳送至其他 Google Cloud 服務，請參閱下列文件：

• Cloud Storage 定價
• BigQuery 定價
• Pub/Sub 定價

升級 bucket 以使用記錄檔分析功能，然後建立連結的資料集時，不需要支付 BigQuery 擷取或儲存費用。為記錄檔 bucket 建立連結的資料集時，您不會將記錄資料擷取至 BigQuery。而是透過連結的資料集，取得儲存在記錄值區中的記錄資料讀取權。

在 BigQuery 連結的資料集上執行 SQL 查詢時，必須支付 BigQuery 分析費用，包括使用 BigQuery Studio 頁面、BigQuery API 和 BigQuery 指令列工具。

網誌

如要進一步瞭解記錄檔分析，請參閱下列部落格文章：

• 如要瞭解記錄檔分析服務的總覽，請參閱「Cloud Logging 的記錄檔分析服務現已正式發布」。
• 如要瞭解如何建立由記錄檔分析查詢產生的圖表，並將這些圖表儲存至自訂資訊主頁，請參閱「Announcing Log Analytics charts and dashboards in Cloud Logging in public preview」(在 Cloud Logging 中推出記錄檔分析圖表和資訊主頁的公開預先發布版)。
• 如要瞭解如何使用記錄檔分析工具分析稽核記錄，請參閱「透過記錄檔分析的稽核記錄，取得安全性深入分析資訊」一文。
• 如果您將記錄檔傳送至 BigQuery，並想瞭解該解決方案與使用 Log Analytics 的差異，請參閱「遷移至 BigQuery 匯出使用者適用的 Log Analytics」。

後續步驟

• 建立記錄檔 bucket，並升級以使用記錄檔分析
• 升級現有 bucket 以使用記錄檔分析

• 查詢及查看記錄：

  • 記錄檔分析：查詢及分析記錄檔
  • 記錄檔探索工具：查詢及查看記錄檔

• 查詢範例：

  • 記錄檔分析：SQL 範例
  • 記錄檔探索工具：Logging 查詢語言範例