이 문서에서는 Google Cloud 콘솔의 로그 탐색기를 사용하여 중요한 로그를 쉽게 찾을 수 있는 추천 쿼리를 설명합니다. 나열된 쿼리는 Logging 쿼리 언어로 작성되고, 로그 탐색기, Logging API, 명령줄 인터페이스에서 사용할 수 있습니다.
로그 탐색기는 불리언 표현식을 사용하여 프로젝트 내 모든 로그 항목의 하위 집합을 지정합니다. 이러한 쿼리를 사용하여 특정 로그 또는 로그 서비스의 로그 항목을 선택하거나 메타데이터 또는 사용자 정의 필드의 조건을 충족하는 로그 항목을 선택할 수 있습니다.
시작하기 전에
로그 탐색기를 사용하여 쿼리를 빌드하는 데 필요한 올바른 Identity and Access Management 권한 또는 역할이 있는지 확인합니다. 필요한 IAM 권한에 대한 자세한 내용은 Google Cloud 콘솔 권한을 참조하세요.
시작하기
-
Google Cloud 콘솔에서 로그 탐색기 페이지로 이동합니다.
검색창을 사용하여 이 페이지를 찾은 경우 부제목이 Logging인 결과를 선택합니다.
로그를 보려는 적절한 Google Cloud 프로젝트나 다른 Trusted Cloud리소스를 선택합니다.
샘플 쿼리 사용
다음 테이블의 쿼리를 적용하려면 표현식의 content_copy 콘텐츠 복사 아이콘을 클릭한 후 복사된 표현식을 로그 탐색기 쿼리 편집기 필드에 붙여넣습니다.
쿼리 편집기 필드가 표시되지 않으면 쿼리 표시를 사용 설정합니다.
쿼리 표현식을 검토한 후 쿼리 실행을 클릭합니다. 쿼리와 일치하는 로그가 쿼리 결과에 나열됩니다.
이 페이지의 뒷부분에 나열된 쿼리 중 일부에는 올바른 값으로 바꿔야 하는 변수가 포함되어 있습니다. 예를 들어 쿼리에 logName이 포함되어 있으면 제공하는 PROJECT_ID에서 선택된 Google Cloud 프로젝트를 참조해야 합니다. 그렇지 않으면 쿼리가 작동하지 않습니다.
다음에 유의하세요.
타임스탬프가 있는 쿼리의 경우 시간 범위 선택기가 사용 중지되고 쿼리는 시간 범위 제한으로 타임스탬프 표현식을 사용합니다. 쿼리에서 타임스탬프 표현식을 사용하지 않는 경우 쿼리는 시간 범위 선택기를 시간 범위 제한으로 사용합니다.
쿼리 길이는 20,000자(영문 기준)를 초과할 수 없습니다.
Logging 쿼리 언어는 정규 표현식을 제외하고 대소문자를 구분하지 않습니다.
log_id함수를log_name표현식이 있는 쿼리에 사용할 수 있습니다. 예를 들어log_name="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access"표현식은log_id("cloudaudit.googleapis.com/data_access")와 동일합니다.log_id함수에 대한 자세한 내용은 Logging 쿼리 언어: 함수를 참조하세요.
Google Cloud 콘솔의 쿼리에 대한 자세한 내용은 로그 탐색기에서 쿼리 빌드를 참조하세요.
다음 섹션에서는 Trusted Cloud 서비스별로 쿼리를 그룹화합니다.
BigQuery 쿼리
| 쿼리/필터 이름 | 표현식 |
|---|---|
| BigQuery 감사 로그 | resource.type=("bigquery_dataset" OR "bigquery_project") AND logName:"cloudaudit.googleapis.com" |
| 프로젝트의 BigQuery 감사 로그 | resource.type="bigquery_project" AND logName:"cloudaudit.googleapis.com" |
| 데이터 세트의 BigQuery 감사 로그 | resource.type="bigquery_dataset" AND logName:"cloudaudit.googleapis.com" |
| BI Engine 모델의 BigQuery 감사 로그 | resource.type="bigquery_biengine_model" AND logName:"cloudaudit.googleapis.com" |
| Data Transfer Service 실행의 BigQuery 감사 로그 | resource.type="bigquery_dts_run" AND logName:"cloudaudit.googleapis.com" |
| Data Transfer Service 구성의 BigQuery 감사 로그 | resource.type="bigquery_dts_config" AND logName:"cloudaudit.googleapis.com" |
| BigQuery Data Transfer Service 작업 | resource.type=("bigquery_project") AND protoPayload.requestMetadata.callerSuppliedUserAgent= "BigQuery Data Transfer Service" AND protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR "google.cloud.bigquery.v2.JobService.Query") |
| BigQuery 전송 실행 로그 | resource.type="bigquery_dts_config" AND labels.run_id="RUN_ID" AND resource.labels.config_id="CONFIG_ID" |
| BigQuery 데이터 세트 업데이트 | resource.type="bigquery_dataset" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName= "google.cloud.bigquery.v2.DatasetService.UpdateDataset" |
| BigQuery 작업 완료됨 | resource.type="bigquery_project" AND log_id("cloudaudit.googleapis.com/data_access") AND protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR "google.cloud.bigquery.v2.JobService.Query") |
| BigQuery 대규모 쿼리 | resource.type="bigquery_project" AND protoPayload.metadata.jobChange.job.jobStats.queryStats.totalBilledBytes > 1073741824 |
| BigQuery 할당량 초과됨 | resource.type=("bigquery_dataset" OR "bigquery_project") AND protoPayload.status.code=8 AND severity>=WARNING |
| BigQuery 쿼리 시작됨 | resource.type="bigquery_project" AND protoPayload.metadata.jobInsertion.reason:* |
| BigQuery 동시 로드/추출 작업 | resource.type="bigquery_resource" AND protoPayload.methodName="jobservice.insert" AND protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query: "extract" |
| 행 액세스 정책의 BigQuery 감사 로그 | protoPayload.methodName="jobservice.insert" AND protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query:"ROW ACCESS POLICY" |
Cloud SQL 쿼리
| 쿼리/필터 이름 | 표현식 |
|---|---|
| Cloud SQL 감사 로그 | resource.type="cloudsql_database" AND resource.labels.database_id="DATABASE_ID" AND log_id("cloudaudit.googleapis.com/activity") |
| Cloud SQL MySQL 오류 로그 | resource.type="cloudsql_database" AND log_id("cloudsql.googleapis.com/mysql.err") |
| Cloud SQL MySQL 기반 데이터베이스 | resource.type="cloudsql_database" AND resource.labels.database_id="DATABASE_ID" AND log_id("cloudsql.googleapis.com/mysql") |
| Cloud SQL Postgres 기반 데이터베이스 | resource.type="cloudsql_database" AND resource.labels.database_id="DATABASE_ID" AND log_id("cloudsql.googleapis.com/postgres.log") |
| Cloud SQL SQL Server 오류 로그 | resource.type="cloudsql_database" AND log_id("cloudsql.googleapis.com/sqlserver.err") |
| Cloud SQL SQL 서버 기반 데이터베이스 | resource.type="cloudsql_database" AND resource.labels.database_id="DATABASE_ID" AND log_id("cloudsql.googleapis.com/sqlagent.out") |
Cloud Storage 쿼리
| 쿼리/필터 이름 | 표현식 |
|---|---|
| GCS 버킷 로그 | resource.type="gcs_bucket" AND resource.labels.bucket_name="BUCKET_NAME" |
| GCS 버킷 감사 로그 | resource.type="gcs_bucket" AND logName:"cloudaudit.googleapis.com" |
| GCS 버킷 생성 로그 | resource.type="gcs_bucket" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.method_name="storage.buckets.create" |
| GCS 버킷 삭제 로그 | resource.type="gcs_bucket" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.method_name="storage.buckets.delete" |
Compute Engine 쿼리
| 쿼리/필터 이름 | 표현식 |
|---|---|
| Compute Engine 관리자 활동 로그 | resource.type="gce_instance" AND log_id("cloudaudit.googleapis.com/activity") |
| Compute Engine 방화벽 규칙 삭제 | resource.type="gce_firewall_rule" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"firewalls.delete" |
| Compute Engine VM syslog | resource.type="gce_instance" AND log_id("syslog") |
| Compute Engine VM authlog | resource.type="gce_instance" AND log_id("authlog") |
| Compute Engine 호스트 오류 | resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName:"compute.instances.hostError" OR operation.producer:"compute.instances.hostError") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="INSTANCE_ID" severity=INFO |
| Compute Engine 호스트 메모리 알림 | resource.type="gce_instance" AND protoPayload.serviceName="compute.googleapis.com" AND (jsonPayload.methodName:"compute.instances.host_event_notify" OR operation.producer:"compute.instances.host_event_notify") AND log_id("cloudaudit.googleapis.com/host_event_notify") AND resource.labels.instance_id="INSTANCE_ID" AND severity=CRITICAL |
| 마이그레이션된 Compute Engine 호스트 | resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName: "compute.instances.migrateOnHostMaintenance" OR operation.producer: "compute.instances.migrateOnHostMaintenance") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="INSTANCE_ID" severity=INFO |
| Compute Engine VM 종료/선점됨 | resource.type="gce_instance" protoPayload.methodName=~"compute\.instances\.(guestTerminate|preempted)" log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="INSTANCE_ID" |
| 스크래치 디스크 생성 실패로 인해 Compute Engine VM이 종료됨 | resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName="compute.instances.scratchDiskCreationFailed" OR operation.producer: "compute.instances.scratchDiskCreationFailed) log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="INSTANCE_ID" severity=INFO |
| Compute Engine VM 인스턴스 생성됨 | resource.type="gce_instance" protoPayload.methodName:"compute.instances.insert" log_id("cloudaudit.googleapis.com/activity") protoPayload.request.name="INSTANCE_NAME" |
| 이름으로 삭제된 Compute Engine VM 인스턴스 | resource.type="gce_instance" protoPayload.methodName:"compute.instances.delete" log_id("cloudaudit.googleapis.com/activity") protoPayload.resourceName:"INSTANCE_NAME" |
| ID로 삭제된 Compute Engine VM 인스턴스 | resource.type="gce_instance" protoPayload.methodName:"compute.instances.delete" log_id("cloudaudit.googleapis.com/activity") resource.labels.instance_id="INSTANCE_ID" |
| Compute Engine VM 인스턴스 다시 시작됨 | resource.type="gce_instance" protoPayload.methodName=~"compute\.instances\.( stop|reset|automaticRestart|guestTerminate| instanceManagerHaltForRestart)" (log_id("cloudaudit.googleapis.com/activity") OR log_id("cloudaudit.googleapis.com/system_event")) resource.labels.instance_id="INSTANCE_ID" |
| Compute Engine 보안 VM 부팅 무결성 실패 | resource.type="gce_instance" log_id("compute.googleapis.com/shielded_vm_integrity") jsonPayload.earlyBootReportEvent.policyEvaluationPassed="false" resource.labels.instance_id="INSTANCE_ID" |
| 게스트 OS에서 중지한 Compute Engine VM 인스턴스 | resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName:"compute.instances.guestTerminate" OR operation.producer:"compute.instances.guestTerminate") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="INSTANCE_ID" severity=INFO |
| Compute Engine 보안 VM 부팅 파일이 차단됨 | resource.type="gce_instance" log_id("serialconsole.googleapis.com/serial_port_1_output") textPayload:("Security Violation") resource.labels.instance_id="INSTANCE_ID" |
| 영구 디스크 생성 | resource.type="gce_disk" AND protoPayload.methodName:"compute.disks.insert" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.resourceName: "PERSISTENT_DISK_NAME" |
| 단독 테넌트 노드에 추가된 노드 | resource.type="gce_node_group" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName=~("compute.nodeGroups.addNodes" OR "compute.nodeGroups.insert") resource.labels.node_group_id="NODE_GROUP_ID" severity="INFO" |
| 단독 테넌트 노드의 이벤트 자동 확장 | resource.type="gce_node_group" log_id("cloudaudit.googleapis.com/system_event") protoPayload.methodName=~("compute.nodeGroups.deleteNodes" OR "compute.nodeGroups.addNodes") resource.labels.node_group_id="NODE_GROUP_ID" |
| 수동 스냅샷 생성 | resource.type="gce_snapshot" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.snapshots.insert" protoPayload.resourceName:"SNAPSHOT_NAME" |
| 예약된 스냅샷 생성 | resource.type="gce_disk" log_id("cloudaudit.googleapis.com/system_event") protoPayload.methodName="ScheduledSnapshots" protoPayload.response.operationType="createSnapshot" protoPayload.response.targetLink="PERSISTENT_DISK_NAME" |
| 스냅샷 일정 생성 | resource.type="gce_resource_policy" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.resourcePolicies.insert" protoPayload.request.name="SCHEDULE_NAME" |
| 스냅샷 일정 첨부 | resource.type="gce_disk" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.disks.addResourcePolicies" protoPayload.request.resourcePolicys:"SCHEDULE_NAME" protoPayload.resourceName:"PERSISTENT_DISK_NAME" |
| 할당량 초과 | resource.type="gce_instance" protoPayload.methodName:"compute.instances.insert" protoPayload.status.message:"QUOTA_EXCEEDED" severity=ERROR |
| 인스턴스 그룹의 비정상 인스턴스 쿼리 | resource.type="gce_instance_group" resource.labels.instance_group_name="INSTANCE_GROUP_NAME" jsonPayload.healthCheckProbeResult.healthState="UNHEALTHY" |
| UTC 시간 형식의 기간 내에 인스턴스 그룹 구성원 쿼리 |
resource.type="gce_instance_group_manager" resource.labels.instance_group_manager_name="INSTANCE_GROUP_NAME" jsonPayload.@type= "type.googleapis.com/compute.InstanceGroupManagerEvent" jsonPayload.instanceHealthStateChange.detailedHealthState="HEALTHY" timestamp >= START_TIME timestamp <= END_TIME |
| 인스턴스 그룹에서 삭제된 인스턴스 | resource.type="gce_instance_group" protoPayload.methodName:"compute.instanceGroups.removeInstances" log_id("cloudaudit.googleapis.com/activity") resource.labels.instance_group_name="INSTANCE_GROUP_NAME" |
| 인스턴스 템플릿 설정 또는 업데이트 | resource.type="gce_instance_group_manager" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName= "v1.compute.instanceGroupManagers.setInstanceTemplate" resource.labels.instance_group_manager_name="INSTANCE_GROUP_MANAGER" |
| 방화벽 규칙 삭제됨 | resource.type="gce_firewall_rule" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"firewalls.delete" |
| 방화벽 로그 | resource.type="gce_subnetwork" log_id("compute.googleapis.com/firewall") jsonPayload.instance.vm_name="INSTANCE_NAME" |
Google Cloud Observability 쿼리
| 쿼리/필터 이름 | 표현식 |
|---|---|
| 로그 싱크 활동 | resource.type="logging_sink" AND log_id("cloudaudit.googleapis.com/activity") |
Identity and Access Management 쿼리
| 쿼리/필터 이름 | 표현식 |
|---|---|
| 서비스 계정 생성 로그 | resource.type="service_account" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.iam.admin.v1.CreateServiceAccount" |
| 서비스 계정 생성 키 로그 | resource.type="service_account" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.iam.admin.v1.CreateServiceAccountKey" |
| 액세스 제어 정책 설정 로그 | resource.type="project" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="SetIamPolicy" |
| 외부 주 구성원이 조직에 대한 액세스 권한을 부여함 | resource.type="project" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog" AND protoPayload.request.@type:"IamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:* AND NOT protoPayload.serviceData.policyDelta.bindingDeltas.member:"@DOMAIN_NAME.com" |
| 리소스 생성, 수정 또는 삭제 | log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:("create" OR "delete" OR "update") |
| 주 구성원에 부여된 역할 | log_id("cloudaudit.googleapis.com/activity") AND resource.type="project" AND protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.action="Add" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID" |
| 주 구성원에서 삭제된 역할 | log_id("cloudaudit.googleapis.com/activity") AND resource.type="project" AND protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.action="Remove" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID" |
| 커스텀 역할에서 업데이트된 권한 | log_id("cloudaudit.googleapis.com/activity") AND resource.type="iam_role" AND protoPayload.serviceName="iam.googleapis.com" AND protoPayload.methodName:"UpdateRole" AND resource.labels.role_name:"ROLE_ID" |
Kubernetes 관련 쿼리
관리자 활동 감사 로그 쿼리의 개요 및 예시는 GKE 감사 로깅 페이지에서 제공되는 항목을 참조하세요.클러스터 수준 쿼리
| 쿼리/필터 이름 | 표현식 |
|---|---|
| Google Kubernetes Engine 클러스터 작업 | resource.type="gke_cluster" AND log_id("cloudaudit.googleapis.com/activity") |
| Google Kubernetes Engine 클러스터 만들기 |
resource.type="gke_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.container.v1.ClusterManager.CreateCluster" |
| Kubernetes 클러스터 배포 |
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"deployments" |
| Kubernetes 클러스터 인증 실패 |
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.authenticationInfo.principalEmail="system:anonymous" |
us-central1-b의 Kubernetes 클러스터 작업과 이벤트 |
resource.type="k8s_cluster" AND resource.labels.location="us-central1-b" |
| 사용자의 Kubernetes 포드 요청 |
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"io.k8s.core.v1.pods" AND protoPayload.authenticationInfo.principalEmail="USER_EMAIL" |
| Kubernetes 이벤트 |
resource.type="k8s_cluster" AND log_id("events") |
| Kubernetes 엔드포인트 업데이트 |
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.request.kind="Endpoints" |
| Kubernetes 컨트롤 플레인 로그 |
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.serviceName="k8s.io" |
| Kubernetes Engine 컨트롤 플레인 로그 |
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.serviceName="container.googleapis.com" |
| 포드 삭제 |
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName=~"io\.k8s\.core\.v1\.pods\.(create|delete)" |
| 컨트롤 플레인의 Kubernetes 포드 감사 로그 |
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.resourceName="core/v1/namespaces/POD_NAMESPACE/pods/POD_NAME |
| Kubernetes 포드 제거 |
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="io.k8s.core.v1.pods.eviction.create" |
| 컨트롤 플레인의 Kubernetes 노드 감사 로그 |
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"io.k8s.core.v1.nodes" |
| 부가기능 관리자 활동의 Kubernetes 클러스터 컨트롤 플레인 |
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.authenticationInfo.principalEmail="system:addon-manager" |
Kubernetes 컨트롤 플레인 오류(정상적인 Conflict 제외) |
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.status.message!="Conflict" AND protoPayload.status.code!=0 |
| 인그레스 컨트롤러 이벤트 |
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("events") AND jsonPayload.source.component="loadbalancer-controller" |
| 서비스 컨트롤러 이벤트(kube-controller-manager) |
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("events") AND jsonPayload.source.component="service-controller" |
| 클러스터 자동 확장 처리 이벤트 |
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("events") AND jsonPayload.source.component="cluster-autoscaler" |
포드 수준 쿼리
| 필터 이름 | 표현식 |
|---|---|
| 생성 중 쿼리 포드 |
resource.type="k8s_pod" AND resource.labels.pod_name="POD_NAME" AND log_id("events") |
| 리소스 압력으로 인해 종료된 쿼리 포드 |
resource.type="k8s_pod" AND log_id("events") AND jsonPayload.reason="Evicted" |
| 스케줄러 이벤트 |
resource.type="k8s_pod" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("events") AND jsonPayload.source.component="default-scheduler" |
| 스케줄러 이벤트(선점) |
resource.type="k8s_pod" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("events") AND jsonPayload.source.component="default-scheduler" AND jsonPayload.reason="Preempted" |
노드 수준 쿼리
| 필터 이름 | 표현식 |
|---|---|
| 노드 이벤트 |
resource.type="k8s_node" AND log_id("events") |
| Kube-proxy 로그 보기 |
resource.type="k8s_node" AND log_id("kube-proxy") |
| dockerd 로그 보기 |
resource.type="k8s_node" AND log_id("container-runtime") |
| kubelet 오류 또는 실패 보기 |
resource.type="k8s_node" AND log_id("kubelet") AND jsonPayload.MESSAGE:("error" OR "fail") |
| GKE 시스템 로그의 노드 로그 보기 |
resource.type = "k8s_node" logName:( "logs/container-runtime" OR "logs/docker" OR "logs/kube-container-runtime-monitor" OR "logs/kube-logrotate" OR "logs/kube-node-configuration" OR "logs/kube-node-installation" OR "logs/kubelet" OR "logs/kubelet-monitor" OR "logs/node-journal" OR "logs/node-problem-detector") |
네임스페이스 쿼리
| 필터 이름 | 표현식 |
|---|---|
| GKE 시스템 로그의 컨테이너 및 포드 로그 |
resource.type = ("k8s_container" OR "k8s_pod") resource.labels.namespace_name = ( "cnrm-system" OR "config-management-system" OR "gatekeeper-system" OR "gke-connect" OR "gke-system" OR "istio-system" OR "knative-serving" OR "monitoring-system" OR "kube-system") |
컨테이너 쿼리
| 필터 이름 | 표현식 |
|---|---|
| 클러스터에 있는 모든 포드와 컨테이너의 Stdout 컨테이너 로그 |
resource.type="k8s_container" AND log_id("stdout") |
| 클러스터에 있는 모든 포드 및 컨테이너의 컨테이너 오류 로그 |
resource.type="k8s_container" AND log_id("stderr") AND severity=ERROR |
| 특정 이름을 가진 포드의 컨테이너 오류 로그 |
resource.type="k8s_container" AND resource.labels.pod_name="POD_NAME" AND severity=ERROR |
| 특정 포드에 있는 특정 컨테이너의 컨테이너 오류 로그 |
resource.type="k8s_container" AND resource.labels.pod_name="POD_NAME" AND resource.labels.container_name="server" AND severity=ERROR |
| 특정 네임스페이스 및 컨테이너의 컨테이너 오류 로그 |
resource.type="k8s_container" AND resource.labels.namespace_name="istio-system" AND resource.labels.container_name="egressgateway" AND severity=ERROR |
| 특정 라벨이 있는 포드의 컨테이너 로그 |
resource.type="k8s_container" AND labels."k8s-pod/app"="loadgenerator" AND severity=ERROR |
| 특정 노드에서 실행되는 포드의 컨테이너 오류 로그 |
resource.type="k8s_container" AND labels."compute.googleapis.com/resource_name"=NODE_NAME AND severity=ERROR |
| skaffold를 사용하여 생성된 라벨이 있는 포드의 컨테이너 로그 |
resource.type="k8s_container" AND labels."k8s-pod/app"="loadgenerator" AND labels."k8s-pod/skaffold_dev/run-id"=SKAFFOLD_RUN_ID severity=ERROR |
textPayload에 POST가 포함된 특정 포드의 컨테이너 오류 로그 |
resource.type="k8s_container" AND resource.labels.pod_name="POD_NAME" AND textPayload:"POST" AND severity=ERROR |
구조화된 JSON에 GET이 포함된 특정 포드의 컨테이너 오류 로그 |
resource.type="k8s_container" AND resource.labels.pod_name="POD_NAME" AND jsonPayload."http.req.method"="GET" AND severity=ERROR |
| kube-system 네임스페이스의 컨테이너 오류 로그 |
resource.type="k8s_container" AND resource.labels.namespace_name="kube-system" AND severity=ERROR |
| 컨테이너 통계 로그의 컨테이너 오류 |
resource.type="k8s_container" AND log_id("clouderrorreporting.googleapis.com/insights") |
| Kubernetes 컨테이너 로그 |
resource.type="k8s_container" AND resource.labels.container_name="CONTAINER_NAME" |
컨트롤 플레인 쿼리
참고: GKE 컨트롤 플레인 로그를 사용 설정해야 합니다.| 필터 이름 | 표현식 |
|---|---|
| Kubernetes API 서버 로그 |
resource.type="k8s_control_plane_component" resource.labels.component_name="apiserver" resource.labels.location="CLUSTER_LOCATION" resource.labels.cluster_name="CLUSTER_NAME" |
| Kubernetes 스케줄러 로그 |
resource.type="k8s_control_plane_component" resource.labels.component_name="scheduler" resource.labels.location="CLUSTER_LOCATION" resource.labels.cluster_name="CLUSTER_NAME" |
| Kubernetes 컨트롤러 관리자 로그 |
resource.type="k8s_control_plane_component" resource.labels.component_name="controller-manager" resource.labels.location="CLUSTER_LOCATION" resource.labels.cluster_name="CLUSTER_NAME" |
TPU 워크로드 쿼리
참고: GKE 시스템 및 워크로드 로깅을 사용 설정해야 합니다.| 필터 이름 | 표현식 |
|---|---|
| 동일한 프리픽스를 사용하는 모든 TPU 노드의 Stdout 컨테이너 로그 |
resource.type="k8s_container" AND labels."compute.googleapis.com/resource_name"=~"TPU_NODE_PREFIX.*" AND log_id("stdout") |
| 프리픽스가 동일한 모든 TPU 노드의 컨테이너 오류 로그 |
resource.type="k8s_container" AND labels."compute.googleapis.com/resource_name"=~"TPU_NODE_PREFIX.*" AND log_id("stderr") AND severity=ERROR |
| 동일한 GKE 작업의 Stdout 컨테이너 로그 |
resource.type="k8s_container" AND labels."k8s-pod/batch.kubernetes.io/job-name" = "JOB_NAME" AND log_id("stdout") |
| 동일한 GKE 작업의 컨테이너 오류 로그 |
resource.type="k8s_container" AND labels."k8s-pod/batch.kubernetes.io/job-name"="JOB_NAME" AND log_id("stderr") AND severity=ERROR |
| 동일한 GKE JobSet의 Stdout 컨테이너 로그 |
resource.type="k8s_container" AND labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="JOBSET_NAME" AND log_id("stdout") |
| 동일한 GKE JobSet의 컨테이너 오류 로그 |
resource.type="k8s_container" AND labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="JOBSET_NAME" AND log_id("stderr") AND severity=ERROR |
네트워킹 쿼리
| 쿼리/필터 이름 | 표현식 |
|---|---|
| 방화벽 - 모든 로그 | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") |
| 특정 국가의 방화벽 로그 | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND jsonPayload.remote_location.country=COUNTRY_ISO_ALPHA_3 |
| VM의 방화벽 로그 | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND jsonPayload.instance.vm_name="INSTANCE_NAME" |
| 방화벽 서브넷 로그 | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND resource.labels.subnetwork_name="SUBNET_NAME" |
| 서브넷의 Compute Engine 서브네트워크 트래픽 로그 | resource.type="gce_subnetwork" AND ip_in_net(jsonPayload.connection.dest_ip, "SUBNET_IP") |
| VPC 흐름 로그 | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") |
| 특정 포트 및 프로토콜의 VPC 흐름 로그 | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND jsonPayload.connection.src_port="PORT_ID" AND jsonPayload.connection.protocol="PROTOCOL" |
| 특정 서브넷 VPC 흐름 로그 | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND resource.labels.subnetwork_name"=SUBNET_NAME" |
| 특정 서브넷 프리픽스의 VPC 흐름 로그 | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND ip_in_net(jsonPayload.connection.dest_ip,SUBNET_IP) |
| 특정 VM의 VPC 흐름 로그 | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND jsonPayload.src_instance.vm_name="VM_NAME" |
| VPN 게이트웨이 로그 | resource.type="vpn_gateway" AND resource.labels.gateway_id="GATEWAY_ID" |
| HTTP 부하 분산기 5xx 오류 | resource.type="http_load_balancer" AND httpRequest.status>=500 |
| HTTP 부하 분산기의 PHPMyAdmin 요청 | resource.type="http_load_balancer" AND httpRequest.request_url:"phpmyadmin" |
보안 쿼리
| 쿼리/필터 이름 | 표현식 |
|---|---|
| 감사 로그 - 모두 | logName:"cloudaudit.googleapis.com" |
| 감사 로그 - 액세스 투명성(AXT) | log_id("cloudaudit.googleapis.com/access_transparency") |
| 감사 로그 - 관리자 활동 | log_id("cloudaudit.googleapis.com/activity") |
| 감사 로그 - 데이터 액세스 | log_id("cloudaudit.googleapis.com/data_access") |
| 감사 로그 - 시스템 이벤트 | log_id("cloudaudit.googleapis.com/system_event") |
문제 해결
로그 탐색기 사용 시 발생할 수 있는 일반적인 문제해결 안내에 대한 자세한 내용은 로그 탐색기 사용: 문제해결을 참조하세요.
다음 단계
이러한 쿼리를 맞춤설정하는 데 사용할 수 있는 쿼리 문법에 대한 자세한 내용은 Logging 쿼리 언어를 참조하세요.
Google Cloud 콘솔의 쿼리에 대한 자세한 내용은 Logging 쿼리 언어를 사용하여 쿼리 빌드를 참조하세요.