במסמך הזה מוצעות שאילתות שיעזרו לכם למצוא יומנים חשובים באמצעות Logs Explorer במסוף Cloud de Confiance . השאילתות שמופיעות כאן כתובות בשפת השאילתות של Logging, ואפשר להשתמש בהן בLogs Explorer, ב-Logging API או בממשק שורת הפקודה.
ב-Logs Explorer נעשה שימוש בביטויים בוליאניים כדי לציין קבוצת משנה של כל הרשומות ביומן בפרויקט. אפשר להשתמש בשאילתות האלה כדי לבחור רשומות ביומן מיומנים ספציפיים או משירותי יומן ספציפיים, או רשומות שעומדות בתנאים של מטא-נתונים או של שדות שהוגדרו על ידי המשתמש.
לפני שמתחילים
חשוב לוודא שיש לכם את ההרשאות או התפקידים הנכונים בניהול הזהויות והרשאות הגישה (IAM) כדי ליצור שאילתות באמצעות הכלי Logs Explorer. במאמר הרשאות למסוף מוסבר בהרחבה אילו הרשאות IAM נדרשות. Cloud de Confiance
קדימה, מתחילים
-
במסוף Cloud de Confiance , נכנסים לדף Logs Explorer:
אם משתמשים בסרגל החיפוש כדי למצוא את הדף הזה, בוחרים בתוצאה שכותרת המשנה שלה היא Logging.
בוחרים את Cloud de Confiance הפרויקט או משאב אחר Cloud de Confianceשרוצים לראות את היומנים שלו.
שימוש בשאילתות לדוגמה
כדי להחיל שאילתה מהטבלאות הבאות, לוחצים על הסמל content_copy Content Copy של הביטוי, ואז מדביקים את הביטוי שהועתק בשדה עורך השאילתות של Logs Explorer.
אם שדה עורך השאילתות לא מופיע, מפעילים את האפשרות Show query.
אחרי שבודקים את ביטוי השאילתה, לוחצים על הפעלת השאילתה. היומנים שעונים על השאילתה מוצגים בקטע Query results.
חלק מהשאילתות שמפורטות בהמשך הדף כוללות משתנים שצריך להחליף בערכים תקינים. לדוגמה, אם שאילתה כוללת את השדה logName, אז PROJECT_ID שאתם מציינים חייב להתייחס לCloud de Confiance פרויקט שנבחר. אחרת, השאילתה לא תפעל.
שימו לב לנקודות הבאות:
אם יש לכם שאילתה עם חותמת זמן, הבורר של טווח הזמן מושבת והשאילתה משתמשת בביטוי של חותמת הזמן כמגבלה של טווח הזמן. אם שאילתה לא משתמשת בביטוי של חותמת זמן, השאילתה משתמשת בבורר של טווח הזמן בתור הגבלת טווח הזמן שלה.
אורך השאילתה לא יכול לחרוג מ-20,000 תווים.
שפת השאילתות של רישום ביומן לא תלוית-רישיות, למעט ביטויים רגולריים.
אפשר להשתמש בפונקציה
log_idבשאילתות עם ביטויlog_name. לדוגמה, הביטויlog_name="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access"זהה לביטויlog_id("cloudaudit.googleapis.com/data_access"). מידע נוסף על הפונקציהlog_idזמין במאמר שפת השאילתות של רישום ביומן: פונקציות.
הוראות לשליחת שאילתות במסוף Cloud de Confiance זמינות במאמר יצירת שאילתות ב-Logs Explorer.
בקטעים הבאים, השאילתות מקובצות לפי Cloud de Confiance שירותים.
שאילתות BigQuery
| שם השאילתה או המסנן | ביטוי |
|---|---|
| יומני ביקורת של BigQuery | resource.type=("bigquery_dataset" OR "bigquery_project") AND logName:"cloudaudit.googleapis.com" |
| יומני ביקורת של פרויקט ב-BigQuery | resource.type="bigquery_project" AND logName:"cloudaudit.googleapis.com" |
| יומני ביקורת של BigQuery עבור מערך נתונים | resource.type="bigquery_dataset" AND logName:"cloudaudit.googleapis.com" |
| יומני ביקורת של BigQuery עבור מודל BI Engine | resource.type="bigquery_biengine_model" AND logName:"cloudaudit.googleapis.com" |
| יומני ביקורת של BigQuery להרצה של שירות העברת נתונים. | resource.type="bigquery_dts_run" AND logName:"cloudaudit.googleapis.com" |
| יומני ביקורת של BigQuery עבור הגדרה של שירות העברת נתונים. | resource.type="bigquery_dts_config" AND logName:"cloudaudit.googleapis.com" |
| משימות של שירות העברת נתונים ל-BigQuery | resource.type=("bigquery_project") AND protoPayload.requestMetadata.callerSuppliedUserAgent= "BigQuery Data Transfer Service" AND protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR "google.cloud.bigquery.v2.JobService.Query") |
| יומנים של הרצות העברה ב-BigQuery | resource.type="bigquery_dts_config" AND labels.run_id="RUN_ID" AND resource.labels.config_id="CONFIG_ID" |
| עדכונים במערך הנתונים ב-BigQuery | resource.type="bigquery_dataset" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName= "google.cloud.bigquery.v2.DatasetService.UpdateDataset" |
| משימות ב-BigQuery שהושלמו | resource.type="bigquery_project" AND log_id("cloudaudit.googleapis.com/data_access") AND protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR "google.cloud.bigquery.v2.JobService.Query") |
| שאילתות גדולות ב-BigQuery | resource.type="bigquery_project" AND protoPayload.metadata.jobChange.job.jobStats.queryStats.totalBilledBytes > 1073741824 |
| חריגה מהמכסה ב-BigQuery | resource.type=("bigquery_dataset" OR "bigquery_project") AND protoPayload.status.code=8 AND severity>=WARNING |
| התחלת שאילתה ב-BigQuery | resource.type="bigquery_project" AND protoPayload.metadata.jobInsertion.reason:* |
| משימות טעינה או חילוץ בו-זמניות ב-BigQuery | resource.type="bigquery_resource" AND protoPayload.methodName="jobservice.insert" AND protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query: "extract" |
| יומני ביקורת של BigQuery למדיניות גישה לשורות | protoPayload.methodName="jobservice.insert" AND protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query:"ROW ACCESS POLICY" |
שאילתות Cloud SQL
| שם השאילתה או המסנן | ביטוי |
|---|---|
| יומני ביקורת של Cloud SQL | resource.type="cloudsql_database" AND resource.labels.database_id="DATABASE_ID" AND log_id("cloudaudit.googleapis.com/activity") |
| יומני שגיאות של Cloud SQL MySQL | resource.type="cloudsql_database" AND log_id("cloudsql.googleapis.com/mysql.err") |
| מסדי נתונים מבוססי MySQL ב-Cloud SQL | resource.type="cloudsql_database" AND resource.labels.database_id="DATABASE_ID" AND log_id("cloudsql.googleapis.com/mysql") |
| מסדי נתונים מבוססי-Postgres ב-Cloud SQL | resource.type="cloudsql_database" AND resource.labels.database_id="DATABASE_ID" AND log_id("cloudsql.googleapis.com/postgres.log") |
| יומני שגיאות של Cloud SQL SQL Server | resource.type="cloudsql_database" AND log_id("cloudsql.googleapis.com/sqlserver.err") |
| מסדי נתונים מבוססי SQL Server ב-Cloud SQL | resource.type="cloudsql_database" AND resource.labels.database_id="DATABASE_ID" AND log_id("cloudsql.googleapis.com/sqlagent.out") |
שאילתות ב-Cloud Storage
| שם השאילתה או המסנן | ביטוי |
|---|---|
| יומנים של קטגוריית GCS | resource.type="gcs_bucket" AND resource.labels.bucket_name="BUCKET_NAME" |
| יומני ביקורת של קטגוריית GCS | resource.type="gcs_bucket" AND logName:"cloudaudit.googleapis.com" |
| יומנים של יצירת קטגוריות GCS | resource.type="gcs_bucket" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.method_name="storage.buckets.create" |
| יומני מחיקה של קטגוריית GCS | resource.type="gcs_bucket" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.method_name="storage.buckets.delete" |
שאילתות של Compute Engine
| שם השאילתה או המסנן | ביטוי |
|---|---|
| יומני Admin Activity ב-Compute Engine | resource.type="gce_instance" AND log_id("cloudaudit.googleapis.com/activity") |
| מחיקת כלל חומת אש ב-Compute Engine | resource.type="gce_firewall_rule" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"firewalls.delete" |
| יומני מערכת של מכונות וירטואליות ב-Compute Engine | resource.type="gce_instance" AND log_id("syslog") |
| יומני אימות של מכונות וירטואליות ב-Compute Engine | resource.type="gce_instance" AND log_id("authlog") |
| שגיאה שקשורה למארח ב-Compute Engine | resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName:"compute.instances.hostError" OR operation.producer:"compute.instances.hostError") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="INSTANCE_ID" severity=INFO |
| התראה על זיכרון המארח ב-Compute Engine | resource.type="gce_instance" AND protoPayload.serviceName="compute.googleapis.com" AND (jsonPayload.methodName:"compute.instances.host_event_notify" OR operation.producer:"compute.instances.host_event_notify") AND log_id("cloudaudit.googleapis.com/host_event_notify") AND resource.labels.instance_id="INSTANCE_ID" AND severity=CRITICAL |
| בוצעה העברה של מארח Compute Engine | resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName: "compute.instances.migrateOnHostMaintenance" OR operation.producer: "compute.instances.migrateOnHostMaintenance") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="INSTANCE_ID" severity=INFO |
| מכונה וירטואלית ב-Compute Engine הופסקה או נדחקה | resource.type="gce_instance" protoPayload.methodName=~"compute\.instances\.(guestTerminate|preempted)" log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="INSTANCE_ID" |
| מכונה וירטואלית ב-Compute Engine הסתיימה בגלל כשל ביצירת דיסק זמני | resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName="compute.instances.scratchDiskCreationFailed" OR operation.producer: "compute.instances.scratchDiskCreationFailed) log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="INSTANCE_ID" severity=INFO |
| נוצרה מכונה וירטואלית ב-Compute Engine | resource.type="gce_instance" protoPayload.methodName:"compute.instances.insert" log_id("cloudaudit.googleapis.com/activity") protoPayload.request.name="INSTANCE_NAME" |
| מכונה וירטואלית של Compute Engine נמחקה עם שם | resource.type="gce_instance" protoPayload.methodName:"compute.instances.delete" log_id("cloudaudit.googleapis.com/activity") protoPayload.resourceName:"INSTANCE_NAME" |
| מכונה וירטואלית של Compute Engine נמחקה עם המזהה | resource.type="gce_instance" protoPayload.methodName:"compute.instances.delete" log_id("cloudaudit.googleapis.com/activity") resource.labels.instance_id="INSTANCE_ID" |
| מכונה וירטואלית של Compute Engine הופעלה מחדש | resource.type="gce_instance" protoPayload.methodName=~"compute\.instances\.( stop|reset|automaticRestart|guestTerminate| instanceManagerHaltForRestart)" (log_id("cloudaudit.googleapis.com/activity") OR log_id("cloudaudit.googleapis.com/system_event")) resource.labels.instance_id="INSTANCE_ID" |
| כשל בתקינות האתחול של מכונה וירטואלית מוגנת ב-Compute Engine | resource.type="gce_instance" log_id("compute.googleapis.com/shielded_vm_integrity") jsonPayload.earlyBootReportEvent.policyEvaluationPassed="false" resource.labels.instance_id="INSTANCE_ID" |
| מכונה וירטואלית של Compute Engine הופסקה על ידי מערכת ההפעלה של האורח | resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName:"compute.instances.guestTerminate" OR operation.producer:"compute.instances.guestTerminate") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="INSTANCE_ID" severity=INFO |
| קובץ ההפעלה של מכונה וירטואלית מוגנת ב-Compute Engine נחסם | resource.type="gce_instance" log_id("serialconsole.googleapis.com/serial_port_1_output") textPayload:("Security Violation") resource.labels.instance_id="INSTANCE_ID" |
| נוצר Persistent Disk | resource.type="gce_disk" AND protoPayload.methodName:"compute.disks.insert" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.resourceName: "PERSISTENT_DISK_NAME" |
| צמתים שנוספו בשרתים לדייר יחיד (sole-tenant) | resource.type="gce_node_group" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName=~("compute.nodeGroups.addNodes" OR "compute.nodeGroups.insert") resource.labels.node_group_id="NODE_GROUP_ID" severity="INFO" |
| אירועים של שינוי קנה מידה אוטומטי בצומת של דייר יחיד | resource.type="gce_node_group" log_id("cloudaudit.googleapis.com/system_event") protoPayload.methodName=~("compute.nodeGroups.deleteNodes" OR "compute.nodeGroups.addNodes") resource.labels.node_group_id="NODE_GROUP_ID" |
| נוצרה תמונת מצב ידנית | resource.type="gce_snapshot" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.snapshots.insert" protoPayload.resourceName:"SNAPSHOT_NAME" |
| בוצעה יצירה מתוזמנת של קובץ snapshot | resource.type="gce_disk" log_id("cloudaudit.googleapis.com/system_event") protoPayload.methodName="ScheduledSnapshots" protoPayload.response.operationType="createSnapshot" protoPayload.response.targetLink="PERSISTENT_DISK_NAME" |
| נוצר תזמון של קובץ snapshot | resource.type="gce_resource_policy" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.resourcePolicies.insert" protoPayload.request.name="SCHEDULE_NAME" |
| מצורף לוח זמנים של תמונת מצב | resource.type="gce_disk" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.disks.addResourcePolicies" protoPayload.request.resourcePolicys:"SCHEDULE_NAME" protoPayload.resourceName:"PERSISTENT_DISK_NAME" |
| חריגה מהמכסה | resource.type="gce_instance" protoPayload.methodName:"compute.instances.insert" protoPayload.status.message:"QUOTA_EXCEEDED" severity=ERROR |
| שליחת שאילתה לגבי מופעים לא תקינים בקבוצת מופעים | resource.type="gce_instance_group" resource.labels.instance_group_name="INSTANCE_GROUP_NAME" jsonPayload.healthCheckProbeResult.healthState="UNHEALTHY" |
| שאילתה לגבי חברים בקבוצת מכונות בטווח זמן בפורמט זמן UTC |
resource.type="gce_instance_group_manager" resource.labels.instance_group_manager_name="INSTANCE_GROUP_NAME" jsonPayload.@type= "type.googleapis.com/compute.InstanceGroupManagerEvent" jsonPayload.instanceHealthStateChange.detailedHealthState="HEALTHY" timestamp >= START_TIME timestamp <= END_TIME |
| מופעים שנוספו לקבוצת מופעים | resource.type="gce_instance_group" protoPayload.methodName:"compute.instanceGroups.addInstances" log_id("cloudaudit.googleapis.com/activity") resource.labels.instance_group_name="INSTANCE_GROUP_NAME" |
| מכונות וירטואליות שהוסרו מקבוצת מכונות | resource.type="gce_instance_group" protoPayload.methodName:"compute.instanceGroups.removeInstances" log_id("cloudaudit.googleapis.com/activity") resource.labels.instance_group_name="INSTANCE_GROUP_NAME" |
| הוגדרה או עודכנה תבנית של הגדרות מכונה | resource.type="gce_instance_group_manager" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName= "v1.compute.instanceGroupManagers.setInstanceTemplate" resource.labels.instance_group_manager_name="INSTANCE_GROUP_MANAGER" |
| כלל חומת האש נמחק | resource.type="gce_firewall_rule" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"firewalls.delete" |
| יומני חומת אש | resource.type="gce_subnetwork" log_id("compute.googleapis.com/firewall") jsonPayload.instance.vm_name="INSTANCE_NAME" |
שאילתות ב-Google Cloud Observability
| שם השאילתה או המסנן | ביטוי |
|---|---|
| פעילויות ב-sink ביומן | resource.type="logging_sink" AND log_id("cloudaudit.googleapis.com/activity") |
שאילתות של ניהול זהויות והרשאות גישה
| שם השאילתה או המסנן | ביטוי |
|---|---|
| יומנים של יצירת חשבונות שירות | resource.type="service_account" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.iam.admin.v1.CreateServiceAccount" |
| יומנים של מפתחות ליצירת חשבונות שירות | resource.type="service_account" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.iam.admin.v1.CreateServiceAccountKey" |
| הגדרת יומנים של מדיניות בקרת גישה | resource.type="project" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="SetIamPolicy" |
| חשבון משתמש חיצוני קיבל גישה לארגון | resource.type="project" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog" AND protoPayload.request.@type:"IamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:* AND NOT protoPayload.serviceData.policyDelta.bindingDeltas.member:"@DOMAIN_NAME.com" |
| יצירה, שינוי או מחיקה של משאב | log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:("create" OR "delete" OR "update") |
| התפקיד הוענק לחשבון המשתמש | log_id("cloudaudit.googleapis.com/activity") AND resource.type="project" AND protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.action="Add" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID" |
| התפקיד הוסר מהחשבון הראשי | log_id("cloudaudit.googleapis.com/activity") AND resource.type="project" AND protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.action="Remove" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID" |
| הרשאה עודכנה בתפקיד בהתאמה אישית | log_id("cloudaudit.googleapis.com/activity") AND resource.type="iam_role" AND protoPayload.serviceName="iam.googleapis.com" AND protoPayload.methodName:"UpdateRole" AND resource.labels.role_name:"ROLE_ID" |
שאילתות שקשורות ל-Kubernetes
סקירה כללית ודוגמאות לשאילתות ביומן הביקורת Admin Activity זמינות בדף בנושא רישום ביומן ביקורת של GKE.שאילתות ברמת האשכול
| שם השאילתה או המסנן | ביטוי |
|---|---|
| פעולות באשכול Google Kubernetes Engine | resource.type="gke_cluster" AND log_id("cloudaudit.googleapis.com/activity") |
| יצירת אשכול Google Kubernetes Engine |
resource.type="gke_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.container.v1.ClusterManager.CreateCluster" |
| פריסת אשכול Kubernetes |
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"deployments" |
| כשל באימות של אשכול Kubernetes |
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.authenticationInfo.principalEmail="system:anonymous" |
פעולות ואירועים באשכול Kubernetes ב-us-central1-b |
resource.type="k8s_cluster" AND resource.labels.location="us-central1-b" |
| בקשות של משתמשים לגבי pods של Kubernetes |
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"io.k8s.core.v1.pods" AND protoPayload.authenticationInfo.principalEmail="USER_EMAIL" |
| אירועי Kubernetes |
resource.type="k8s_cluster" AND log_id("events") |
| עדכון נקודות קצה ב-Kubernetes |
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.request.kind="Endpoints" |
| יומנים של מישור הבקרה של Kubernetes |
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.serviceName="k8s.io" |
| יומנים של מישור הבקרה ב-Kubernetes Engine |
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.serviceName="container.googleapis.com" |
| מחיקת Pod |
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName=~"io\.k8s\.core\.v1\.pods\.(create|delete)" |
| יומני ביקורת של pods ב-Kubernetes ממישור הבקרה |
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.resourceName="core/v1/namespaces/POD_NAMESPACE/pods/POD_NAME |
| הוצאות של pods מ-Kubernetes |
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="io.k8s.core.v1.pods.eviction.create" |
| יומני ביקורת של צומתי Kubernetes ממישור הבקרה |
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"io.k8s.core.v1.nodes" |
| מישור הבקרה של אשכול Kubernetes לפעילות של Addon Manager |
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.authenticationInfo.principalEmail="system:addon-manager" |
שגיאות ברמת הבקרה של Kubernetes (לא כולל Conflict, שזה תקין) |
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.status.message!="Conflict" AND protoPayload.status.code!=0 |
| אירועים של בקר Ingress |
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("events") AND jsonPayload.source.component="loadbalancer-controller" |
| אירועים של Service Controller (kube-controller-manager) |
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("events") AND jsonPayload.source.component="service-controller" |
| אירועים של Cluster Autoscaler |
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("events") AND jsonPayload.source.component="cluster-autoscaler" |
שאילתות ברמת ה-Pod
| שם המסנן | ביטוי |
|---|---|
| שאילת פוד במהלך היצירה |
resource.type="k8s_pod" AND resource.labels.pod_name="POD_NAME" AND log_id("events") |
| הפוד של השאילתה הסתיים בגלל עומס על המשאבים |
resource.type="k8s_pod" AND log_id("events") AND jsonPayload.reason="Evicted" |
| אירועים בכלי לתזמון פגישות |
resource.type="k8s_pod" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("events") AND jsonPayload.source.component="default-scheduler" |
| אירועים של מתזמן (הקדמות) |
resource.type="k8s_pod" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("events") AND jsonPayload.source.component="default-scheduler" AND jsonPayload.reason="Preempted" |
שאילתות ברמת הצומת
| שם המסנן | ביטוי |
|---|---|
| אירועים של צומת |
resource.type="k8s_node" AND log_id("events") |
| עיון ביומנים של Kube-proxy |
resource.type="k8s_node" AND log_id("kube-proxy") |
| עיון ביומנים של dockerd |
resource.type="k8s_node" AND log_id("container-runtime") |
| בדיקת שגיאות או כשלים ב-kubelet |
resource.type="k8s_node" AND log_id("kubelet") AND jsonPayload.MESSAGE:("error" OR "fail") |
| עיון ביומני הצמתים ביומני המערכת של GKE |
resource.type = "k8s_node" logName:( "logs/container-runtime" OR "logs/docker" OR "logs/kube-container-runtime-monitor" OR "logs/kube-logrotate" OR "logs/kube-node-configuration" OR "logs/kube-node-installation" OR "logs/kubelet" OR "logs/kubelet-monitor" OR "logs/node-journal" OR "logs/node-problem-detector") |
שאילתות במרחב שמות
| שם המסנן | ביטוי |
|---|---|
| יומנים של קונטיינרים ו-Pods ביומני המערכת של GKE |
resource.type = ("k8s_container" OR "k8s_pod") resource.labels.namespace_name = ( "cnrm-system" OR "config-management-system" OR "gatekeeper-system" OR "gke-connect" OR "gke-system" OR "istio-system" OR "knative-serving" OR "monitoring-system" OR "kube-system") |
שאילתות בנוגע למאגר
| שם המסנן | ביטוי |
|---|---|
| יומני קונטיינרים של stdout בכל הפודים והקונטיינרים באשכול |
resource.type="k8s_container" AND log_id("stdout") |
| יומני שגיאות של מאגרי תגים בכל הפודים והמאגרים באשכול |
resource.type="k8s_container" AND log_id("stderr") AND severity=ERROR |
| יומני שגיאות של קונטיינר עבור Pod עם שם ספציפי |
resource.type="k8s_container" AND resource.labels.pod_name="POD_NAME" AND severity=ERROR |
| יומני שגיאות של קונטיינר בקונטיינר ספציפי בפוד ספציפי |
resource.type="k8s_container" AND resource.labels.pod_name="POD_NAME" AND resource.labels.container_name="server" AND severity=ERROR |
| יומני שגיאות של מאגרי תגים למרחב שמות ולמאגר תגים ספציפיים |
resource.type="k8s_container" AND resource.labels.namespace_name="istio-system" AND resource.labels.container_name="egressgateway" AND severity=ERROR |
| יומני קונטיינר של פוד עם תווית ספציפית |
resource.type="k8s_container" AND labels."k8s-pod/app"="loadgenerator" AND severity=ERROR |
| יומני שגיאות של קונטיינרים עבור פודים שפועלים בצומת ספציפי |
resource.type="k8s_container" AND labels."compute.googleapis.com/resource_name"=NODE_NAME AND severity=ERROR |
| יומני קונטיינר של פוד עם תווית שנוצרה באמצעות skaffold |
resource.type="k8s_container" AND labels."k8s-pod/app"="loadgenerator" AND labels."k8s-pod/skaffold_dev/run-id"=SKAFFOLD_RUN_ID severity=ERROR |
יומני שגיאות של קונטיינר עבור פוד ספציפי שמכיל POST ב-textPayload |
resource.type="k8s_container" AND resource.labels.pod_name="POD_NAME" AND textPayload:"POST" AND severity=ERROR |
יומני שגיאות של קונטיינר עבור פוד ספציפי שמכיל GET ב-JSON מובנה |
resource.type="k8s_container" AND resource.labels.pod_name="POD_NAME" AND jsonPayload."http.req.method"="GET" AND severity=ERROR |
| יומני שגיאות של קונטיינרים במרחב השמות kube-system |
resource.type="k8s_container" AND resource.labels.namespace_name="kube-system" AND severity=ERROR |
| שגיאת קונטיינר ביומן של תובנות לגבי קונטיינרים |
resource.type="k8s_container" AND log_id("clouderrorreporting.googleapis.com/insights") |
| יומני קונטיינרים של Kubernetes |
resource.type="k8s_container" AND resource.labels.container_name="CONTAINER_NAME" |
שאילתות במישור הבקרה
הערה: צריך להפעיל את היומנים של מישור הבקרה של GKE.| שם המסנן | ביטוי |
|---|---|
| יומנים של שרת Kubernetes API |
resource.type="k8s_control_plane_component" resource.labels.component_name="apiserver" resource.labels.location="CLUSTER_LOCATION" resource.labels.cluster_name="CLUSTER_NAME" |
| יומנים של Kubernetes Scheduler |
resource.type="k8s_control_plane_component" resource.labels.component_name="scheduler" resource.labels.location="CLUSTER_LOCATION" resource.labels.cluster_name="CLUSTER_NAME" |
| יומנים של Kubernetes Controller Manager |
resource.type="k8s_control_plane_component" resource.labels.component_name="controller-manager" resource.labels.location="CLUSTER_LOCATION" resource.labels.cluster_name="CLUSTER_NAME" |
שאילתות לגבי עומסי עבודה של TPU
הערה: צריך להפעיל את הרישום ביומן של המערכת ועומסי העבודה ב-GKE.| שם המסנן | ביטוי |
|---|---|
| יומני קונטיינר של stdout בכל צמתי ה-TPU עם אותה תחילית |
resource.type="k8s_container" AND labels."compute.googleapis.com/resource_name"=~"TPU_NODE_PREFIX.*" AND log_id("stdout") |
| יומני שגיאות של מאגרי תגים בכל צמתי ה-TPU עם אותו קידומת |
resource.type="k8s_container" AND labels."compute.googleapis.com/resource_name"=~"TPU_NODE_PREFIX.*" AND log_id("stderr") AND severity=ERROR |
| יומני קונטיינרים של Stdout מאותו GKE Job |
resource.type="k8s_container" AND labels."k8s-pod/batch.kubernetes.io/job-name" = "JOB_NAME" AND log_id("stdout") |
| יומני שגיאות של קונטיינרים מאותו GKE Job |
resource.type="k8s_container" AND labels."k8s-pod/batch.kubernetes.io/job-name"="JOB_NAME" AND log_id("stderr") AND severity=ERROR |
| יומני קונטיינרים של Stdout מאותו GKE JobSet |
resource.type="k8s_container" AND labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="JOBSET_NAME" AND log_id("stdout") |
| יומני שגיאות של קונטיינרים מאותו GKE JobSet |
resource.type="k8s_container" AND labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="JOBSET_NAME" AND log_id("stderr") AND severity=ERROR |
שאילתות לגבי הרשת
| שם השאילתה או המסנן | ביטוי |
|---|---|
| חומת אש – כל היומנים | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") |
| יומני חומת אש למדינה מסוימת | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND jsonPayload.remote_location.country=COUNTRY_ISO_ALPHA_3 |
| יומני חומת אש ממכונה וירטואלית | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND jsonPayload.instance.vm_name="INSTANCE_NAME" |
| יומני חומת אש של רשתות משנה | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND resource.labels.subnetwork_name="SUBNET_NAME" |
| יומני תעבורה של רשת משנה ב-Compute Engine לרשת משנה | resource.type="gce_subnetwork" AND ip_in_net(jsonPayload.connection.dest_ip, "SUBNET_IP") |
| VPC Flow logs | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") |
| VPC Flow logs ליציאה ולפרוטוקול ספציפיים | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND jsonPayload.connection.src_port="PORT_ID" AND jsonPayload.connection.protocol="PROTOCOL" |
| VPC Flow logs לרשת משנה ספציפית | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND resource.labels.subnetwork_name"=SUBNET_NAME" |
| VPC Flow logs עבור קידומת ספציפית של רשת משנה | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND ip_in_net(jsonPayload.connection.dest_ip,SUBNET_IP) |
| VPC Flow logs עבור מכונה וירטואלית ספציפית | resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND jsonPayload.src_instance.vm_name="VM_NAME" |
| יומנים של שער VPN | resource.type="vpn_gateway" AND resource.labels.gateway_id="GATEWAY_ID" |
| שגיאות 5xx של מאזן עומסים ב-HTTP | resource.type="http_load_balancer" AND httpRequest.status>=500 |
| בקשות של מאזן עומסים מסוג HTTP אל PHPMyAdmin | resource.type="http_load_balancer" AND httpRequest.request_url:"phpmyadmin" |
שאילתות אבטחה
| שם השאילתה או המסנן | ביטוי |
|---|---|
| יומני ביקורת – כל היומנים | logName:"cloudaudit.googleapis.com" |
| יומני ביקורת – Access Transparency (AXT) | log_id("cloudaudit.googleapis.com/access_transparency") |
| יומני ביקורת – פעילות של אדמינים | log_id("cloudaudit.googleapis.com/activity") |
| יומני ביקורת – גישה לנתונים | log_id("cloudaudit.googleapis.com/data_access") |
| יומני ביקורת – System Event | log_id("cloudaudit.googleapis.com/system_event") |
פתרון בעיות
הוראות לפתרון בעיות נפוצות בשימוש ב-Logs Explorer מופיעות במאמר שימוש ב-Logs Explorer: פתרון בעיות.
המאמרים הבאים
מידע נוסף על תחביר השאילתות, שבו אפשר להשתמש כדי להתאים אישית את השאילתות האלה, זמין במאמר שפת שאילתות לרישום ביומן.
מידע נוסף על שליחת שאילתות במסוף Cloud de Confiance זמין במאמר יצירת שאילתות באמצעות שפת השאילתות של רישום ביומן.