Einige oder alle Informationen auf dieser Seite gelten möglicherweise nicht für Cloud de Confiance von S3NS. Weitere Informationen finden Sie unter Unterschiede zu Google Cloud.

Beispielabfragen

In diesem Dokument finden Sie Vorschläge für Abfragen, um wichtige Logs mit dem Log-Explorer in der Cloud de Confiance Console leichter zu finden. Die aufgeführten Abfragen sind in der Logging-Abfragesprache geschrieben und können im Log-Explorer, der Logging API oder der Befehlszeile verwendet werden.

Im Log-Explorer kann mit booleschen Ausdrücken die Darstellung einer Teilmenge der Logeinträge in Ihrem Projekt festgelegt werden. Sie können diese Abfragen verwenden, um Logeinträge aus bestimmten Logs oder Logdiensten oder Logeinträge auszuwählen, die Bedingungen für Metadaten oder benutzerdefinierte Felder erfüllen.

Hinweis

Sie müssen die richtigen IAM-Berechtigungen oder -Rollen zum Erstellen von Abfragen mit dem Log-Explorer haben. Weitere Informationen zu den erforderlichen IAM-Berechtigungen finden Sie unter Cloud de Confiance Console-Berechtigungen.

Jetzt starten

Rufen Sie in der Cloud de Confiance Console die Seite Log-Explorer auf:
Zum Log-Explorer

Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Logging ist.
Wählen Sie das entsprechende Cloud de Confiance Projekt oder die andere Cloud de ConfianceRessource aus, für die Sie Logs ansehen möchten.

Beispielabfragen verwenden

Wenn Sie eine Abfrage aus den folgenden Tabellen anwenden möchten, klicken Sie für den Ausdruck auf das Symbol Inhalt kopieren und fügen Sie den kopierten Ausdruck dann in das Feld des Abfrageeditors im Log-Explorer ein.

Wenn das Feld des Abfrageeditors nicht angezeigt wird, aktivieren Sie Abfrage anzeigen.

Nachdem Sie den Abfrageausdruck überprüft haben, klicken Sie auf Abfrage ausführen. Logs, die Ihrer Abfrage entsprechen, werden dann unter Abfrageergebnisse aufgeführt.

Einige der weiter unten aufgeführten Abfragen enthalten Variablen, die durch gültige Werte ersetzt werden müssen. Wenn eine Abfrage beispielsweise logName enthält, muss sich die von Ihnen angegebene PROJECT_ID auf das aktuell ausgewählteCloud de Confiance Projekt beziehen. Andernfalls schlägt die Abfrage fehl.

Hinweis:

Wenn Sie eine Abfrage mit einem Zeitstempel haben, ist die Zeitraumauswahl deaktiviert und die Abfrage verwendet den Zeitstempelausdruck als Zeitraumbeschränkung. Wenn eine Abfrage keinen Zeitstempelausdruck hat, verwendet die Abfrage die Zeitraumauswahl als Zeitraumbeschränkung.
Die Länge einer Abfrage darf 20.000 Zeichen nicht überschreiten.
Bei der Logging-Abfragesprache wird die Groß-/Kleinschreibung nicht berücksichtigt. Eine Ausnahme sind hierbei reguläre Ausdrücke.
Sie können die Funktion log_id für Abfragen mit einem log_name-Ausdruck verwenden. Der Ausdruck log_name="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access" entspricht beispielsweise log_id("cloudaudit.googleapis.com/data_access"). Weitere Informationen zur log_id-Funktion finden Sie unter Logging-Abfragesprache: Funktionen.

Eine Anleitung zum Ausführen von Abfragen in der Cloud de Confiance Console finden Sie unter Abfragen mit der Logging-Abfragesprache erstellen und speichern.

In den folgenden Abschnitten sind die Abfragen nach Cloud de Confiance Diensten gruppiert.

BigQuery-Abfragen

Abfrage-/Filtername	Ausdruck
BigQuery-Audit-Logs	resource.type=("bigquery_dataset" OR "bigquery_project") AND logName:"cloudaudit.googleapis.com"
BigQuery-Audit-Logs für ein Projekt	resource.type="bigquery_project" AND logName:"cloudaudit.googleapis.com"
BigQuery-Audit-Logs für ein Dataset	resource.type="bigquery_dataset" AND logName:"cloudaudit.googleapis.com"
BigQuery-Audit-Logs für das BI Engine-Modell	resource.type="bigquery_biengine_model" AND logName:"cloudaudit.googleapis.com"
BigQuery-Audit-Logs für eine Data Transfer Service-Ausführung	resource.type="bigquery_dts_run" AND logName:"cloudaudit.googleapis.com"
BigQuery-Audit-Logs für eine Data Transfer Service-Konfiguration	resource.type="bigquery_dts_config" AND logName:"cloudaudit.googleapis.com"
Jobs in BigQuery Data Transfer Service	resource.type=("bigquery_project") AND protoPayload.requestMetadata.callerSuppliedUserAgent= "BigQuery Data Transfer Service" AND protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR "google.cloud.bigquery.v2.JobService.Query")
Logs zum Ausführen von BigQuery-Übertragungen	resource.type="bigquery_dts_config" AND labels.run_id="`RUN_ID`" AND resource.labels.config_id="`CONFIG_ID`"
Aktualisierungen von BigQuery-Datasets	resource.type="bigquery_dataset" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName= "google.cloud.bigquery.v2.DatasetService.UpdateDataset"
Abgeschlossene Jobs in BigQuery	resource.type="bigquery_project" AND log_id("cloudaudit.googleapis.com/data_access") AND protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR "google.cloud.bigquery.v2.JobService.Query")
Große BigQuery-Abfragen	resource.type="bigquery_project" AND protoPayload.metadata.jobChange.job.jobStats.queryStats.totalBilledBytes > 1073741824
Überschrittenes Kontingent in BigQuery	resource.type=("bigquery_dataset" OR "bigquery_project") AND protoPayload.status.code=8 AND severity>=WARNING
Gestartete BigQuery-Abfrage	resource.type="bigquery_project" AND protoPayload.metadata.jobInsertion.reason:*
Gleichzeitige Lade-/Extrahierjobs in BigQuery	resource.type="bigquery_resource" AND protoPayload.methodName="jobservice.insert" AND protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query: "extract"
BigQuery-Audit-Logs für Zeilenzugriffsrichtlinien	protoPayload.methodName="jobservice.insert" AND protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query:"ROW ACCESS POLICY"

Cloud SQL-Abfragen

Abfrage-/Filtername	Ausdruck
Cloud SQL-Audit-Logs	resource.type="cloudsql_database" AND resource.labels.database_id="`DATABASE_ID`" AND log_id("cloudaudit.googleapis.com/activity")
MySQL-Fehlerlogs in Cloud SQL	resource.type="cloudsql_database" AND log_id("cloudsql.googleapis.com/mysql.err")
MySQL-basierte Datenbanken in Cloud SQL	resource.type="cloudsql_database" AND resource.labels.database_id="`DATABASE_ID`" AND log_id("cloudsql.googleapis.com/mysql")
Postgres-basierte Datenbanken in Cloud SQL	resource.type="cloudsql_database" AND resource.labels.database_id="`DATABASE_ID`" AND log_id("cloudsql.googleapis.com/postgres.log")
SQL Server-Fehlerlogs in Cloud SQL	resource.type="cloudsql_database" AND log_id("cloudsql.googleapis.com/sqlserver.err")
SQL Server-basierte Datenbanken in Cloud SQL	resource.type="cloudsql_database" AND resource.labels.database_id="`DATABASE_ID`" AND log_id("cloudsql.googleapis.com/sqlagent.out")

Cloud Storage-Abfragen

Abfrage-/Filtername	Ausdruck
Bucket-Logs in GCS	resource.type="gcs_bucket" AND resource.labels.bucket_name="`BUCKET_NAME`"
Bucket-Audit-Logs in GCS	resource.type="gcs_bucket" AND logName:"cloudaudit.googleapis.com"
Bucket-Erstellungslogs in GCS	resource.type="gcs_bucket" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.method_name="storage.buckets.create"
Logs zu gelöschten Buckets in GCS	resource.type="gcs_bucket" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.method_name="storage.buckets.delete"

Compute Engine-Abfragen

Abfrage-/Filtername	Ausdruck
Administratoraktivitätslogs in Compute Engine	resource.type="gce_instance" AND log_id("cloudaudit.googleapis.com/activity")
Löschen von Firewall-Regeln in Compute Engine	resource.type="gce_firewall_rule" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"firewalls.delete"
VM-Syslogs in Compute Engine	resource.type="gce_instance" AND log_id("syslog")
VM-Authlogs in Compute Engine	resource.type="gce_instance" AND log_id("authlog")
Compute Engine-Hostfehler	resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName:"compute.instances.hostError" OR operation.producer:"compute.instances.hostError") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="`INSTANCE_ID`" severity=INFO
Hostspeicherwarnung in Compute Engine	resource.type="gce_instance" AND protoPayload.serviceName="compute.googleapis.com" AND (jsonPayload.methodName:"compute.instances.host_event_notify" OR operation.producer:"compute.instances.host_event_notify") AND log_id("cloudaudit.googleapis.com/host_event_notify") AND resource.labels.instance_id="`INSTANCE_ID`" AND severity=CRITICAL
Compute Engine-Host migriert	resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName: "compute.instances.migrateOnHostMaintenance" OR operation.producer: "compute.instances.migrateOnHostMaintenance") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="`INSTANCE_ID`" severity=INFO
Compute Engine-VM beendet/vorzeitig beendet	resource.type="gce_instance" protoPayload.methodName=~"compute\.instances\.(guestTerminate\|preempted)" log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="`INSTANCE_ID`"
Compute Engine-VM aufgrund eines Fehlers beim Erstellen der Scratch Disk beendet	resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName="compute.instances.scratchDiskCreationFailed" OR operation.producer: "compute.instances.scratchDiskCreationFailed) log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="`INSTANCE_ID`" severity=INFO
Compute Engine-VM-Instanz erstellt	resource.type="gce_instance" protoPayload.methodName:"compute.instances.insert" log_id("cloudaudit.googleapis.com/activity") protoPayload.request.name="`INSTANCE_NAME`"
Compute Engine-VM-Instanz mit Namen gelöscht	resource.type="gce_instance" protoPayload.methodName:"compute.instances.delete" log_id("cloudaudit.googleapis.com/activity") protoPayload.resourceName:"`INSTANCE_NAME`"
Compute Engine-VM-Instanz mit ID gelöscht	resource.type="gce_instance" protoPayload.methodName:"compute.instances.delete" log_id("cloudaudit.googleapis.com/activity") resource.labels.instance_id="`INSTANCE_ID`"
Compute Engine-VM-Instanz neu gestartet	resource.type="gce_instance" protoPayload.methodName=~"compute\.instances\.( stop\|reset\|automaticRestart\|guestTerminate\| instanceManagerHaltForRestart)" (log_id("cloudaudit.googleapis.com/activity") OR log_id("cloudaudit.googleapis.com/system_event")) resource.labels.instance_id="`INSTANCE_ID`"
Fehler bei der Boot-Integrität von Shielded VMs in Compute Engine	resource.type="gce_instance" log_id("compute.googleapis.com/shielded_vm_integrity") jsonPayload.earlyBootReportEvent.policyEvaluationPassed="false" resource.labels.instance_id="`INSTANCE_ID`"
Compute Engine-VM-Instanz durch Gastbetriebssystem beendet	resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName:"compute.instances.guestTerminate" OR operation.producer:"compute.instances.guestTerminate") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="`INSTANCE_ID`" severity=INFO
Bootdatei für Shielded VM in Compute Engine blockiert	resource.type="gce_instance" log_id("serialconsole.googleapis.com/serial_port_1_output") textPayload:("Security Violation") resource.labels.instance_id="`INSTANCE_ID`"
Persistent Disk erstellt	resource.type="gce_disk" AND protoPayload.methodName:"compute.disks.insert" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.resourceName: "`PERSISTENT_DISK_NAME`"
Knoten zu Knoten für einzelne Mandanten hinzugefügt	resource.type="gce_node_group" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName=~("compute.nodeGroups.addNodes" OR "compute.nodeGroups.insert") resource.labels.node_group_id="`NODE_GROUP_ID`" severity="INFO"
Autoscaling-Ereignisse in Knoten für einzelne Mandanten	resource.type="gce_node_group" log_id("cloudaudit.googleapis.com/system_event") protoPayload.methodName=~("compute.nodeGroups.deleteNodes" OR "compute.nodeGroups.addNodes") resource.labels.node_group_id="`NODE_GROUP_ID`"
Manueller Snapshot erstellt	resource.type="gce_snapshot" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.snapshots.insert" protoPayload.resourceName:"`SNAPSHOT_NAME`"
Geplanter Snapshot erstellt	resource.type="gce_disk" log_id("cloudaudit.googleapis.com/system_event") protoPayload.methodName="ScheduledSnapshots" protoPayload.response.operationType="createSnapshot" protoPayload.response.targetLink="`PERSISTENT_DISK_NAME`"
Snapshot-Zeitplan erstellt	resource.type="gce_resource_policy" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.resourcePolicies.insert" protoPayload.request.name="`SCHEDULE_NAME`"
Snapshot-Zeitplan angehängt	resource.type="gce_disk" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.disks.addResourcePolicies" protoPayload.request.resourcePolicys:"`SCHEDULE_NAME`" protoPayload.resourceName:"`PERSISTENT_DISK_NAME`"
Kontingent überschritten	resource.type="gce_instance" protoPayload.methodName:"compute.instances.insert" protoPayload.status.message:"QUOTA_EXCEEDED" severity=ERROR
Fehlerhafte Instanzen in einer Instanzgruppe abfragen	resource.type="gce_instance_group" resource.labels.instance_group_name="`INSTANCE_GROUP_NAME"` jsonPayload.healthCheckProbeResult.healthState="UNHEALTHY"
Instanzgruppenmitglieder innerhalb eines Zeitrahmens im UTC-Zeitformat abfragen	resource.type="gce_instance_group_manager" resource.labels.instance_group_manager_name="`INSTANCE_GROUP_NAME`" jsonPayload.@type= "type.googleapis.com/compute.InstanceGroupManagerEvent" jsonPayload.instanceHealthStateChange.detailedHealthState="HEALTHY" timestamp >= `START_TIME` timestamp <= `END_TIME`
Instanzen zu Instanzgruppe hinzugefügt	resource.type="gce_instance_group" protoPayload.methodName:"compute.instanceGroups.addInstances" log_id("cloudaudit.googleapis.com/activity") resource.labels.instance_group_name="`INSTANCE_GROUP_NAME`"
Instanzen aus Instanzgruppe entfernt	resource.type="gce_instance_group" protoPayload.methodName:"compute.instanceGroups.removeInstances" log_id("cloudaudit.googleapis.com/activity") resource.labels.instance_group_name="`INSTANCE_GROUP_NAME`"
Instanzvorlage festgelegt oder aktualisiert	resource.type="gce_instance_group_manager" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName= "v1.compute.instanceGroupManagers.setInstanceTemplate" resource.labels.instance_group_manager_name="`INSTANCE_GROUP_MANAGER`"
Firewallregel wurde gelöscht	resource.type="gce_firewall_rule" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"firewalls.delete"
Firewall-Logs	resource.type="gce_subnetwork" log_id("compute.googleapis.com/firewall") jsonPayload.instance.vm_name="`INSTANCE_NAME`"

Google Cloud Observability-Abfragen

Abfrage-/Filtername	Ausdruck
Logsenkenaktivitäten	resource.type="logging_sink" AND log_id("cloudaudit.googleapis.com/activity")

Identity and Access Management-Abfragen

Abfrage-/Filtername	Ausdruck
Logs zur Erstellung von Dienstkonten	resource.type="service_account" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.iam.admin.v1.CreateServiceAccount"
Schlüssellogs zur Erstellung von Dienstkonten	resource.type="service_account" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.iam.admin.v1.CreateServiceAccountKey"
Logs für Zugriffssteuerungsrichtlinien	resource.type="project" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="SetIamPolicy"
Externem Hauptkonto Zugriff auf die Organisation gestattet	resource.type="project" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog" AND protoPayload.request.@type:"IamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:* AND NOT protoPayload.serviceData.policyDelta.bindingDeltas.member:"@`DOMAIN_NAME`.com"
Ressourcen erstellen, ändern oder löschen	log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:("create" OR "delete" OR "update")
Rolle wurde Hauptkonto zugewiesen	log_id("cloudaudit.googleapis.com/activity") AND resource.type="project" AND protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.action="Add" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:"`EMAIL_ID`"
Rolle aus Hauptkonto entfernt	log_id("cloudaudit.googleapis.com/activity") AND resource.type="project" AND protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.action="Remove" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:"`EMAIL_ID`"
Berechtigung in einer benutzerdefinierten Rolle aktualisiert	log_id("cloudaudit.googleapis.com/activity") AND resource.type="iam_role" AND protoPayload.serviceName="iam.googleapis.com" AND protoPayload.methodName:"UpdateRole" AND resource.labels.role_name:"`ROLE_ID`"

Kubernetes-bezogene Abfragen

Eine Übersicht und Beispiele zu Audit-Logabfragen für Administratoraktivitäten finden sich auf der Seite zu Audit-Logging in GKE.

Abfragen auf Clusterebene

Abfrage-/Filtername	Ausdruck
Google Kubernetes Engine-Clustervorgänge	resource.type="gke_cluster" AND log_id("cloudaudit.googleapis.com/activity")
Erstellung eines Google Kubernetes Engine-Clusters	resource.type="gke_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.container.v1.ClusterManager.CreateCluster"
Kubernetes-Clusterbereitstellung	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"deployments"
Fehler bei Kubernetes-Clusterauthentifizierung	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.authenticationInfo.principalEmail="system:anonymous"
Kubernetes-Clustervorgänge und -ereignisse in `us-central1-b`	resource.type="k8s_cluster" AND resource.labels.location="us-central1-b"
Kubernetes Pod-Anfragen von Nutzern	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"io.k8s.core.v1.pods" AND protoPayload.authenticationInfo.principalEmail="`USER_EMAIL`"
Kubernetes-Ereignisse	resource.type="k8s_cluster" AND log_id("events")
Kubernetes-Endpunkt-Update	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.request.kind="Endpoints"
Logs der Steuerungsebene in Kubernetes	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.serviceName="k8s.io"
Logs der Steuerungsebene in Kubernetes Engine	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.serviceName="container.googleapis.com"
Pod löschen	resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName=~"io\.k8s\.core\.v1\.pods\.(create\|delete)"
Kubernetes-Pod-Audit-Logs der Steuerungsebene	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.resourceName="core/v1/namespaces/`POD_NAMESPACE`/pods/`POD_NAME`
Bereinigungen von Kubernetes-Pods	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="io.k8s.core.v1.pods.eviction.create"
Audit-Logs zu Kubernetes-Knoten der Steuerungsebene	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"io.k8s.core.v1.nodes"
Steuerungsebene des Kubernetes-Clusters für Addon-Manager-Aktivitäten	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.authenticationInfo.principalEmail="system:addon-manager"
Fehler auf Kubernetes-Steuerungsebene (ohne `Conflict`, was normal ist)	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.status.message!="Conflict" AND protoPayload.status.code!=0
Ingress-Controller-Ereignisse	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="loadbalancer-controller"
Dienstüberwacher-Ereignisse (kube-controller-manager)	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="service-controller"
Cluster Autoscaler-Ereignisse	resource.type="k8s_cluster" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="cluster-autoscaler"

Abfragen auf Pod-Ebene

Filtername	Ausdruck
Pod während der Erstellung abfragen	resource.type="k8s_pod" AND resource.labels.pod_name="`POD_NAME`" AND log_id("events")
Aufgrund von Ressourcenknappheit beendeten Pod abfragen	resource.type="k8s_pod" AND log_id("events") AND jsonPayload.reason="Evicted"
Scheduler-Ereignisse	resource.type="k8s_pod" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="default-scheduler"
Scheduler-Ereignisse (vorzeitiges Beenden)	resource.type="k8s_pod" AND resource.labels.location="`CLUSTER_LOCATION`" AND resource.labels.cluster_name="`CLUSTER_NAME`" AND log_id("events") AND jsonPayload.source.component="default-scheduler" AND jsonPayload.reason="Preempted"

Abfragen auf Knotenebene

Filtername	Ausdruck
Knotenereignisse	resource.type="k8s_node" AND log_id("events")
Kube-Proxy-Logs aufrufen	resource.type="k8s_node" AND log_id("kube-proxy")
Dockerd-Logs aufrufen	resource.type="k8s_node" AND log_id("container-runtime")
Kubelet-Fehler oder -Ausfälle aufrufen	resource.type="k8s_node" AND log_id("kubelet") AND jsonPayload.MESSAGE:("error" OR "fail")
Knotenlogs für GKE-Systemlogs aufrufen	resource.type = "k8s_node" logName:( "logs/container-runtime" OR "logs/docker" OR "logs/kube-container-runtime-monitor" OR "logs/kube-logrotate" OR "logs/kube-node-configuration" OR "logs/kube-node-installation" OR "logs/kubelet" OR "logs/kubelet-monitor" OR "logs/node-journal" OR "logs/node-problem-detector")

Namespace-Abfragen

Filtername	Ausdruck
Container- und Pod-Logs für GKE-Systemlogs	resource.type = ("k8s_container" OR "k8s_pod") resource.labels.namespace_name = ( "cnrm-system" OR "config-management-system" OR "gatekeeper-system" OR "gke-connect" OR "gke-system" OR "istio-system" OR "knative-serving" OR "monitoring-system" OR "kube-system")

Filtername

Ausdruck

Container- und Pod-Logs für GKE-Systemlogs

resource.type = ("k8s_container" OR "k8s_pod")
resource.labels.namespace_name = (
"cnrm-system" OR
"config-management-system" OR
"gatekeeper-system" OR
"gke-connect" OR
"gke-system" OR
"istio-system" OR
"knative-serving" OR
"monitoring-system" OR
"kube-system")

Containerabfragen

Filtername	Ausdruck
Stdout-Containerlogs für alle Pods und Container in einem Cluster	resource.type="k8s_container" AND log_id("stdout")
Containerfehlerlogs für alle Pods und Container in einem Cluster	resource.type="k8s_container" AND log_id("stderr") AND severity=ERROR
Containerfehlerlogs für einen Pod mit einem bestimmten Namen	resource.type="k8s_container" AND resource.labels.pod_name="`POD_NAME`" AND severity=ERROR
Containerfehlerlogs für einen bestimmten Container in einem bestimmten Pod	resource.type="k8s_container" AND resource.labels.pod_name="`POD_NAME`" AND resource.labels.container_name="server" AND severity=ERROR
Containerfehlerlogs für einen bestimmten Namespace und einen bestimmten Container	resource.type="k8s_container" AND resource.labels.namespace_name="istio-system" AND resource.labels.container_name="egressgateway" AND severity=ERROR
Containerlogs für einen Pod mit einem bestimmten Label	resource.type="k8s_container" AND labels."k8s-pod/app"="loadgenerator" AND severity=ERROR
Containerfehlerlogs für Pods, die auf einem bestimmten Knoten ausgeführt werden	resource.type="k8s_container" AND labels."compute.googleapis.com/resource_name"=NODE_NAME AND severity=ERROR
Containerlogs für einen Pod mit einem Label, das mit Skaffold generiert wurde	resource.type="k8s_container" AND labels."k8s-pod/app"="loadgenerator" AND labels."k8s-pod/skaffold_dev/run-id"=`SKAFFOLD_RUN_ID` severity=ERROR
Containerfehlerlogs für einen bestimmten Pod mit einem `POST` in der textPayload	resource.type="k8s_container" AND resource.labels.pod_name="`POD_NAME`" AND textPayload:"POST" AND severity=ERROR
Containerfehlerlogs für einen bestimmten Pod mit einem `GET` im strukturierten JSON	resource.type="k8s_container" AND resource.labels.pod_name="`POD_NAME`" AND jsonPayload."http.req.method"="GET" AND severity=ERROR
Containerfehlerlogs im kube-system-Namespace	resource.type="k8s_container" AND resource.labels.namespace_name="kube-system" AND severity=ERROR
Containerfehler im Insight-Log des Containers	resource.type="k8s_container" AND log_id("clouderrorreporting.googleapis.com/insights")
Kubernetes-Containerlogs	resource.type="k8s_container" AND resource.labels.container_name="`CONTAINER_NAME`"

Steuerungsebene-Abfragen

Hinweis: Logs der GKE-Steuerungsebene müssen aktiviert sein.

Filtername	Ausdruck
Kubernetes API-Server-Logs	resource.type="k8s_control_plane_component" resource.labels.component_name="apiserver" resource.labels.location="`CLUSTER_LOCATION`" resource.labels.cluster_name="`CLUSTER_NAME`"
Logs des Kubernetes-Schedulers	resource.type="k8s_control_plane_component" resource.labels.component_name="scheduler" resource.labels.location="`CLUSTER_LOCATION`" resource.labels.cluster_name="`CLUSTER_NAME`"
Logs des Kubernetes-Controller-Managers	resource.type="k8s_control_plane_component" resource.labels.component_name="controller-manager" resource.labels.location="`CLUSTER_LOCATION`" resource.labels.cluster_name="`CLUSTER_NAME`"

Filtername

Ausdruck

Kubernetes API-Server-Logs

resource.type="k8s_control_plane_component"
resource.labels.component_name="apiserver"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"

Logs des Kubernetes-Schedulers

resource.type="k8s_control_plane_component"
resource.labels.component_name="scheduler"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"

Logs des Kubernetes-Controller-Managers

resource.type="k8s_control_plane_component"
resource.labels.component_name="controller-manager"
resource.labels.location="CLUSTER_LOCATION"
resource.labels.cluster_name="CLUSTER_NAME"

TPU-Arbeitslastanfragen

Hinweis: Das GKE-System- und Arbeitslast-Logging muss aktiviert sein.

Filtername	Ausdruck
Stdout-Containerlogs für alle TPU-Knoten mit demselben Präfix	resource.type="k8s_container" AND labels."compute.googleapis.com/resource_name"=~"`TPU_NODE_PREFIX`.*" AND log_id("stdout")
Containerfehlerlogs für alle TPU-Knoten mit demselben Präfix	resource.type="k8s_container" AND labels."compute.googleapis.com/resource_name"=~"`TPU_NODE_PREFIX`.*" AND log_id("stderr") AND severity=ERROR
Stdout-Containerlogs aus demselben GKE-Job	resource.type="k8s_container" AND labels."k8s-pod/batch.kubernetes.io/job-name" = "`JOB_NAME`" AND log_id("stdout")
Containerfehlerlogs aus demselben GKE-Job	resource.type="k8s_container" AND labels."k8s-pod/batch.kubernetes.io/job-name"="`JOB_NAME`" AND log_id("stderr") AND severity=ERROR
Stdout-Containerlogs aus demselben GKE JobSet	resource.type="k8s_container" AND labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="`JOBSET_NAME`" AND log_id("stdout")
Containerfehlerlogs aus demselben GKE-JobSet	resource.type="k8s_container" AND labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="`JOBSET_NAME`" AND log_id("stderr") AND severity=ERROR

Netzwerkabfragen

Abfrage-/Filtername	Ausdruck
Firewall, alle Logs	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall")
Firewall-Logs für ein bestimmtes Land	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND jsonPayload.remote_location.country=`COUNTRY_ISO_ALPHA_3`
Firewall-Logs von einer VM	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND jsonPayload.instance.vm_name="`INSTANCE_NAME`"
Firewall-Subnetzlogs	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND resource.labels.subnetwork_name="`SUBNET_NAME`"
Logs für Traffic im Subnetzwerk für Compute Engine	resource.type="gce_subnetwork" AND ip_in_net(jsonPayload.connection.dest_ip, "`SUBNET_IP`")
VPC-Flow-Logs	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows")
VPC-Flow-Logs für bestimmte Ports und Protokolle	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND jsonPayload.connection.src_port="`PORT_ID`" AND jsonPayload.connection.protocol="`PROTOCOL`"
VPC-Flow-Logs für bestimmtes Subnetz	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND resource.labels.subnetwork_name"=`SUBNET_NAME`"
VPC-Flow-Logs für bestimmtes Subnetzpräfix	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND ip_in_net(jsonPayload.connection.dest_ip,`SUBNET_IP`)
VPC-Flow-Logs für eine bestimmte VM	resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND jsonPayload.src_instance.vm_name="`VM_NAME`"
VPN-Gateway-Logs	resource.type="vpn_gateway" AND resource.labels.gateway_id="`GATEWAY_ID`"
5xx Fehler in HTTP-Load-Balancer	resource.type="http_load_balancer" AND httpRequest.status>=500
Anfragen an PHPMyAdmin in HTTP-Load-Balancer	resource.type="http_load_balancer" AND httpRequest.request_url:"phpmyadmin"

Sicherheitsabfragen

Abfrage-/Filtername	Ausdruck
Audit-Logs, alle	logName:"cloudaudit.googleapis.com"
Audit-Logs, Access Transparency (AXT)	log_id("cloudaudit.googleapis.com/access_transparency")
Audit-Logs, Administratoraktivitäten	log_id("cloudaudit.googleapis.com/activity")
Audit-Logs, Datenzugriff	log_id("cloudaudit.googleapis.com/data_access")
Audit-Logs, Systemereignisse	log_id("cloudaudit.googleapis.com/system_event")

Problembehebung

Eine Anleitung zur Behebung häufiger Probleme bei der Verwendung des Log-Explorers finden Sie unter Log-Explorer verwenden: Fehlerbehebung.

Nächste Schritte

Weitere Informationen zur Abfragesyntax, die Sie zur Anpassung dieser Abfragen verwenden können, finden Sie unter Logging-Abfragesprache.

Weitere Informationen zu Abfragen in der Cloud de Confiance Console finden Sie unter Abfragen mit der Logging-Abfragesprache erstellen und speichern.