במסמך הזה מוצעות שאילתות שיעזרו לכם למצוא יומנים חשובים באמצעות Logs Explorer במסוף Google Cloud .
השאילתות שמופיעות כאן כתובות בשפת השאילתות של Logging, ואפשר להשתמש בהן בLogs Explorer, ב-Logging API או בממשק שורת הפקודה.
ב-Logs Explorer נעשה שימוש בביטויים בוליאניים כדי לציין קבוצת משנה של כל הרשומות ביומן בפרויקט. אפשר להשתמש בשאילתות האלה כדי לבחור רשומות ביומן מיומנים ספציפיים או משירותי יומן ספציפיים, או רשומות שעומדות בתנאים של מטא-נתונים או של שדות שהוגדרו על ידי המשתמש.
לפני שמתחילים
חשוב לוודא שיש לכם את ההרשאות או התפקידים הנכונים בניהול הזהויות והרשאות הגישה (IAM) כדי ליצור שאילתות באמצעות הכלי Logs Explorer. במאמר הרשאות למסוף מוסבר בהרחבה אילו הרשאות IAM נדרשות. Google Cloud
קדימה, מתחילים
-
במסוף Google Cloud , נכנסים לדף segment
Logs Explorer:
כניסה אל Logs Explorer
אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שכותרת המשנה שלה היא Logging.
בוחרים את Google Cloud הפרויקט או משאב אחר Google Cloudשרוצים לראות את היומנים שלו.
שימוש בשאילתות לדוגמה
כדי להחיל שאילתה מהטבלאות הבאות, לוחצים על הסמל content_copy Content Copy של הביטוי, ואז מדביקים את הביטוי שהועתק בשדה עורך השאילתות של Logs Explorer.
בצילום המסך הבא מוצג חלונית השאילתה:
אם שדה עורך השאילתות לא מופיע, מפעילים את האפשרות Show query.
אחרי שבודקים את ביטוי השאילתה, לוחצים על הפעלת השאילתה. היומנים שעונים על השאילתה מוצגים בקטע Query results.
חלק מהשאילתות שמפורטות בהמשך הדף כוללות משתנים שצריך להחליף בערכים תקינים. לדוגמה, אם שאילתה כוללת את השדה logName, אז PROJECT_ID שאתם מציינים חייב להתייחס לGoogle Cloud פרויקט שנבחר. אחרת, השאילתה לא תפעל.
שימו לב לנקודות הבאות:
אם יש לכם שאילתה עם חותמת זמן, הבורר של טווח הזמן מושבת והשאילתה משתמשת בביטוי של חותמת הזמן כמגבלה של טווח הזמן. אם שאילתה לא משתמשת בביטוי של חותמת זמן, השאילתה משתמשת בבורר של טווח הזמן בתור הגבלת טווח הזמן שלה.
אורך השאילתה לא יכול לחרוג מ-20,000 תווים.
שפת השאילתות של רישום ביומן לא תלוית-רישיות, למעט ביטויים רגולריים.
אפשר להשתמש בפונקציה log_id בשאילתות עם ביטוי log_name. לדוגמה, הביטוי log_name="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access" זהה לביטוי log_id("cloudaudit.googleapis.com/data_access").
מידע נוסף על הפונקציה log_id זמין במאמר שפת השאילתות של רישום ביומן: פונקציות.
הוראות לשליחת שאילתות במסוף Google Cloud זמינות במאמר יצירת שאילתות ב-Logs Explorer.
בקטעים הבאים, השאילתות מקובצות לפי Google Cloud שירותים.
שאילתות ב-App Engine
| שם השאילתה או המסנן |
ביטוי |
| יומני App Engine מליל השנה החדשה (לפי שעון UTC) |
resource.type="gae_app" AND
severity>=ERROR AND
timestamp>="2018-12-31T00:00:00Z" AND timestamp<="2019-01-01T00:00:00Z" |
| יומני בקשות של App Engine עם שגיאות בחיבור לשרת |
resource.type="gae_app" AND
log_id("appengine.googleapis.com/request_log") AND
httpRequest.status>=500 |
| יומני שגיאות HTTP לדוגמה |
resource.type="gae_app" AND
protoPayload.status >= 400 AND
sample(insertId, 0.1)
|
| חיפוש מזהה מעקב של App Engine |
resource.type="gae_app" AND
trace="projects/PROJECT_ID/traces/TRACE_ID" |
| יומנים של App Engine |
resource.type="gae_app" AND
resource.labels.module_id="MODULE_ID" AND
resource.labels.version_id="VERSION_ID" |
| פריסות אחרונות ב-App Engine |
resource.type="gae_app" AND
protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog" AND
protoPayload.serviceName="appengine.googleapis.com" |
שאילתות להפעלה ולהשבתה של API
| שם השאילתה או המסנן |
ביטוי |
| הפעלת יומנים ב-Audit API |
protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.EnableService" |
| יומנים של השבתת Audit API |
protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.DisableService" |
שאילתות BigQuery
| שם השאילתה או המסנן |
ביטוי |
| יומני ביקורת של BigQuery |
resource.type=("bigquery_dataset" OR "bigquery_project") AND
logName:"cloudaudit.googleapis.com" |
| יומני ביקורת של פרויקט ב-BigQuery |
resource.type="bigquery_project" AND
logName:"cloudaudit.googleapis.com" |
| יומני ביקורת של BigQuery עבור מערך נתונים |
resource.type="bigquery_dataset" AND
logName:"cloudaudit.googleapis.com" |
| יומני ביקורת של BigQuery עבור מודל BI Engine |
resource.type="bigquery_biengine_model" AND
logName:"cloudaudit.googleapis.com" |
| יומני ביקורת של BigQuery להרצה של שירות העברת נתונים. |
resource.type="bigquery_dts_run" AND
logName:"cloudaudit.googleapis.com" |
| יומני ביקורת של BigQuery עבור הגדרה של שירות העברת נתונים. |
resource.type="bigquery_dts_config" AND
logName:"cloudaudit.googleapis.com" |
| משימות של שירות העברת נתונים ל-BigQuery |
resource.type=("bigquery_project") AND
protoPayload.requestMetadata.callerSuppliedUserAgent=
"BigQuery Data Transfer Service" AND
protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR
"google.cloud.bigquery.v2.JobService.Query") |
| יומנים של הרצות העברה ב-BigQuery |
resource.type="bigquery_dts_config" AND
labels.run_id="RUN_ID" AND
resource.labels.config_id="CONFIG_ID" |
| עדכונים במערך הנתונים ב-BigQuery |
resource.type="bigquery_dataset" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName=
"google.cloud.bigquery.v2.DatasetService.UpdateDataset" |
| משימות ב-BigQuery שהושלמו |
resource.type="bigquery_project" AND
log_id("cloudaudit.googleapis.com/data_access") AND
protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob"
OR "google.cloud.bigquery.v2.JobService.Query") |
| שאילתות גדולות ב-BigQuery |
resource.type="bigquery_project" AND
protoPayload.metadata.jobChange.job.jobStats.queryStats.totalBilledBytes
> 1073741824 |
| חריגה מהמכסה ב-BigQuery |
resource.type=("bigquery_dataset" OR "bigquery_project")
AND
protoPayload.status.code=8 AND
severity>=WARNING |
| התחלת שאילתה ב-BigQuery |
resource.type="bigquery_project" AND
protoPayload.metadata.jobInsertion.reason:* |
| משימות טעינה או חילוץ בו-זמניות ב-BigQuery |
resource.type="bigquery_resource" AND
protoPayload.methodName="jobservice.insert" AND
protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query:
"extract" |
| יומני ביקורת של BigQuery למדיניות גישה לשורות |
protoPayload.methodName="jobservice.insert" AND
protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query:"ROW ACCESS POLICY" |
שאילתות Dataflow
| שם השאילתה או המסנן |
ביטוי |
| שגיאות ואזהרות בתהליכי עבודה (workers) של Dataflow |
resource.type="dataflow_step" AND
log_id("dataflow.googleapis.com/worker") AND
severity>=WARNING |
שאילתות Dataproc
| שם השאילתה או המסנן |
ביטוי |
| יומני Apache Hadoop ב-Dataproc |
resource.type="cloud_dataproc_cluster" AND
jsonPayload.class:"org.apache.hadoop.mapreduce" |
Cloud Deployment Manager
| שם השאילתה או המסנן |
ביטוי |
| שגיאות ב-Deployment Manager |
resource.type="deployment" AND
severity>=ERROR |
שאילתות של פונקציות Cloud Run
| שם השאילתה או המסנן |
ביטוי |
| שגיאות בפונקציות של Cloud |
resource.type="cloud_function" AND
log_id("cloudfunctions.googleapis.com/cloud-functions") AND
severity>=ERROR |
שאילתות ב-Cloud Monitoring
| שם השאילתה או המסנן |
ביטוי |
|---|
הצגת כל השגיאות בערוץ ההתראות
|
resource.type="stackdriver_notification_channel" AND
severity>=ERROR |
הצגת שגיאות של ערוץ התראות
עקב הגבלת קצב הבקשות |
resource.type="stackdriver_notification_channel" AND
severity>=ERROR AND
jsonPayload.summary="Notification delivery throttled." |
הצגת יומנים שנכתבו על ידי
משאב הזמינות |
resource.type="uptime_url" |
הצגת בקשות שהתקבלו משירות בדיקת זמני הפעילות
|
"GoogleStackdriverMonitoring-UptimeChecks" |
שאילתות Cloud Run
| שם השאילתה או המסנן |
ביטוי |
| יומנים של משימה ספציפית ב-Cloud Run |
resource.type="cloud_run_job" AND
resource.labels.service_name="JOB_NAME"
|
| יומנים של Cloud Run לגרסה ולשירות ספציפיים |
resource.type="cloud_run_revision" AND
resource.labels.service_name="SERVICE_NAME" |
שאילתות של Cloud Source Repositories
| שם השאילתה או המסנן |
ביטוי |
| יומנים של Cloud Source Repository |
resource.type="csr_repository" AND
resource.labels.name="REPOSITORY_NAME" |
שאילתות Spanner
| שם השאילתה או המסנן |
ביטוי |
| יומנים של Cloud Spanner עבור מופע ספציפי של Spanner |
resource.type="spanner_instance" AND
resource.labels.instance_id="SPANNER_INSTANCE" |
שאילתות Cloud SQL
| שם השאילתה או המסנן |
ביטוי |
| יומני ביקורת של Cloud SQL |
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudaudit.googleapis.com/activity") |
| יומני שגיאות של Cloud SQL MySQL |
resource.type="cloudsql_database" AND
log_id("cloudsql.googleapis.com/mysql.err") |
| מסדי נתונים מבוססי MySQL ב-Cloud SQL |
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/mysql") |
| מסדי נתונים מבוססי-Postgres ב-Cloud SQL |
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/postgres.log") |
| יומני שגיאות של Cloud SQL SQL Server |
resource.type="cloudsql_database" AND
log_id("cloudsql.googleapis.com/sqlserver.err") |
| מסדי נתונים מבוססי SQL Server ב-Cloud SQL |
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/sqlagent.out") |
שאילתות ב-Cloud Storage
| שם השאילתה או המסנן |
ביטוי |
| יומנים של קטגוריית GCS |
resource.type="gcs_bucket" AND
resource.labels.bucket_name="BUCKET_NAME" |
| יומני ביקורת של קטגוריית GCS |
resource.type="gcs_bucket" AND
logName:"cloudaudit.googleapis.com" |
| יומנים של יצירת קטגוריות GCS |
resource.type="gcs_bucket" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.method_name="storage.buckets.create" |
| יומני מחיקה של קטגוריית GCS |
resource.type="gcs_bucket" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.method_name="storage.buckets.delete" |
שאילתות של Cloud Tasks
| שם השאילתה או המסנן |
ביטוי |
| יומנים של תורים ב-Cloud Tasks |
resource.type="cloud_tasks_queue" AND
resource.labels.queue_id="QUEUE_ID" |
שאילתות של Compute Engine
| שם השאילתה או המסנן |
ביטוי |
| יומני Admin Activity ב-Compute Engine |
resource.type="gce_instance" AND
log_id("cloudaudit.googleapis.com/activity") |
| מחיקת כלל חומת אש ב-Compute Engine |
resource.type="gce_firewall_rule" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"firewalls.delete" |
| יומני מערכת של מכונות וירטואליות ב-Compute Engine |
resource.type="gce_instance" AND
log_id("syslog") |
| יומני אימות של מכונות וירטואליות ב-Compute Engine |
resource.type="gce_instance" AND
log_id("authlog") |
| שגיאה שקשורה למארח ב-Compute Engine |
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:"compute.instances.hostError"
OR
operation.producer:"compute.instances.hostError")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO
|
| התראה על זיכרון המארח ב-Compute Engine |
resource.type="gce_instance" AND
protoPayload.serviceName="compute.googleapis.com" AND
(jsonPayload.methodName:"compute.instances.host_event_notify"
OR
operation.producer:"compute.instances.host_event_notify") AND
log_id("cloudaudit.googleapis.com/host_event_notify") AND
resource.labels.instance_id="INSTANCE_ID" AND
severity=CRITICAL
|
| בוצעה העברה של מארח Compute Engine |
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:
"compute.instances.migrateOnHostMaintenance"
OR
operation.producer:
"compute.instances.migrateOnHostMaintenance")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO |
| מכונה וירטואלית ב-Compute Engine הופסקה או נדחקה |
resource.type="gce_instance"
protoPayload.methodName=~"compute\.instances\.(guestTerminate|preempted)"
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID" |
| מכונה וירטואלית ב-Compute Engine הסתיימה בגלל כשל ביצירת דיסק זמני |
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName="compute.instances.scratchDiskCreationFailed"
OR
operation.producer:
"compute.instances.scratchDiskCreationFailed)
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO |
| נוצרה מכונה וירטואלית ב-Compute Engine |
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.insert"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.request.name="INSTANCE_NAME" |
| מכונה וירטואלית של Compute Engine נמחקה עם שם |
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.delete"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.resourceName:"INSTANCE_NAME" |
| מכונה וירטואלית של Compute Engine נמחקה עם המזהה |
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.delete"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.instance_id="INSTANCE_ID" |
| מכונה וירטואלית של Compute Engine הופעלה מחדש |
resource.type="gce_instance"
protoPayload.methodName=~"compute\.instances\.(
stop|reset|automaticRestart|guestTerminate|
instanceManagerHaltForRestart)"
(log_id("cloudaudit.googleapis.com/activity")
OR log_id("cloudaudit.googleapis.com/system_event"))
resource.labels.instance_id="INSTANCE_ID" |
| כשל בתקינות האתחול של מכונה וירטואלית מוגנת ב-Compute Engine |
resource.type="gce_instance"
log_id("compute.googleapis.com/shielded_vm_integrity")
jsonPayload.earlyBootReportEvent.policyEvaluationPassed="false"
resource.labels.instance_id="INSTANCE_ID" |
| מכונה וירטואלית של Compute Engine הופסקה על ידי מערכת ההפעלה של האורח |
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:"compute.instances.guestTerminate" OR
operation.producer:"compute.instances.guestTerminate")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO |
| קובץ ההפעלה של מכונה וירטואלית מוגנת ב-Compute Engine נחסם |
resource.type="gce_instance"
log_id("serialconsole.googleapis.com/serial_port_1_output")
textPayload:("Security Violation")
resource.labels.instance_id="INSTANCE_ID" |
| נוצר Persistent Disk |
resource.type="gce_disk" AND
protoPayload.methodName:"compute.disks.insert" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.resourceName: "PERSISTENT_DISK_NAME" |
| צמתים שנוספו בשרתים לדייר יחיד (sole-tenant) |
resource.type="gce_node_group"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName=~("compute.nodeGroups.addNodes"
OR "compute.nodeGroups.insert")
resource.labels.node_group_id="NODE_GROUP_ID"
severity="INFO" |
| אירועים של שינוי קנה מידה אוטומטי בצומת של דייר יחיד |
resource.type="gce_node_group"
log_id("cloudaudit.googleapis.com/system_event")
protoPayload.methodName=~("compute.nodeGroups.deleteNodes"
OR "compute.nodeGroups.addNodes")
resource.labels.node_group_id="NODE_GROUP_ID" |
| נוצרה תמונת מצב ידנית |
resource.type="gce_snapshot"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.snapshots.insert"
protoPayload.resourceName:"SNAPSHOT_NAME" |
| בוצעה יצירה מתוזמנת של קובץ snapshot |
resource.type="gce_disk"
log_id("cloudaudit.googleapis.com/system_event")
protoPayload.methodName="ScheduledSnapshots"
protoPayload.response.operationType="createSnapshot"
protoPayload.response.targetLink="PERSISTENT_DISK_NAME" |
| נוצר תזמון של קובץ snapshot |
resource.type="gce_resource_policy"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.resourcePolicies.insert"
protoPayload.request.name="SCHEDULE_NAME" |
| מצורף לוח זמנים של תמונת מצב |
resource.type="gce_disk"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.disks.addResourcePolicies"
protoPayload.request.resourcePolicys:"SCHEDULE_NAME"
protoPayload.resourceName:"PERSISTENT_DISK_NAME" |
| חריגה מהמכסה |
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.insert"
protoPayload.status.message:"QUOTA_EXCEEDED"
severity=ERROR |
| שליחת שאילתה לגבי מופעים לא תקינים בקבוצת מופעים |
resource.type="gce_instance_group"
resource.labels.instance_group_name="INSTANCE_GROUP_NAME"
jsonPayload.healthCheckProbeResult.healthState="UNHEALTHY" |
| שאילתה לגבי חברים בקבוצת מכונות בטווח זמן בפורמט זמן UTC |
resource.type="gce_instance_group_manager"
resource.labels.instance_group_manager_name="INSTANCE_GROUP_NAME"
jsonPayload.@type=
"type.googleapis.com/compute.InstanceGroupManagerEvent"
jsonPayload.instanceHealthStateChange.detailedHealthState="HEALTHY"
timestamp >= START_TIME timestamp <= END_TIME |
| מופעים שנוספו לקבוצת מופעים |
resource.type="gce_instance_group"
protoPayload.methodName:"compute.instanceGroups.addInstances"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.instance_group_name="INSTANCE_GROUP_NAME" |
| מכונות וירטואליות שהוסרו מקבוצת מכונות |
resource.type="gce_instance_group"
protoPayload.methodName:"compute.instanceGroups.removeInstances"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.instance_group_name="INSTANCE_GROUP_NAME" |
| הוגדרה או עודכנה תבנית של הגדרות מכונה |
resource.type="gce_instance_group_manager"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName=
"v1.compute.instanceGroupManagers.setInstanceTemplate"
resource.labels.instance_group_manager_name="INSTANCE_GROUP_MANAGER" |
| כלל חומת האש נמחק |
resource.type="gce_firewall_rule"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"firewalls.delete" |
| יומני חומת אש |
resource.type="gce_subnetwork"
log_id("compute.googleapis.com/firewall")
jsonPayload.instance.vm_name="INSTANCE_NAME" |
שאילתות ב-Google Cloud Observability
| שם השאילתה או המסנן |
ביטוי |
| פעילויות ב-sink ביומן |
resource.type="logging_sink" AND
log_id("cloudaudit.googleapis.com/activity") |
| פעולות ליצירה או לעדכון של מדד מבוסס-יומנים |
resource.type="metric" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:(UpdateLogMetric OR CreateLogMetric) |
| בדיקות של זמני פעילות של כתובות URL למארח |
resource.type="uptime_url" AND
resource.labels.host="URL" |
שאילתות של ניהול זהויות והרשאות גישה
| שם השאילתה או המסנן |
ביטוי |
| יומנים של יצירת חשבונות שירות |
resource.type="service_account" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.iam.admin.v1.CreateServiceAccount" |
| יומנים של מפתחות ליצירת חשבונות שירות |
resource.type="service_account" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.iam.admin.v1.CreateServiceAccountKey" |
| הגדרת יומנים של מדיניות בקרת גישה |
resource.type="project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="SetIamPolicy" |
| חשבון משתמש חיצוני קיבל גישה לארגון |
resource.type="project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog" AND
protoPayload.request.@type:"IamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:* AND
NOT protoPayload.serviceData.policyDelta.bindingDeltas.member:"@DOMAIN_NAME.com" |
| יצירה, שינוי או מחיקה של משאב |
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:("create" OR "delete" OR "update") |
| התפקיד הוענק לחשבון המשתמש |
log_id("cloudaudit.googleapis.com/activity") AND
resource.type="project" AND
protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND
protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.action="Add" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID" |
| התפקיד הוסר מהחשבון הראשי |
log_id("cloudaudit.googleapis.com/activity") AND
resource.type="project" AND
protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND
protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.action="Remove" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID" |
| הרשאה עודכנה בתפקיד בהתאמה אישית |
log_id("cloudaudit.googleapis.com/activity") AND
resource.type="iam_role" AND
protoPayload.serviceName="iam.googleapis.com" AND
protoPayload.methodName:"UpdateRole" AND
resource.labels.role_name:"ROLE_ID" |
שאילתות שקשורות ל-Kubernetes
סקירה כללית ודוגמאות לשאילתות ביומן הביקורת Admin Activity זמינות ב
דף בנושא רישום ביומן ביקורת של GKE.
שאילתות ברמת האשכול
| שם השאילתה או המסנן |
ביטוי |
| פעולות באשכול Google Kubernetes Engine |
resource.type="gke_cluster" AND
log_id("cloudaudit.googleapis.com/activity") |
| יצירת אשכול Google Kubernetes Engine |
resource.type="gke_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.container.v1.ClusterManager.CreateCluster"
|
| פריסת אשכול Kubernetes |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"deployments"
|
| כשל באימות של אשכול Kubernetes |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.authenticationInfo.principalEmail="system:anonymous"
|
פעולות ואירועים באשכול Kubernetes ב-us-central1-b |
resource.type="k8s_cluster" AND
resource.labels.location="us-central1-b"
|
| בקשות של משתמשים לגבי pods של Kubernetes |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"io.k8s.core.v1.pods" AND
protoPayload.authenticationInfo.principalEmail="USER_EMAIL"
|
| אירועי Kubernetes |
resource.type="k8s_cluster" AND
log_id("events")
|
| עדכון נקודות קצה ב-Kubernetes |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.request.kind="Endpoints"
|
| יומנים של מישור הבקרה של Kubernetes |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.serviceName="k8s.io"
|
| יומנים של מישור הבקרה ב-Kubernetes Engine |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.serviceName="container.googleapis.com"
|
| מחיקת Pod |
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName=~"io\.k8s\.core\.v1\.pods\.(create|delete)"
|
| יומני ביקורת של pods ב-Kubernetes ממישור הבקרה |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.resourceName="core/v1/namespaces/POD_NAMESPACE/pods/POD_NAME
|
| הוצאות של pods מ-Kubernetes |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="io.k8s.core.v1.pods.eviction.create"
|
| יומני ביקורת של צומתי Kubernetes ממישור הבקרה |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"io.k8s.core.v1.nodes"
|
| מישור הבקרה של אשכול Kubernetes לפעילות של Addon Manager |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.authenticationInfo.principalEmail="system:addon-manager"
|
שגיאות ברמת הבקרה של Kubernetes (לא כולל Conflict, שזה תקין) |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.status.message!="Conflict" AND
protoPayload.status.code!=0
|
| אירועים של בקר Ingress |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="loadbalancer-controller"
|
| אירועים של Service Controller (kube-controller-manager) |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="service-controller"
|
| אירועים של Cluster Autoscaler |
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="cluster-autoscaler"
|
שאילתות ברמת ה-Pod
| שם המסנן |
ביטוי |
| שאילת פוד במהלך היצירה |
resource.type="k8s_pod" AND
resource.labels.pod_name="POD_NAME" AND
log_id("events")
|
| הפוד של השאילתה הסתיים בגלל עומס על המשאבים |
resource.type="k8s_pod" AND
log_id("events") AND
jsonPayload.reason="Evicted"
|
| אירועים בכלי לתזמון פגישות |
resource.type="k8s_pod" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="default-scheduler"
|
| אירועים של מתזמן (הקדמות) |
resource.type="k8s_pod" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="default-scheduler" AND
jsonPayload.reason="Preempted"
|
שאילתות ברמת הצומת
| שם המסנן |
ביטוי |
| אירועים של צומת |
resource.type="k8s_node" AND
log_id("events")
|
| עיון ביומנים של Kube-proxy |
resource.type="k8s_node" AND
log_id("kube-proxy")
|
| עיון ביומנים של dockerd |
resource.type="k8s_node" AND
log_id("container-runtime")
|
| בדיקת שגיאות או כשלים ב-kubelet |
resource.type="k8s_node" AND
log_id("kubelet") AND
jsonPayload.MESSAGE:("error" OR "fail")
|
| עיון ביומני הצמתים ביומני המערכת של GKE |
resource.type = "k8s_node"
logName:( "logs/container-runtime" OR
"logs/docker" OR
"logs/kube-container-runtime-monitor" OR
"logs/kube-logrotate" OR
"logs/kube-node-configuration" OR
"logs/kube-node-installation" OR
"logs/kubelet" OR
"logs/kubelet-monitor" OR
"logs/node-journal" OR
"logs/node-problem-detector")
|
שאילתות במרחב שמות
| שם המסנן |
ביטוי |
| יומנים של קונטיינרים ו-Pods ביומני המערכת של GKE |
resource.type = ("k8s_container" OR "k8s_pod")
resource.labels.namespace_name = (
"cnrm-system" OR
"config-management-system" OR
"gatekeeper-system" OR
"gke-connect" OR
"gke-system" OR
"istio-system" OR
"knative-serving" OR
"monitoring-system" OR
"kube-system")
|
שאילתות בנוגע למאגר
| שם המסנן |
ביטוי |
| יומני קונטיינרים של stdout בכל הפודים והקונטיינרים באשכול |
resource.type="k8s_container" AND
log_id("stdout")
|
| יומני שגיאות של מאגרי תגים בכל הפודים והמאגרים באשכול |
resource.type="k8s_container" AND
log_id("stderr") AND
severity=ERROR
|
| יומני שגיאות של קונטיינר עבור Pod עם שם ספציפי |
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
severity=ERROR
|
| יומני שגיאות של קונטיינר בקונטיינר ספציפי בפוד ספציפי |
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
resource.labels.container_name="server" AND
severity=ERROR
|
| יומני שגיאות של מאגרי תגים למרחב שמות ולמאגר תגים ספציפיים |
resource.type="k8s_container" AND
resource.labels.namespace_name="istio-system" AND
resource.labels.container_name="egressgateway" AND
severity=ERROR
|
| יומני קונטיינר של פוד עם תווית ספציפית |
resource.type="k8s_container" AND
labels."k8s-pod/app"="loadgenerator" AND
severity=ERROR
|
| יומני שגיאות של קונטיינרים עבור פודים שפועלים בצומת ספציפי |
resource.type="k8s_container" AND
labels."compute.googleapis.com/resource_name"=NODE_NAME AND
severity=ERROR
|
| יומני קונטיינר של פוד עם תווית שנוצרה באמצעות skaffold |
resource.type="k8s_container" AND
labels."k8s-pod/app"="loadgenerator" AND
labels."k8s-pod/skaffold_dev/run-id"=SKAFFOLD_RUN_ID
severity=ERROR
|
יומני שגיאות של קונטיינר עבור פוד ספציפי שמכיל POST ב-textPayload |
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
textPayload:"POST" AND
severity=ERROR
|
יומני שגיאות של קונטיינר עבור פוד ספציפי שמכיל GET ב-JSON מובנה |
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
jsonPayload."http.req.method"="GET" AND
severity=ERROR
|
| יומני שגיאות של קונטיינרים במרחב השמות kube-system |
resource.type="k8s_container" AND
resource.labels.namespace_name="kube-system" AND
severity=ERROR
|
| שגיאת קונטיינר ביומן של תובנות לגבי קונטיינרים |
resource.type="k8s_container" AND
log_id("clouderrorreporting.googleapis.com/insights")
|
| יומני קונטיינרים של Kubernetes |
resource.type="k8s_container" AND
resource.labels.container_name="CONTAINER_NAME"
|
שאילתות במישור הבקרה
הערה: צריך להפעיל את היומנים של מישור הבקרה של GKE.
| שם המסנן |
ביטוי |
| יומנים של שרת Kubernetes API |
resource.type="k8s_control_plane_component"
resource.labels.component_name="apiserver"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
|
| יומנים של Kubernetes Scheduler |
resource.type="k8s_control_plane_component"
resource.labels.component_name="scheduler"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
|
| יומנים של Kubernetes Controller Manager |
resource.type="k8s_control_plane_component"
resource.labels.component_name="controller-manager"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
|
שאילתות לגבי עומסי עבודה של TPU
הערה: צריך להפעיל את הרישום ביומן של המערכת ועומסי העבודה ב-GKE.
| שם המסנן |
ביטוי |
| יומני קונטיינר של stdout בכל צמתי ה-TPU עם אותה תחילית
|
resource.type="k8s_container" AND
labels."compute.googleapis.com/resource_name"=~"TPU_NODE_PREFIX.*" AND
log_id("stdout")
|
| יומני שגיאות של מאגרי תגים בכל צמתי ה-TPU עם אותו קידומת
|
resource.type="k8s_container" AND
labels."compute.googleapis.com/resource_name"=~"TPU_NODE_PREFIX.*" AND
log_id("stderr") AND
severity=ERROR
|
| יומני קונטיינרים של Stdout מאותו GKE Job
|
resource.type="k8s_container" AND
labels."k8s-pod/batch.kubernetes.io/job-name" = "JOB_NAME" AND
log_id("stdout")
|
| יומני שגיאות של קונטיינרים מאותו GKE Job
|
resource.type="k8s_container" AND
labels."k8s-pod/batch.kubernetes.io/job-name"="JOB_NAME" AND
log_id("stderr") AND
severity=ERROR
|
| יומני קונטיינרים של Stdout מאותו GKE JobSet
|
resource.type="k8s_container" AND
labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="JOBSET_NAME" AND
log_id("stdout")
|
| יומני שגיאות של קונטיינרים מאותו GKE JobSet
|
resource.type="k8s_container" AND
labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="JOBSET_NAME" AND
log_id("stderr") AND
severity=ERROR
|
שאילתות של אפליקציות צד שלישי
השאילתות הבאות משתמשות במזהי היומן שמוגדרים כברירת מחדל עבור יומנים שנאספים על ידי סוכן Logging מדור קודם. אם אתם אוספים יומנים באמצעות סוכן תפעול, יכול להיות ששמות היומנים מוגדרים בצורה שונה. מידע נוסף על סוכן תפעול ועל יומני אפליקציות זמין במאמר איסוף יומנים מאפליקציות של צד שלישי.
| שם השאילתה או המסנן |
ביטוי |
| יומני Apache |
resource.type="gce_instance" AND
(logName:"/apache-access" OR logName:"/apache-error") |
| יומנים של Cassandra |
resource.type="gce_instance" AND
log_id("cassandra") |
| יומני שף |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/chef-" |
| יומני GitLab |
resource.type="gce_instance"
logName:"projects/PROJECT_ID/logs/gitlab-" |
| יומני Jenkins |
resource.type="gce_instance" AND
log_id("jenkins") |
| יומני Jetty |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/jetty-" |
| יומנים של Joomla |
resource.type="gce_instance" AND
log_id("joomla") |
| יומני מערכת של Linux |
resource.type="gce_instance" AND
log_id("syslog") |
| יומנים של Magneto |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/magneto-" |
| יומנים של Mediawiki |
resource.type="gce_instance" AND
log_id("mediawiki") |
| יומני memcached |
resource.type="gce_instance" AND
log_id("memcached") |
| יומנים של MongoDB |
resource.type="gce_instance" AND
log_id("mongodb") |
| יומני MySQL |
resource.type="gce_instance" AND
log_id("mysql") |
| יומני Nginx |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/nginx-" |
| יומני PostgreSQL |
resource.type="gce_instance" AND
log_id("postgresql") |
| יומני Puppet |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/puppet-" |
| יומנים של RabbitMQ |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/rabbitmq-" |
| יומנים של Redmine |
resource.type="gce_instance" AND
log_id("redmine") |
| יומני מלח |
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/salt-" |
| שאילתות MySQL איטיות |
resource.type="gce_instance" AND
log_id("mysql-slow") |
| יומני Solr |
resource.type="gce_instance" AND
log_id("solr") |
| יומנים של SugarCRM |
resource.type="gce_instance" AND
log_id("sugarcrm") |
| יומני Tomcat |
resource.type="gce_instance" AND
log_id("tomcat") |
| יומנים של Zookeeper |
resource.type="gce_instance" AND
log_id("zookeeper") |
שאילתות לגבי הרשת
| שם השאילתה או המסנן |
ביטוי |
| חומת אש – כל היומנים |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") |
| יומני חומת אש למדינה מסוימת |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
jsonPayload.remote_location.country=COUNTRY_ISO_ALPHA_3 |
| יומני חומת אש ממכונה וירטואלית |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
jsonPayload.instance.vm_name="INSTANCE_NAME" |
| יומני חומת אש של רשתות משנה |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
resource.labels.subnetwork_name="SUBNET_NAME" |
| יומני תעבורה של רשת משנה ב-Compute Engine לרשת משנה |
resource.type="gce_subnetwork" AND
ip_in_net(jsonPayload.connection.dest_ip, "SUBNET_IP") |
| VPC Flow logs |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") |
| VPC Flow logs ליציאה ולפרוטוקול ספציפיים |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
jsonPayload.connection.src_port="PORT_ID" AND
jsonPayload.connection.protocol="PROTOCOL" |
| VPC Flow logs לרשת משנה ספציפית |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
resource.labels.subnetwork_name"=SUBNET_NAME" |
| VPC Flow logs עבור קידומת ספציפית של רשת משנה |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
ip_in_net(jsonPayload.connection.dest_ip,SUBNET_IP) |
| VPC Flow logs עבור מכונה וירטואלית ספציפית |
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
jsonPayload.src_instance.vm_name="VM_NAME" |
| יומנים של שער VPN |
resource.type="vpn_gateway" AND
resource.labels.gateway_id="GATEWAY_ID" |
| שגיאות 5xx של מאזן עומסים ב-HTTP |
resource.type="http_load_balancer" AND
httpRequest.status>=500 |
| בקשות של מאזן עומסים מסוג HTTP אל PHPMyAdmin |
resource.type="http_load_balancer" AND
httpRequest.request_url:"phpmyadmin" |
שאילתות אבטחה
| שם השאילתה או המסנן |
ביטוי |
| יומני ביקורת – כל היומנים |
logName:"cloudaudit.googleapis.com" |
| יומני ביקורת – Access Transparency (AXT) |
log_id("cloudaudit.googleapis.com/access_transparency") |
| יומני ביקורת – פעילות של אדמינים |
log_id("cloudaudit.googleapis.com/activity") |
| יומני ביקורת – גישה לנתונים |
log_id("cloudaudit.googleapis.com/data_access") |
| יומני ביקורת – System Event |
log_id("cloudaudit.googleapis.com/system_event") |
פתרון בעיות
הוראות לפתרון בעיות נפוצות בשימוש ב-Logs Explorer מופיעות במאמר שימוש ב-Logs Explorer: פתרון בעיות.
המאמרים הבאים
מידע נוסף על תחביר השאילתות, שבו אפשר להשתמש כדי להתאים אישית את השאילתות האלה, זמין במאמר שפת שאילתות לרישום ביומן.
מידע נוסף על שליחת שאילתות במסוף Google Cloud זמין במאמר יצירת שאילתות באמצעות שפת השאילתות של רישום ביומן.
