Telemetriedaten mit Loganalysen abfragen und analysieren

In diesem Dokument wird beschrieben, wie Sie Ihre Log- und Tracedaten mit Loganalysen abfragen und analysieren. Loganalysen bieten eine SQL-basierte Abfrageschnittstelle. Mit SQL können Sie Aggregatanalysen durchführen, um Statistiken zu generieren und Trends zu erkennen. Die Abfrageergebnisse können Sie in Tabellenform ansehen oder die Daten in Diagrammen visualisieren. Sie können diese Tabellen und Diagramme auch in Ihren benutzerdefinierten Dashboards speichern.

Verknüpfte BigQuery-Datasets

Sie benötigen kein verknüpftes BigQuery-Dataset, um Ihre Logdaten, Ihre Tracedaten oder beide Datentypen abzufragen, wenn Sie die Seite Loganalysen verwenden.

Sie benötigen ein verknüpftes BigQuery-Dataset, wenn Sie eine der folgenden Aktionen ausführen möchten:

• Log- oder Tracedaten mit anderen BigQuery-Datasets verknüpfen
• Log- oder Tracedaten aus einem anderen Dienst wie BigQuery Studio oder Looker Studio abfragen
• Leistung der Abfragen verbessern, die Sie über Loganalysen ausführen, indem Sie sie in Ihren reservierten BigQuery-Slots ausführen
• Benachrichtigungsrichtlinie erstellen, die das Ergebnis einer SQL-Abfrage überwacht Diese Funktion wird nur unterstützt, wenn Protokolldaten abgefragt werden. Weitere Informationen finden Sie unter SQL-Abfrageergebnisse mit einer Benachrichtigungsrichtlinie überwachen.

In diesem Dokument wird nicht beschrieben, wie Sie ein verknüpftes Dataset erstellen. Dazu ist ein datentypspezifischer Prozess erforderlich. Informationen zum Erstellen eines verknüpften Datasets finden Sie unter Logdaten mit einem verknüpften Dataset abfragen oder Trace-Daten mit einem verknüpften Dataset abfragen.

Hinweis

Melden Sie sich in Ihrem Google Cloud -Konto an. Wenn Sie mit Google Cloudnoch nicht vertraut sind, erstellen Sie ein Konto, um die Leistungsfähigkeit unserer Produkte in der Praxis sehen und bewerten zu können. Neukunden erhalten außerdem ein Guthaben von 300 $, um Arbeitslasten auszuführen, zu testen und bereitzustellen.

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Aktivieren Sie die Observability API.

Rollen, die zum Aktivieren von APIs erforderlich sind

Zum Aktivieren von APIs benötigen Sie die IAM-Rolle „Service Usage-Administrator“ (roles/serviceusage.serviceUsageAdmin), die die Berechtigung serviceusage.services.enable enthält. Weitere Informationen zum Zuweisen von Rollen

API aktivieren

In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

Roles required to select or create a project

• Select a project: Selecting a project doesn't require a specific IAM role—you can select any project that you've been granted a role on.
• Create a project: To create a project, you need the Project Creator role (roles/resourcemanager.projectCreator), which contains the resourcemanager.projects.create permission. Learn how to grant roles.

Go to project selector

Verify that billing is enabled for your Google Cloud project.

Aktivieren Sie die Observability API.

Rollen, die zum Aktivieren von APIs erforderlich sind

Zum Aktivieren von APIs benötigen Sie die IAM-Rolle „Service Usage-Administrator“ (roles/serviceusage.serviceUsageAdmin), die die Berechtigung serviceusage.services.enable enthält. Weitere Informationen zum Zuweisen von Rollen

API aktivieren

1. Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Laden der Seite Log Analytics, zum Schreiben, Ausführen und Speichern privater Abfragen für Ihre Tracedaten benötigen:

   • Observability View Accessor (roles/observability.viewAccessor) für die Observability-Ansichten, die Sie abfragen möchten. Diese Rolle unterstützt IAM-Bedingungen, mit denen Sie die Zuweisung auf eine bestimmte Ansicht beschränken können. Wenn Sie der Rollenzuweisung keine Bedingung hinzufügen, kann das Hauptkonto auf alle Ansichten für die Beobachtbarkeit zugreifen. Ansichten für die Beobachtbarkeit sind in der öffentlichen Vorschau verfügbar.
   • Observability Analytics User (roles/observability.analyticsUser) für Ihr Projekt. Diese Rolle enthält die Berechtigungen, die zum Speichern und Ausführen privater Abfragen sowie zum Ausführen freigegebener Abfragen erforderlich sind.
   • Loganzeige (roles/logging.viewer) für Ihr Projekt
   • Zugriffsberechtigter für Logbetrachtung (roles/logging.viewAccessor) für das Projekt, in dem die Logansichten gespeichert sind, die Sie abfragen möchten.

   Weitere Informationen zum Zuweisen von Rollen finden Sie unter Zugriff auf Projekte, Ordner und Organisationen verwalten.

   Sie können die erforderlichen Berechtigungen auch über benutzerdefinierte Rollen oder andere vordefinierte Rollen erhalten.

Log- und Tracedaten abfragen

In diesem Abschnitt werden die Ansätze beschrieben, mit denen Sie Ihre Log- und Tracedaten abfragen können:

• Laden Sie eine systemdefinierte Abfrage, bearbeiten Sie sie und führen Sie sie dann aus.
• Geben Sie eine benutzerdefinierte Abfrage ein und führen Sie sie aus. Sie können beispielsweise eine vorhandene Anfrage einfügen oder eine neue schreiben. Benutzerdefinierte Abfragen können Joins, verschachtelte Abfragen und andere komplexe SQL-Anweisungen enthalten. Beispiele finden Sie unter Beispiel-SQL-Abfragen.
• Erstellen Sie eine Abfrage, indem Sie Menüauswahlen treffen, und führen Sie die Abfrage dann aus. Bei Loganalysen werden Ihre Auswahlmöglichkeiten in eine SQL-Abfrage umgewandelt, die Sie sich ansehen und bearbeiten können.

Systemdefinierte Abfrage laden, bearbeiten und ausführen

1. Rufen Sie in der Google Cloud -Console die Seite manage_searchLoganalysen auf.

   Zu Loganalysen

   Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis mit der Zwischenüberschrift Logging aus.

2. Wählen Sie im Menü Ansichten eine Ansicht aus.

   Verwenden Sie die filter_list Filterleiste oder scrollen Sie durch die Liste, um die Ansicht zu finden, die Sie abfragen möchten:

   • Logansichten, die im Bereich Segment Logs aufgeführt sind, werden nach Bucket- und Ansichts-IDs sortiert.

   • Analytics-Datenansichten, die im Abschnitt Analytics-Datenansichten der data_table aufgeführt sind, werden nach Standort und ID der Datenansicht sortiert. Ansichten für die Beobachtbarkeit sind in der öffentlichen Vorschau verfügbar.

   • Es gibt eine Trace-Ansicht, die im Bereich Traces (Traces) aufgeführt ist. Ansichten für die Beobachtbarkeit sind in der öffentlichen Vorschau verfügbar.

     Wenn Sie keine Ansicht mit dem Namen _Trace.Spans._AllSpans sehen, enthält IhrGoogle Cloud -Projekt keinen Beobachtungs-Bucket mit dem Namen _Trace. Informationen zur Behebung dieses Fehlers finden Sie unter Fehler bei der Initialisierung des Trace-Speichers.

3. Führen Sie einen der folgenden Schritte aus:

   • Wenn Sie eine systemdefinierte Abfrage laden möchten, die auf dem Query Builder basiert, mit dem Sie die Abfrage über Menüauswahlen definieren können, muss im Bereich Query (Abfrage) Query Builder angezeigt werden. Wenn ein SQL-Editor angezeigt wird, klicken Sie auf tune Builder.

   • Wenn Sie eine vom System definierte Abfrage laden möchten, mit der JSON-Werte extrahiert werden, muss im Bereich Abfrage der SQL-Editor angezeigt werden. Wenn in diesem Bereich Query Builder angezeigt wird, klicken Sie auf code SQL.

4. Wählen Sie im Bereich Schema die Option Abfrage aus und klicken Sie dann auf Überschreiben.

   Im Bereich Abfrage wird eine systemdefinierte Abfrage angezeigt. Wenn Sie den Modus Abfrage-Generator ausgewählt haben, aber die SQL-Abfrage sehen möchten, klicken Sie auf code SQL.

5. Optional: Ändern Sie die Abfrage.

6. Klicken Sie zum Ausführen der Abfrage in der Symbolleiste auf Abfrage ausführen.

   Log Analytics präsentiert die Abfrageergebnisse in einer Tabelle. Sie können jedoch ein Diagramm erstellen und die Tabelle oder das Diagramm in einem benutzerdefinierten Dashboard speichern. Weitere Informationen finden Sie unter SQL-SQL-Abfrage darstellen.

   Wenn in der Symbolleiste In BigQuery ausführen angezeigt wird, müssen Sie die Standard-Abfrage-Engine für Loganalysen verwenden. Klicken Sie dazu in der Symbolleiste des Bereichs Abfrage auf settings Einstellungen und wählen Sie dann Analytics (Standard) aus.

Benutzerdefinierte Abfrage eingeben und ausführen

So geben Sie eine SQL-Abfrage ein:

1. Rufen Sie in der Google Cloud -Console die Seite manage_searchLoganalysen auf.

   Zu Loganalysen

   Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis mit der Zwischenüberschrift Logging aus.

2. Klicken Sie im Bereich Abfrage auf code SQL.

   • Wir empfehlen, den Zeitraum über die Zeitraumauswahl festzulegen. Wenn Sie eine WHERE-Klausel hinzufügen, in der das Feld timestamp angegeben ist, wird die Einstellung in der Zeitraumauswahl überschrieben und die Auswahl wird deaktiviert.

   • Beispiele finden Sie unter Beispiel-SQL-Abfragen.

   • Die Ansicht, die Sie abfragen, bestimmt das Format der FROM-Klausel:

     Logdaten

     Sie können Logansichten oder Analytics-Ansichten abfragen. Verwenden Sie das folgende Format für die FROM-Klausel:

     • Logansichten:

       FROM `PROJECT_ID.LOCATION.BUCKET_ID.LOG_VIEW_ID`
       

     • Analytics-Datenansichten:

       FROM `analytics_view.PROJECT_ID.LOCATION.ANALYTICS_VIEW_ID`
       

     Die Felder in den vorherigen Ausdrücken haben die folgende Bedeutung:

     • PROJECT_ID: Die Kennung des Projekts.
     • LOCATION: Der Speicherort der Logansicht oder der Analyseansicht.
     • BUCKET_ID: Der Name oder die ID des Log-Buckets.
     • LOG_VIEW_ID: Die Kennung der Logansicht. Sie ist auf 100 Zeichen begrenzt und darf nur Buchstaben, Ziffern, Unterstriche und Bindestriche enthalten.
     • ANALYTICS_VIEW_ID: Die ID der Analytics-Ansicht. Sie ist auf 100 Zeichen begrenzt und darf nur Buchstaben, Ziffern, Unterstriche und Bindestriche enthalten.

     Wenn im Bereich „Abfrage“ eine Fehlermeldung angezeigt wird, die auf die FROM-Anweisung verweist, kann die Ansicht nicht gefunden werden. Informationen zur Behebung dieses Fehlers finden Sie unter Fehler: FROM-Klausel muss genau eine Log-Ansicht enthalten.

     Trace-Daten

     Im SQL-Editor wird der vollständig qualifizierte Name für die Ansicht _Trace.Spans._AllSpans angezeigt, der das folgende Format hat:

     FROM `PROJECT_ID.LOCATION._Trace.Spans._AllSpans`
     

     Die Felder im vorherigen Ausdruck haben die folgende Bedeutung:

     • PROJECT_ID: Die Kennung des Projekts.
     • LOCATION: Der Speicherort des Observability-Buckets.

     Wenn im Bereich „Abfrage“ eine Fehlermeldung angezeigt wird, die auf die FROM-Anweisung verweist, kann die Ansicht nicht gefunden werden. Informationen zur Behebung dieses Fehlers finden Sie unter Fehlermeldung, dass eine Ansicht nicht vorhanden ist.

3. Klicken Sie zum Ausführen der Abfrage in der Symbolleiste auf Abfrage ausführen.

   Log Analytics präsentiert die Abfrageergebnisse in einer Tabelle. Sie können jedoch ein Diagramm erstellen und die Tabelle oder das Diagramm in einem benutzerdefinierten Dashboard speichern. Weitere Informationen finden Sie unter SQL-SQL-Abfrage darstellen.

   Wenn in der Symbolleiste In BigQuery ausführen angezeigt wird, müssen Sie die Standard-Abfrage-Engine für Loganalysen verwenden. Klicken Sie dazu in der Symbolleiste des Bereichs Abfrage auf settings Einstellungen und wählen Sie dann Analytics (Standard) aus.

Abfrage erstellen, bearbeiten und ausführen

Über die Benutzeroberfläche von Query Builder können Sie eine Abfrage erstellen, indem Sie eine Auswahl aus den Menüs treffen. In Loganalysen werden Ihre Auswahlmöglichkeiten in eine SQL-Abfrage umgewandelt, die Sie aufrufen und bearbeiten können. Sie können beispielsweise zuerst die Query Builder-Oberfläche verwenden und dann zum SQL-Editor wechseln, um Ihre Abfrage zu verfeinern.

Loganalysen können Ihre Menüauswahlen aus der Abfrage-Builder-Oberfläche immer in eine SQL-Abfrage umwandeln. Allerdings können nicht alle SQL-Abfragen über die Query Builder-Oberfläche dargestellt werden. So können beispielsweise Abfragen mit Joins nicht über diese Schnittstelle dargestellt werden.

So erstellen Sie eine Abfrage:

1. Rufen Sie in der Google Cloud -Console die Seite manage_searchLoganalysen auf.

   Zu Loganalysen

   Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis mit der Zwischenüberschrift Logging aus.

2. Wenn im Bereich Abfrage ein SQL-Editor angezeigt wird, wählen Sie tune Builder aus. Dadurch wird der Bereich Query Builder geöffnet.

3. Wählen Sie im Menü Quelle die Ansicht aus, die Sie abfragen möchten. Ihre Auswahl wird der FROM-Klausel in der SQL-Abfrage zugeordnet.

4. Optional: Mit den folgenden Menüs können Sie die Ergebnistabelle einschränken oder formatieren:

   • Alle Felder durchsuchen: Suchen Sie nach übereinstimmenden Strings. Ihre Auswahl wird der WHERE-Klausel in der SQL-Abfrage zugeordnet.

   • Spalten: Wählen Sie die Spalten aus, die in der Ergebnistabelle angezeigt werden sollen. Ihre Auswahl wird den SELECT-Klauseln in der SQL-Abfrage zugeordnet.

     Wenn Sie in diesem Menü einen Feldnamen auswählen, wird ein Dialogfeld geöffnet. In diesem Dialogfeld haben Sie folgende Möglichkeiten:

     • Verwenden Sie das Menü, um Ihre Daten zu aggregieren oder zu gruppieren.

       Um Syntaxfehler zu vermeiden, werden alle Aggregationen und Gruppierungen, die Sie auf eine Spalte anwenden, automatisch auch auf andere Spalten angewendet. Ein Beispiel für das Aggregieren und Gruppieren von Einträgen finden Sie unter Daten mit dem Query Builder gruppieren und aggregieren.

     • Wandelt einen Wert eines beliebigen Typs in einen anderen angegebenen Datentyp um. Weitere Informationen finden Sie in der Dokumentation zu CAST.

     • Extrahiert einen Teilstring von Werten mithilfe regulärer Ausdrücke. Weitere Informationen finden Sie in der Dokumentation zu REGEXP_EXTRACT.

   • Filter: Fügen Sie Filter hinzu, um die Abfrage auf Zeiträume zu beschränken, die ein bestimmtes Attribut oder eine bestimmte Spannen-ID enthalten. Im Menü werden alle verfügbaren Filteroptionen aufgeführt. Ihre Auswahl wird der WHERE-Klausel in der SQL-Abfrage zugeordnet.

   • Sortieren nach: Legen Sie die Spalten fest, nach denen sortiert werden soll, und ob die Sortierung aufsteigend oder absteigend erfolgen soll. Ihre Auswahl wird der ORDER BY-Klausel in der SQL-Abfrage zugeordnet.

   • Limit: Legen Sie die maximale Anzahl von Zeilen in der Ergebnistabelle fest. Ihre Auswahl wird der LIMIT-Klausel in der SQL-Abfrage zugeordnet.

5. Klicken Sie zum Ausführen der Abfrage in der Symbolleiste auf Abfrage ausführen.

   Log Analytics präsentiert die Abfrageergebnisse in einer Tabelle. Sie können jedoch ein Diagramm erstellen und die Tabelle oder das Diagramm in einem benutzerdefinierten Dashboard speichern. Weitere Informationen finden Sie unter SQL-SQL-Abfrage darstellen.

   Wenn in der Symbolleiste In BigQuery ausführen angezeigt wird, müssen Sie die Standard-Abfrage-Engine für Loganalysen verwenden. Klicken Sie dazu in der Symbolleiste des Bereichs Abfrage auf settings Einstellungen und wählen Sie dann Analytics (Standard) aus.

Beispiel: Daten mit dem Query Builder gruppieren und aggregieren

Wenn Sie eine Spalte im Query Builder auswählen, enthält jedes Feld ein Menü, in dem Sie Gruppierung und Aggregation hinzufügen können. Mit der Gruppierung können Sie Ihre Daten anhand des Werts einer oder mehrerer Spalten in Gruppen einteilen. Mit der Aggregation können Sie Berechnungen für diese Gruppen durchführen, um einen einzelnen Wert zurückzugeben.

Jedes Feld, das Sie im Element Spalten auswählen, hat ein angehängtes Menü mit den folgenden Optionen:

• Keine: Es wird nicht nach diesem Feld gruppiert oder aggregiert.
• Aggregieren: Gruppiert Felder, die im Element Spalten aufgeführt sind, es sei denn, für das Feld ist eine Aggregation ausgewählt. Berechnen Sie für diese Felder den Wert, indem Sie einen Vorgang für alle Einträge in jeder Gruppierung ausführen. Die Operation kann beispielsweise darin bestehen, den Durchschnitt eines Felds zu berechnen oder die Anzahl der Einträge in jeder Gruppierung zu zählen.
• Gruppieren nach: Gruppieren Sie Einträge nach allen Feldern, die im Element Spalten aufgeführt sind.

Im Folgenden sehen Sie, wie Sie eine Abfrage erstellen, die Einträge gruppiert und dann eine Art Aggregation durchführt.

SELECT
  -- Truncate the timestamp by hour.
  TIMESTAMP_TRUNC( timestamp, HOUR ) AS hour_timestamp,
  severity,
  -- Compute average response_size.
  AVG( http_request.response_size ) AS average_http_request_response_size
FROM
  `PROJECT_ID.LOCATION.BUCKET_ID.LOG_VIEW_ID`
WHERE
  -- Matches log entries that have a response_size.
  http_request.response_size IS NOT NULL
GROUP BY
  -- Group log entries by timestamp and severity.
  TIMESTAMP_TRUNC( timestamp, HOUR ),
  severity
LIMIT
  1000

WITH
  scope_query AS (
  SELECT
    *
  FROM
    `PROJECT_ID.global._Trace._AllSpans` )
SELECT
  -- Report the truncated start time, span name, span kind, average duration and number
  -- of entries for each group.
  TIMESTAMP_TRUNC( start_time, HOUR ) AS hour_start_time,
  name AS span_name,
  kind,
  AVG( duration_nano ) AS average_duration_nano,
  COUNT( * ) AS count_all
FROM
  scope_query
GROUP BY
  TIMESTAMP_TRUNC( start_time, HOUR ),
  name,
  kind
LIMIT
  100

Schema anzeigen

Das Schema definiert, wie die Daten gespeichert werden, einschließlich der Felder und ihrer Datentypen. Diese Informationen sind wichtig, da das Schema bestimmt, welche Felder Sie abfragen und ob Sie Felder in andere Datentypen umwandeln müssen. Wenn Sie beispielsweise eine Abfrage schreiben möchten, mit der die durchschnittliche Latenz von HTTP-Anfragen berechnet wird, müssen Sie wissen, wie Sie auf das Latenzfeld zugreifen und ob es als Ganzzahl wie 100 oder als String wie "100" gespeichert ist. Wenn die Latenzdaten als String gespeichert sind, muss der Wert in der Abfrage in einen numerischen Wert umgewandelt werden, bevor ein Durchschnitt berechnet werden kann.

So ermitteln Sie das Schema:

1. Rufen Sie in der Google Cloud -Console die Seite manage_searchLoganalysen auf.

   Zu Loganalysen

   Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis mit der Zwischenüberschrift Logging aus.

2. Wählen Sie im Menü Ansichten eine Ansicht aus.

   Der Bereich Schema wird aktualisiert. In Log Analytics werden die Felder einer Spalte automatisch abgeleitet, wenn der Datentyp JSON ist. Wenn Sie sehen möchten, wie oft diese abgeleiteten Felder in Ihren Daten vorkommen, klicken Sie auf more_vert Optionen und wählen Sie Informationen und Beschreibung ansehen aus.

   Logdaten

   Für Log-Ansichten ist das Schema festgelegt und entspricht dem LogEntry. Bei Analyseansichten können Sie die SQL-Abfrage ändern, um das Schema zu ändern.

   Trace-Daten

   Informationen zum Schema finden Sie unter Speicherschema für Trace-Daten.

   Wenn Sie keine Ansicht mit dem Namen _Trace.Spans._AllSpans sehen, enthält IhrGoogle Cloud -Projekt keinen Beobachtungs-Bucket mit dem Namen _Trace. Informationen zur Behebung dieses Fehlers finden Sie unter Fehler bei der Initialisierung des Trace-Speichers.

Beschränkungen

Wenn Sie mehrere Ansichten abfragen möchten, müssen sich diese am selben Speicherort befinden. Wenn Sie beispielsweise zwei Ansichten am Speicherort us-east1 speichern, können beide Ansichten mit einer einzigen Abfrage abgefragt werden. Sie können auch zwei Ansichten abfragen, die in der Multiregion us gespeichert sind. Wenn der Standort einer Ansicht jedoch global ist, kann sich diese Ansicht an einem beliebigen physischen Standort befinden. Daher können Joins zwischen zwei Ansichten mit dem Standort global fehlschlagen.

Eine Liste der Einschränkungen für Logdaten finden Sie unter Log Analytics: Einschränkungen.

Nächste Schritte

• SQL-SQL-Abfrage darstellen
• Abfragen speichern und freigeben
• SQL-Beispielabfragen