Query di esempio

Questo documento fornisce query suggerite per semplificare la ricerca di log importanti utilizzando Esplora log nella console Google Cloud . Le query elencate sono scritte nel linguaggio di query di Logging e possono essere utilizzate in Esplora log, nell'API Logging o nell'interfaccia a riga di comando.

Esplora log utilizza espressioni booleane per specificare un sottoinsieme di tutte le voci di log nel progetto. Puoi utilizzare queste query per scegliere le voci di log da log o servizi di log specifici oppure che soddisfano condizioni su metadati o campi definiti dall'utente.

Prima di iniziare

Assicurati di disporre dei ruoli o delle autorizzazioni Identity and Access Management corretti per creare query utilizzando Esplora log. Per informazioni dettagliate sulle autorizzazioni IAM necessarie, consulta Autorizzazioni per la console Google Cloud .

Inizia

  1. Nella console Google Cloud , vai alla pagina Esplora log:

    Vai a Esplora log

    Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

  2. Seleziona il progetto Google Cloud o un'altra risorsa Google Cloud appropriati per cui vuoi visualizzare i log.

Utilizzare le query di esempio

Per applicare una query dalle tabelle seguenti, fai clic sull'icona Copia contenuti per l'espressione, quindi incolla l'espressione copiata nel campo dell'editor query di Esplora log.

Lo screenshot seguente mostra il riquadro della query:

L'editor di query mostra dove inserire una query

Se non vedi il campo dell'editor di query, attiva Mostra query.

Dopo aver esaminato l'espressione di query, fai clic su Esegui query. I log che corrispondono alla tua query sono elencati in Risultati delle query.

Alcune delle query elencate più avanti in questa pagina includono variabili che devi sostituire con valori validi. Ad esempio, quando una query include logName, l'PROJECT_ID che fornisci deve fare riferimento al progettoGoogle Cloud selezionato; in caso contrario, la query non funzionerà.

Tieni presente quanto segue:

  • Se hai una query con un timestamp, il selettore dell'intervallo di tempo è disattivato e la query utilizza l'espressione timestamp come restrizione dell'intervallo di tempo. Se una query non utilizza un'espressione timestamp, la query utilizza il selettore dell'intervallo di tempo come restrizione dell'intervallo di tempo.

  • La lunghezza di una query non può superare i 20.000 caratteri.

  • Il linguaggio di query di Logging non fa distinzione tra maiuscole e minuscole, ad eccezione delle espressioni regolari.

  • Puoi utilizzare la funzione log_id per le query con un'espressione log_name. Ad esempio, l'espressione log_name="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access" è uguale a log_id("cloudaudit.googleapis.com/data_access"). Per saperne di più sulla funzione log_id, consulta Linguaggio di query di Logging: funzioni.

Per istruzioni sull'esecuzione di query nella console Google Cloud , vedi Crea query in Esplora log.

Le sezioni seguenti raggruppano le query per servizi Google Cloud .

Query App Engine

Nome query/filtro Espressione
Log di App Engine della vigilia di Capodanno (in orario UTC) 
resource.type="gae_app" AND
severity>=ERROR AND
timestamp>="2018-12-31T00:00:00Z" AND timestamp<="2019-01-01T00:00:00Z"
Log di richiesta App Engine con errori del server 
resource.type="gae_app" AND
log_id("appengine.googleapis.com/request_log") AND
httpRequest.status>=500
Log degli errori HTTP campionati 
resource.type="gae_app" AND
protoPayload.status >= 400 AND
sample(insertId, 0.1)
Cerca l'ID traccia di App Engine 
resource.type="gae_app" AND
trace="projects/PROJECT_ID/traces/TRACE_ID"
Log di App Engine 
resource.type="gae_app" AND
resource.labels.module_id="MODULE_ID" AND
resource.labels.version_id="VERSION_ID"
Deployment recenti di App Engine 
resource.type="gae_app" AND
protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog" AND
protoPayload.serviceName="appengine.googleapis.com"

Query di attivazione e disattivazione delle API

Nome query/filtro Espressione
Audit log di abilitazione dell'API 
protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.EnableService"
Log di disattivazione dell'API Audit 
protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.DisableService"

Query BigQuery

Nome query/filtro Espressione
Audit log BigQuery 
resource.type=("bigquery_dataset" OR "bigquery_project") AND
logName:"cloudaudit.googleapis.com"
Audit log BigQuery per un progetto 
resource.type="bigquery_project" AND
logName:"cloudaudit.googleapis.com"
Audit log BigQuery per un set di dati 
resource.type="bigquery_dataset" AND
logName:"cloudaudit.googleapis.com"
Audit log BigQuery per il modello BI Engine 
resource.type="bigquery_biengine_model" AND
logName:"cloudaudit.googleapis.com"
Audit log BigQuery per un'esecuzione di Data Transfer Service. 
resource.type="bigquery_dts_run" AND
logName:"cloudaudit.googleapis.com"
Audit log BigQuery per una configurazione di Data Transfer Service. 
resource.type="bigquery_dts_config" AND
logName:"cloudaudit.googleapis.com"
Job di BigQuery Data Transfer Service 
resource.type=("bigquery_project") AND
protoPayload.requestMetadata.callerSuppliedUserAgent=
"BigQuery Data Transfer Service" AND
protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR
"google.cloud.bigquery.v2.JobService.Query")
Log delle esecuzioni di trasferimento BigQuery 
resource.type="bigquery_dts_config" AND
labels.run_id="RUN_ID" AND
resource.labels.config_id="CONFIG_ID"
Aggiornamenti del set di dati BigQuery 
resource.type="bigquery_dataset" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName=
"google.cloud.bigquery.v2.DatasetService.UpdateDataset"
Job BigQuery completati 
resource.type="bigquery_project" AND
log_id("cloudaudit.googleapis.com/data_access") AND
protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob"
OR "google.cloud.bigquery.v2.JobService.Query")
Query BigQuery di grandi dimensioni 
resource.type="bigquery_project" AND
protoPayload.metadata.jobChange.job.jobStats.queryStats.totalBilledBytes
> 1073741824
Quota BigQuery superata 
resource.type=("bigquery_dataset" OR "bigquery_project")
AND
protoPayload.status.code=8 AND
severity>=WARNING
Query BigQuery avviata 
resource.type="bigquery_project" AND
protoPayload.metadata.jobInsertion.reason:*
Job di caricamento/estrazione simultanei di BigQuery 
resource.type="bigquery_resource" AND
protoPayload.methodName="jobservice.insert" AND
protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query:
"extract"
Audit log BigQuery per la policy di accesso a livello di riga 
protoPayload.methodName="jobservice.insert" AND
protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query:"ROW ACCESS POLICY"

Query Dataflow

Nome query/filtro Espressione
Errori e avvisi nei worker di Dataflow 
resource.type="dataflow_step" AND
log_id("dataflow.googleapis.com/worker") AND
severity>=WARNING

Query Dataproc

Nome query/filtro Espressione
Log Dataproc Apache Hadoop 
resource.type="cloud_dataproc_cluster" AND
jsonPayload.class:"org.apache.hadoop.mapreduce"

Cloud Deployment Manager

Nome query/filtro Espressione
Errori Deployment Manager 
resource.type="deployment" AND
severity>=ERROR

Query di Cloud Run Functions

Nome query/filtro Espressione
Errori della funzione Cloud 
resource.type="cloud_function" AND
log_id("cloudfunctions.googleapis.com/cloud-functions") AND
severity>=ERROR

Query di Cloud Monitoring

Nome query/filtro Espressione
Mostra tutti gli errori del canale di notifica
 
resource.type="stackdriver_notification_channel" AND
severity>=ERROR
Mostra gli errori del canale di notifica
dovuti alla limitazione 
resource.type="stackdriver_notification_channel" AND
severity>=ERROR AND
jsonPayload.summary="Notification delivery throttled."
Mostra i log scritti dalla risorsa di uptime
 
resource.type="uptime_url"
Mostra le richieste ricevute dal servizio di controllo dell'uptime
 
"GoogleStackdriverMonitoring-UptimeChecks"

Query Cloud Run

Nome query/filtro Espressione
Log di Cloud Run per un job specifico 
resource.type="cloud_run_job" AND
resource.labels.service_name="JOB_NAME"
Log di Cloud Run per un servizio e una revisione specifici 
resource.type="cloud_run_revision" AND
resource.labels.service_name="SERVICE_NAME"

Query di Cloud Source Repositories

Nome query/filtro Espressione
Log di Cloud Source Repositories 
resource.type="csr_repository" AND
resource.labels.name="REPOSITORY_NAME"

Query Spanner

Nome query/filtro Espressione
Log di Cloud Spanner per un'istanza Spanner specifica 
resource.type="spanner_instance" AND
resource.labels.instance_id="SPANNER_INSTANCE"

Query Cloud SQL

Nome query/filtro Espressione
Audit log di Cloud SQL 
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudaudit.googleapis.com/activity")
Log degli errori Cloud SQL per MySQL 
resource.type="cloudsql_database" AND
log_id("cloudsql.googleapis.com/mysql.err")
Database basati su Cloud SQL MySQL 
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/mysql")
Database basati su Cloud SQL Postgres 
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/postgres.log")
Log degli errori Cloud SQL per SQL Server 
resource.type="cloudsql_database" AND
log_id("cloudsql.googleapis.com/sqlserver.err")
Database basati su Cloud SQL SQL Server 
resource.type="cloudsql_database" AND
resource.labels.database_id="DATABASE_ID" AND
log_id("cloudsql.googleapis.com/sqlagent.out")

Query di Cloud Storage

Nome query/filtro Espressione
Log dei bucket GCS 
resource.type="gcs_bucket" AND
resource.labels.bucket_name="BUCKET_NAME"
Audit log dei bucket GCS 
resource.type="gcs_bucket" AND
logName:"cloudaudit.googleapis.com"
Log di creazione dei bucket GCS 
resource.type="gcs_bucket" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.method_name="storage.buckets.create"
Log di eliminazione dei bucket GCS 
resource.type="gcs_bucket" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.method_name="storage.buckets.delete"

Query Cloud Tasks

Nome query/filtro Espressione
Log della coda di Cloud Tasks 
resource.type="cloud_tasks_queue" AND
resource.labels.queue_id="QUEUE_ID"

Query Compute Engine

Nome query/filtro Espressione
Log delle attività di amministrazione di Compute Engine 
resource.type="gce_instance" AND
log_id("cloudaudit.googleapis.com/activity")
Eliminazione delle regole firewall di Compute Engine 
resource.type="gce_firewall_rule" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"firewalls.delete"
Log di sistema VM di Compute Engine 
resource.type="gce_instance" AND
log_id("syslog")
authlog VM di Compute Engine 
resource.type="gce_instance" AND
log_id("authlog")
Errore host di Compute Engine 
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:"compute.instances.hostError"
OR
operation.producer:"compute.instances.hostError")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
 severity=INFO
Avviso relativo alla memoria dell'host Compute Engine 
resource.type="gce_instance" AND
protoPayload.serviceName="compute.googleapis.com" AND
(jsonPayload.methodName:"compute.instances.host_event_notify"
OR
operation.producer:"compute.instances.host_event_notify") AND
log_id("cloudaudit.googleapis.com/host_event_notify") AND
resource.labels.instance_id="INSTANCE_ID" AND
severity=CRITICAL
Compute Engine Host Migrated 
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:
"compute.instances.migrateOnHostMaintenance"
OR
operation.producer:
"compute.instances.migrateOnHostMaintenance")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO
VM Compute Engine terminata/preemptive 
resource.type="gce_instance"
protoPayload.methodName=~"compute\.instances\.(guestTerminate|preempted)"
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
VM Compute Engine terminata a causa dell'errore di creazione del disco di scratch 
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName="compute.instances.scratchDiskCreationFailed"
OR
operation.producer:
"compute.instances.scratchDiskCreationFailed)
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO
Istanza VM di Compute Engine creata 
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.insert"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.request.name="INSTANCE_NAME"
Istanze VM di Compute Engine eliminate con nome 
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.delete"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.resourceName:"INSTANCE_NAME"
Istanza VM di Compute Engine eliminata con ID 
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.delete"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.instance_id="INSTANCE_ID"
Riavvio dell'istanza VM di Compute Engine 
resource.type="gce_instance"
protoPayload.methodName=~"compute\.instances\.(
stop|reset|automaticRestart|guestTerminate|
instanceManagerHaltForRestart)"
(log_id("cloudaudit.googleapis.com/activity")
OR log_id("cloudaudit.googleapis.com/system_event"))
resource.labels.instance_id="INSTANCE_ID"
Errore di integrità dell'avvio di Compute Engine Shielded VM 
resource.type="gce_instance"
log_id("compute.googleapis.com/shielded_vm_integrity")
jsonPayload.earlyBootReportEvent.policyEvaluationPassed="false"
resource.labels.instance_id="INSTANCE_ID"
Istanza VM di Compute Engine arrestata dal sistema operativo guest 
resource.type="gce_instance"
protoPayload.serviceName="compute.googleapis.com"
(protoPayload.methodName:"compute.instances.guestTerminate" OR
operation.producer:"compute.instances.guestTerminate")
log_id("cloudaudit.googleapis.com/system_event")
resource.labels.instance_id="INSTANCE_ID"
severity=INFO
Il file di avvio di Compute Engine Shielded VM è stato bloccato 
resource.type="gce_instance"
log_id("serialconsole.googleapis.com/serial_port_1_output")
textPayload:("Security Violation")
resource.labels.instance_id="INSTANCE_ID"
Disco permanente creato 
resource.type="gce_disk" AND
protoPayload.methodName:"compute.disks.insert" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.resourceName: "PERSISTENT_DISK_NAME"
Nodi aggiunti nel nodo single-tenant 
resource.type="gce_node_group"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName=~("compute.nodeGroups.addNodes"
OR "compute.nodeGroups.insert")
resource.labels.node_group_id="NODE_GROUP_ID"
severity="INFO"
Eventi di scalabilità automatica nel nodo single-tenant 
resource.type="gce_node_group"
log_id("cloudaudit.googleapis.com/system_event")
protoPayload.methodName=~("compute.nodeGroups.deleteNodes"
OR "compute.nodeGroups.addNodes")
resource.labels.node_group_id="NODE_GROUP_ID"
Snapshot manuale acquisito 
resource.type="gce_snapshot"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.snapshots.insert"
protoPayload.resourceName:"SNAPSHOT_NAME"
Snapshot pianificato acquisito 
resource.type="gce_disk"
log_id("cloudaudit.googleapis.com/system_event")
protoPayload.methodName="ScheduledSnapshots"
protoPayload.response.operationType="createSnapshot"
protoPayload.response.targetLink="PERSISTENT_DISK_NAME"
Pianificazione snapshot creata 
resource.type="gce_resource_policy"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.resourcePolicies.insert"
protoPayload.request.name="SCHEDULE_NAME"
Pianificazione di snapshot allegata 
resource.type="gce_disk"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"compute.disks.addResourcePolicies"
protoPayload.request.resourcePolicys:"SCHEDULE_NAME"
protoPayload.resourceName:"PERSISTENT_DISK_NAME"
Quota superata 
resource.type="gce_instance"
protoPayload.methodName:"compute.instances.insert"
protoPayload.status.message:"QUOTA_EXCEEDED"
severity=ERROR
Esegui query sulle istanze non integre nel gruppo di istanze 
resource.type="gce_instance_group"
resource.labels.instance_group_name="INSTANCE_GROUP_NAME"
jsonPayload.healthCheckProbeResult.healthState="UNHEALTHY"
Esegui query sui membri del gruppo di istanze in un intervallo di tempo nel formato UTC 
resource.type="gce_instance_group_manager"
resource.labels.instance_group_manager_name="INSTANCE_GROUP_NAME"
jsonPayload.@type=
"type.googleapis.com/compute.InstanceGroupManagerEvent"
jsonPayload.instanceHealthStateChange.detailedHealthState="HEALTHY"
timestamp >= START_TIME timestamp <= END_TIME
Istanze aggiunte al gruppo di istanze 
resource.type="gce_instance_group"
protoPayload.methodName:"compute.instanceGroups.addInstances"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.instance_group_name="INSTANCE_GROUP_NAME"
Istanze rimosse dal gruppo di istanze 
resource.type="gce_instance_group"
protoPayload.methodName:"compute.instanceGroups.removeInstances"
log_id("cloudaudit.googleapis.com/activity")
resource.labels.instance_group_name="INSTANCE_GROUP_NAME"
Template di istanza impostato o aggiornato 
resource.type="gce_instance_group_manager"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName=
"v1.compute.instanceGroupManagers.setInstanceTemplate"
resource.labels.instance_group_manager_name="INSTANCE_GROUP_MANAGER"
Regola firewall eliminata 
resource.type="gce_firewall_rule"
log_id("cloudaudit.googleapis.com/activity")
protoPayload.methodName:"firewalls.delete"
Log dei firewall 
resource.type="gce_subnetwork"
log_id("compute.googleapis.com/firewall")
jsonPayload.instance.vm_name="INSTANCE_NAME"

Query Google Cloud Observability

Nome query/filtro Espressione
Attività sink di log 
resource.type="logging_sink" AND
log_id("cloudaudit.googleapis.com/activity")
Attività di creazione o aggiornamento di una metrica basata su log 
resource.type="metric" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:(UpdateLogMetric OR CreateLogMetric)
Controlli degli URL di uptime per un host 
resource.type="uptime_url" AND
resource.labels.host="URL"

Query Identity and Access Management

Nome query/filtro Espressione
Log di creazione dei service account 
resource.type="service_account" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.iam.admin.v1.CreateServiceAccount"
Log delle chiavi per la creazione di service account 
resource.type="service_account" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.iam.admin.v1.CreateServiceAccountKey"
Imposta i log delle policy di controllo dell'accesso 
resource.type="project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="SetIamPolicy"
Entità esterna a cui è stato concesso l'accesso all'organizzazione 
resource.type="project" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog" AND
protoPayload.request.@type:"IamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:* AND
NOT protoPayload.serviceData.policyDelta.bindingDeltas.member:"@DOMAIN_NAME.com"
Creazione, modifica o eliminazione di risorse 
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:("create" OR "delete" OR "update")
Ruolo concesso all'entità 
log_id("cloudaudit.googleapis.com/activity") AND
resource.type="project" AND
protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND
protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.action="Add" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID"
Ruolo rimosso dall'entità 
log_id("cloudaudit.googleapis.com/activity") AND
resource.type="project" AND
protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND
protoPayload.methodName="SetIamPolicy" AND
protoPayload.serviceData.policyDelta.bindingDeltas.action="Remove" AND
protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID"
Autorizzazione aggiornata in un ruolo personalizzato 
log_id("cloudaudit.googleapis.com/activity") AND
resource.type="iam_role" AND
protoPayload.serviceName="iam.googleapis.com" AND
protoPayload.methodName:"UpdateRole" AND
resource.labels.role_name:"ROLE_ID"

Query correlate a Kubernetes

Per una panoramica ed esempi di query del log di controllo dell'attività amministrativa, consulta quelli forniti nella pagina Audit logging di GKE.

Query a livello di cluster

Nome query/filtro Espressione
Operazioni cluster Google Kubernetes Engine 
resource.type="gke_cluster" AND
log_id("cloudaudit.googleapis.com/activity")
Creazione del cluster Google Kubernetes Engine 
resource.type="gke_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="google.container.v1.ClusterManager.CreateCluster"
Deployment del cluster Kubernetes 
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"deployments"
Errore di autenticazione del cluster Kubernetes 
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.authenticationInfo.principalEmail="system:anonymous"
Operazioni ed eventi del cluster Kubernetes in us-central1-b 
resource.type="k8s_cluster" AND
resource.labels.location="us-central1-b"
Richieste di pod Kubernetes da parte degli utenti 
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"io.k8s.core.v1.pods" AND
protoPayload.authenticationInfo.principalEmail="USER_EMAIL"
Eventi Kubernetes 
resource.type="k8s_cluster" AND
log_id("events")
Aggiornamento degli endpoint Kubernetes 
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.request.kind="Endpoints"
Log del control plane Kubernetes 
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.serviceName="k8s.io"
Log del control plane Kubernetes Engine 
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.serviceName="container.googleapis.com"
Eliminazione dei pod 
resource.type="k8s_cluster" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName=~"io\.k8s\.core\.v1\.pods\.(create|delete)"
Audit log dei pod Kubernetes dal control plane 
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.resourceName="core/v1/namespaces/POD_NAMESPACE/pods/POD_NAME
Eliminazioni dei pod Kubernetes 
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName="io.k8s.core.v1.pods.eviction.create"
Audit log dei nodi Kubernetes dal control plane 
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.methodName:"io.k8s.core.v1.nodes"
Control plane del cluster Kubernetes per l'attività di Addon Manager 
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.authenticationInfo.principalEmail="system:addon-manager"
Errori del control plane Kubernetes (escluso Conflict, che è normale) 
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("cloudaudit.googleapis.com/activity") AND
protoPayload.status.message!="Conflict" AND
protoPayload.status.code!=0
Eventi del controller Ingress 
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="loadbalancer-controller"
Eventi del service controller (kube-controller-manager) 
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="service-controller"
Eventi del gestore della scalabilità automatica dei cluster 
resource.type="k8s_cluster" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="cluster-autoscaler"

Query a livello di pod

Nome filtro Espressione
Esegui query sul pod durante la creazione 
resource.type="k8s_pod" AND
resource.labels.pod_name="POD_NAME" AND
log_id("events")
Pod di query terminato a causa della pressione delle risorse 
resource.type="k8s_pod" AND
        log_id("events") AND
        jsonPayload.reason="Evicted"
Eventi dello scheduler 
resource.type="k8s_pod" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="default-scheduler"
Eventi del pianificatore (interruzioni) 
resource.type="k8s_pod" AND
resource.labels.location="CLUSTER_LOCATION" AND
resource.labels.cluster_name="CLUSTER_NAME" AND
log_id("events") AND
jsonPayload.source.component="default-scheduler" AND
jsonPayload.reason="Preempted"

Query a livello di nodo

Nome filtro Espressione
Eventi nodo 
resource.type="k8s_node" AND
log_id("events")
Esaminare i log di kube-proxy 
resource.type="k8s_node" AND
log_id("kube-proxy")
Visualizzazione dei log di dockerd 
resource.type="k8s_node" AND
log_id("container-runtime")
Esaminare gli errori o i problemi di kubelet 
resource.type="k8s_node" AND
log_id("kubelet") AND
jsonPayload.MESSAGE:("error" OR "fail")
Esaminare i log dei nodi per i log di sistema GKE 
resource.type = "k8s_node"
logName:( "logs/container-runtime" OR
"logs/docker" OR
"logs/kube-container-runtime-monitor" OR
"logs/kube-logrotate" OR
"logs/kube-node-configuration" OR
"logs/kube-node-installation" OR
"logs/kubelet" OR
"logs/kubelet-monitor" OR
"logs/node-journal" OR
"logs/node-problem-detector")

Query dello spazio dei nomi

Nome filtro Espressione
Log di container e pod per i log di sistema GKE 
resource.type = ("k8s_container" OR "k8s_pod")
resource.labels.namespace_name = (
"cnrm-system" OR
"config-management-system" OR
"gatekeeper-system" OR
"gke-connect" OR
"gke-system" OR
"istio-system" OR
"knative-serving" OR
"monitoring-system" OR
"kube-system")

Query sui container

Nome filtro Espressione
Log stdout dei container in tutti i pod e i container di un cluster 
resource.type="k8s_container" AND
log_id("stdout")
Log degli errori dei container in tutti i pod e i container di un cluster 
resource.type="k8s_container" AND
log_id("stderr") AND
severity=ERROR
Log degli errori dei container per un pod con un nome specifico 
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
severity=ERROR
Log degli errori del container per un container specifico in un pod specifico 
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
resource.labels.container_name="server" AND
severity=ERROR
Log degli errori del container per un container e uno spazio dei nomi specifici 
resource.type="k8s_container" AND
resource.labels.namespace_name="istio-system" AND
resource.labels.container_name="egressgateway" AND
severity=ERROR
Log del container per un pod con un'etichetta specifica 
resource.type="k8s_container" AND
labels."k8s-pod/app"="loadgenerator" AND
severity=ERROR
Log degli errori dei container per i pod in esecuzione su un nodo specifico 
resource.type="k8s_container" AND
labels."compute.googleapis.com/resource_name"=NODE_NAME AND
severity=ERROR
Log dei container per un pod con un'etichetta generata utilizzando Skaffold 
resource.type="k8s_container" AND
labels."k8s-pod/app"="loadgenerator" AND
labels."k8s-pod/skaffold_dev/run-id"=SKAFFOLD_RUN_ID
severity=ERROR
Log degli errori del container per un pod specifico contenente un POST in textPayload 
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
textPayload:"POST" AND
severity=ERROR
Log degli errori del container per un pod specifico contenente un GET nel JSON strutturato 
resource.type="k8s_container" AND
resource.labels.pod_name="POD_NAME" AND
jsonPayload."http.req.method"="GET" AND
severity=ERROR
Log degli errori dei container nello spazio dei nomi kube-system 
resource.type="k8s_container" AND
resource.labels.namespace_name="kube-system" AND
severity=ERROR
Errore del container nel log di Container Insights 
resource.type="k8s_container" AND
log_id("clouderrorreporting.googleapis.com/insights")
Log dei container Kubernetes 
resource.type="k8s_container" AND
resource.labels.container_name="CONTAINER_NAME"

Query del control plane

Nota: i log del control plane GKE devono essere abilitati.
Nome filtro Espressione
Log del server API Kubernetes 
resource.type="k8s_control_plane_component"
resource.labels.component_name="apiserver"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
Log dello scheduler Kubernetes 
resource.type="k8s_control_plane_component"
resource.labels.component_name="scheduler"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"
Log di Kubernetes Controller Manager 
resource.type="k8s_control_plane_component"
resource.labels.component_name="controller-manager"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"

Query sui workload TPU

Nota: il logging del sistema e del workload GKE deve essere abilitato.
Nome filtro Espressione
Log dei container stdout in tutti i nodi TPU con lo stesso prefisso 
resource.type="k8s_container" AND
labels."compute.googleapis.com/resource_name"=~"TPU_NODE_PREFIX.*" AND
log_id("stdout")
Log degli errori dei container in tutti i nodi TPU con lo stesso prefisso 
resource.type="k8s_container" AND
labels."compute.googleapis.com/resource_name"=~"TPU_NODE_PREFIX.*" AND
log_id("stderr") AND
severity=ERROR
Log dei container Stdout dello stesso job GKE 
resource.type="k8s_container" AND
labels."k8s-pod/batch.kubernetes.io/job-name" = "JOB_NAME" AND
log_id("stdout")
Log degli errori dei container dello stesso job GKE 
resource.type="k8s_container" AND
labels."k8s-pod/batch.kubernetes.io/job-name"="JOB_NAME" AND
log_id("stderr") AND
severity=ERROR
Log dei container Stdout dello stesso JobSet GKE 
resource.type="k8s_container" AND
labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="JOBSET_NAME" AND
log_id("stdout")
Log degli errori dei container dello stesso JobSet GKE 
resource.type="k8s_container" AND
labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="JOBSET_NAME" AND
log_id("stderr") AND
severity=ERROR

Query di applicazioni di terze parti

Le seguenti query utilizzano gli ID log predefiniti per i log raccolti dall'agente Logging legacy. Se raccogli i log utilizzando Ops Agent, i nomi dei log potrebbero essere configurati in modo diverso. Per ulteriori informazioni su Ops Agent e sui log delle applicazioni, vedi Recupero dei log da applicazioni di terze parti.

Nome query/filtro Espressione
Log Apache 
resource.type="gce_instance" AND
(logName:"/apache-access" OR logName:"/apache-error")
Log Cassandra 
resource.type="gce_instance" AND
log_id("cassandra")
Log dello chef 
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/chef-"
Log di GitLab 
resource.type="gce_instance"
logName:"projects/PROJECT_ID/logs/gitlab-"
Log Jenkins 
resource.type="gce_instance" AND
log_id("jenkins")
Log Jetty 
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/jetty-"
Log Joomla 
resource.type="gce_instance" AND
log_id("joomla")
Syslog di Linux 
resource.type="gce_instance" AND
log_id("syslog")
Log di Magneto 
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/magneto-"
Log Mediawiki 
resource.type="gce_instance" AND
log_id("mediawiki")
Log Memcached 
resource.type="gce_instance" AND
log_id("memcached")
Log MongoDB 
resource.type="gce_instance" AND
log_id("mongodb")
Log MySQL 
resource.type="gce_instance" AND
log_id("mysql")
Log Nginx 
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/nginx-"
Log PostgreSQL 
resource.type="gce_instance" AND
log_id("postgresql")
Log di Puppet 
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/puppet-"
Log RabbitMQ 
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/rabbitmq-"
Log Redmine 
resource.type="gce_instance" AND
log_id("redmine")
Log del sale 
resource.type="gce_instance" AND
logName:"projects/PROJECT_ID/logs/salt-"
Query MySQL lente 
resource.type="gce_instance" AND
log_id("mysql-slow")
Log Solr 
resource.type="gce_instance" AND
log_id("solr")
Log SugarCRM 
resource.type="gce_instance" AND
log_id("sugarcrm")
Log Tomcat 
resource.type="gce_instance" AND
log_id("tomcat")
Log Zookeeper 
resource.type="gce_instance" AND
log_id("zookeeper")

Query di networking

Nome query/filtro Espressione
Firewall: tutti i log 
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall")
Log dei firewall per un determinato paese 
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
jsonPayload.remote_location.country=COUNTRY_ISO_ALPHA_3
Log dei firewall di una VM 
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
jsonPayload.instance.vm_name="INSTANCE_NAME"
Log delle subnet firewall 
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/firewall") AND
resource.labels.subnetwork_name="SUBNET_NAME"
Log del traffico della subnet di Compute Engine in una subnet 
resource.type="gce_subnetwork" AND
ip_in_net(jsonPayload.connection.dest_ip, "SUBNET_IP")
Log di flusso VPC 
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows")
Log di flusso VPC per porta e protocollo specifici 
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
jsonPayload.connection.src_port="PORT_ID" AND
jsonPayload.connection.protocol="PROTOCOL"
Log di flusso VPC per una subnet specifica 
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
resource.labels.subnetwork_name"=SUBNET_NAME"
Log di flusso VPC per un prefisso di subnet specifico 
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
ip_in_net(jsonPayload.connection.dest_ip,SUBNET_IP)
Log di flusso VPC per una VM specifica 
resource.type="gce_subnetwork" AND
log_id("compute.googleapis.com/vpc_flows") AND
jsonPayload.src_instance.vm_name="VM_NAME"
Log del gateway VPN 
resource.type="vpn_gateway" AND
resource.labels.gateway_id="GATEWAY_ID"
Errori 5xx del bilanciatore del carico HTTP 
resource.type="http_load_balancer" AND
httpRequest.status>=500
Richieste del bilanciatore del carico HTTP a PHPMyAdmin 
resource.type="http_load_balancer" AND
httpRequest.request_url:"phpmyadmin"

Query di sicurezza

Nome query/filtro Espressione
Audit log - tutti 
logName:"cloudaudit.googleapis.com"
Log di controllo - Access Transparency (AXT) 
log_id("cloudaudit.googleapis.com/access_transparency")
Audit log - Attività di amministrazione 
log_id("cloudaudit.googleapis.com/activity")
Audit log - Accesso ai dati 
log_id("cloudaudit.googleapis.com/data_access")
Audit log - Evento di sistema 
log_id("cloudaudit.googleapis.com/system_event")

Risoluzione dei problemi

Per istruzioni sulla risoluzione dei problemi comuni durante l'utilizzo di Esplora log, vedi Utilizzo di Esplora log: risoluzione dei problemi.

Passaggi successivi

Per saperne di più sulla sintassi delle query, che puoi utilizzare per personalizzare queste query, consulta Linguaggio di query di Logging.

Per saperne di più sull'esecuzione di query nella console Google Cloud , consulta Crea query utilizzando il linguaggio di query di Logging.