サンプルクエリ

このドキュメントでは、 Google Cloud コンソールのログ エクスプローラを使用して、重要なログの検索を容易にする推奨クエリを確認できます。リストされているクエリは Logging のクエリ言語で作成されており、ログ エクスプローラLogging API、またはコマンドライン インターフェースで使用できます。

ログ エクスプローラでは、ブール式を使用してプロジェクトのログエントリ全体のうちの特定部分を指定します。このようなクエリを使用して、特定のログまたはログサービスからのログエントリや、メタデータまたはユーザー定義フィールドに関する条件を満たすログエントリを選択できます。

始める前に

ログ エクスプローラを使用してクエリを作成するための適切な Identity and Access Management の権限またはロールがあることを確認します。必要な IAM 権限の詳細については、 Google Cloud コンソールの権限をご覧ください。

使ってみる

  1. Google Cloud コンソールで、[ログ エクスプローラ] ページに移動します。

    [ログ エクスプローラ] に移動

    検索バーを使用してこのページを検索する場合は、小見出しが [Logging] の結果を選択します。

  2. ログを表示する対象の適切な Google Cloud プロジェクトまたは他の Google Cloudリソースを選択します。

サンプルクエリを使用する

次の表のクエリを適用するには、式の [コンテンツ コピー] アイコンをクリックし、コピーした式をログ エクスプローラのクエリエディタ フィールドに貼り付けます。

次のスクリーンショットは、クエリペインを示しています。

クエリを入力する場所を示すクエリエディタ。

クエリエディタ フィールドが表示されない場合は、[クエリを表示] を有効にします。

クエリ式を確認したら、[クエリを実行] をクリックします。クエリに一致するログが [クエリ結果] の下に表示されます。

このページで後述するクエリの中には、有効な値に置き換える必要がある変数が含まれるものがあります。たとえば、クエリに logName が含まれる場合、指定する PROJECT_ID は現在選択されているGoogle Cloud プロジェクトを参照する必要があります。そうしないと、クエリは機能しません。

次の点にご注意ください。

  • タイムスタンプのあるクエリの場合、時間範囲セレクタは無効になり、クエリはタイムスタンプ式を時間範囲の制限として使用します。クエリがタイムスタンプ式を使用しない場合、クエリは時間範囲セレクタを時間範囲の制限として使用します。

  • クエリの長さは 20,000 文字以下にする必要があります。

  • Logging のクエリ言語では、正規表現を除き、大文字と小文字が区別されません。

  • log_name 式を使用したクエリでは、log_id 関数を使用できます。たとえば、式 log_name="projects/PROJECT_ID/logs/cloudaudit.googleapis.com%2Fdata_access"log_id("cloudaudit.googleapis.com/data_access") と同じです。 log_id 関数の詳細については、Logging クエリ言語: 関数をご覧ください。

Google Cloud コンソールでクエリを実行する手順については、ログ エクスプローラでクエリを作成するをご覧ください。

以降のセクションでは、クエリを Google Cloud サービスでグループ化します。

App Engine のクエリ

クエリ / フィルタの名前
App Engine の大晦日(UTC 時間)のログ 
resource.type="gae_app" AND severity>=ERROR AND timestamp>="2018-12-31T00:00:00Z" AND timestamp<="2019-01-01T00:00:00Z"
App Engine のサーバーエラーを含むリクエストログ 
resource.type="gae_app" AND log_id("appengine.googleapis.com/request_log") AND httpRequest.status>=500
HTTP エラーログからのサンプリング 
resource.type="gae_app" AND protoPayload.status >= 400 AND sample(insertId, 0.1)
App Engine トレース ID で検索 
resource.type="gae_app" AND trace="projects/PROJECT_ID/traces/TRACE_ID"
App Engine ログ 
resource.type="gae_app" AND resource.labels.module_id="MODULE_ID" AND resource.labels.version_id="VERSION_ID"
最近の App Engine デプロイ 
resource.type="gae_app" AND protoPayload."@type"="type.googleapis.com/google.cloud.audit.AuditLog" AND protoPayload.serviceName="appengine.googleapis.com"

API でクエリを有効または無効にする

クエリ / フィルタの名前
Audit API でログを有効にする 
protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.EnableService"
Audit API でログを無効にする 
protoPayload.methodName="google.api.serviceusage.v1.ServiceUsage.DisableService"

BigQuery のクエリ

クエリ / フィルタの名前
BigQuery 監査ログ 
resource.type=("bigquery_dataset" OR "bigquery_project") AND logName:"cloudaudit.googleapis.com"
プロジェクトの BigQuery 監査ログ 
resource.type="bigquery_project" AND logName:"cloudaudit.googleapis.com"
データセットの BigQuery 監査ログ 
resource.type="bigquery_dataset" AND logName:"cloudaudit.googleapis.com"
BI Engine Model の BigQuery 監査ログ 
resource.type="bigquery_biengine_model" AND logName:"cloudaudit.googleapis.com"
Data Transfer Service 実行の BigQuery 監査ログ 
resource.type="bigquery_dts_run" AND logName:"cloudaudit.googleapis.com"
Data Transfer Service 構成の BigQuery 監査ログ 
resource.type="bigquery_dts_config" AND logName:"cloudaudit.googleapis.com"
BigQuery Data Transfer Service のジョブ 
resource.type=("bigquery_project") AND protoPayload.requestMetadata.callerSuppliedUserAgent= "BigQuery Data Transfer Service" AND protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR "google.cloud.bigquery.v2.JobService.Query")
BigQuery 転送実行ログ 
resource.type="bigquery_dts_config" AND labels.run_id="RUN_ID" AND resource.labels.config_id="CONFIG_ID"
BigQuery データセットの更新 
resource.type="bigquery_dataset" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName= "google.cloud.bigquery.v2.DatasetService.UpdateDataset"
BigQuery ジョブの完了 
resource.type="bigquery_project" AND log_id("cloudaudit.googleapis.com/data_access") AND protoPayload.methodName=("google.cloud.bigquery.v2.JobService.InsertJob" OR "google.cloud.bigquery.v2.JobService.Query")
BigQuery の大規模クエリ 
resource.type="bigquery_project" AND protoPayload.metadata.jobChange.job.jobStats.queryStats.totalBilledBytes > 1073741824
BigQuery の割り当て超過 
resource.type=("bigquery_dataset" OR "bigquery_project") AND protoPayload.status.code=8 AND severity>=WARNING
BigQuery のクエリ開始 
resource.type="bigquery_project" AND protoPayload.metadata.jobInsertion.reason:*
BigQuery の同時実行読み込み / 抽出ジョブ 
resource.type="bigquery_resource" AND protoPayload.methodName="jobservice.insert" AND protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query: "extract"
行アクセス ポリシーの BigQuery 監査ログ 
protoPayload.methodName="jobservice.insert" AND protoPayload.serviceData.jobInsertRequest.resource.jobConfiguration.query.query:"ROW ACCESS POLICY"

Dataflow のクエリ

クエリ / フィルタの名前
Dataflow ワーカーのエラーと警告 
resource.type="dataflow_step" AND log_id("dataflow.googleapis.com/worker") AND severity>=WARNING

Dataproc のクエリ

クエリ / フィルタの名前
Dataproc Apache Hadoop のログ 
resource.type="cloud_dataproc_cluster" AND jsonPayload.class:"org.apache.hadoop.mapreduce"

Cloud Deployment Manager

クエリ / フィルタの名前
Deployment Manager のエラー 
resource.type="deployment" AND severity>=ERROR

Cloud Run functions のクエリ

クエリ / フィルタの名前
Cloud 関数のエラー 
resource.type="cloud_function" AND log_id("cloudfunctions.googleapis.com/cloud-functions") AND severity>=ERROR

Cloud Monitoring のクエリ

クエリ / フィルタの名前
すべての通知チャンネル
エラーを表示		 
resource.type="stackdriver_notification_channel" AND severity>=ERROR
スロットリングによる通知チャンネル
エラーを表示		 
resource.type="stackdriver_notification_channel" AND severity>=ERROR AND jsonPayload.summary="Notification delivery throttled."
稼働時間リソースによって
書き込まれたログを表示する		 
resource.type="uptime_url"
稼働時間チェック サービスから受信した
リクエストを表示する		 
"GoogleStackdriverMonitoring-UptimeChecks"

Cloud Run クエリ

クエリ / フィルタの名前
特定のジョブの Cloud Run ログ 
resource.type="cloud_run_job" AND resource.labels.service_name="JOB_NAME"
特定のリビジョンとサービスの Cloud Run ログ 
resource.type="cloud_run_revision" AND resource.labels.service_name="SERVICE_NAME"

Cloud Source Repositories のクエリ

クエリ / フィルタの名前
Cloud Source Repositories のリポジトリのログ 
resource.type="csr_repository" AND resource.labels.name="REPOSITORY_NAME"

Spanner のクエリ

クエリ / フィルタの名前
Cloud Spanner の特定 Spanner インスタンスのログ 
resource.type="spanner_instance" AND resource.labels.instance_id="SPANNER_INSTANCE"

Cloud SQL のクエリ

クエリ / フィルタの名前
Cloud SQL の監査ログ 
resource.type="cloudsql_database" AND resource.labels.database_id="DATABASE_ID" AND log_id("cloudaudit.googleapis.com/activity")
Cloud SQL MySQL のエラーログ 
resource.type="cloudsql_database" AND log_id("cloudsql.googleapis.com/mysql.err")
Cloud SQL の MySQL ベースのデータベース 
resource.type="cloudsql_database" AND resource.labels.database_id="DATABASE_ID" AND log_id("cloudsql.googleapis.com/mysql")
Cloud SQL の Postgres ベースのデータベース 
resource.type="cloudsql_database" AND resource.labels.database_id="DATABASE_ID" AND log_id("cloudsql.googleapis.com/postgres.log")
Cloud SQL for SQL Server のエラーログ 
resource.type="cloudsql_database" AND log_id("cloudsql.googleapis.com/sqlserver.err")
Cloud SQL SQL Server ベースのデータベース 
resource.type="cloudsql_database" AND resource.labels.database_id="DATABASE_ID" AND log_id("cloudsql.googleapis.com/sqlagent.out")

Cloud Storage のクエリ

クエリ / フィルタの名前
GCS バケットのログ 
resource.type="gcs_bucket" AND resource.labels.bucket_name="BUCKET_NAME"
GCS バケットの監査ログ 
resource.type="gcs_bucket" AND logName:"cloudaudit.googleapis.com"
GCS バケットの作成ログ 
resource.type="gcs_bucket" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.method_name="storage.buckets.create"
GCS バケットの削除ログ 
resource.type="gcs_bucket" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.method_name="storage.buckets.delete"

Cloud Tasks のクエリ

クエリ / フィルタの名前
Cloud Tasks キューのログ 
resource.type="cloud_tasks_queue" AND resource.labels.queue_id="QUEUE_ID"

Compute Engine のクエリ

クエリ / フィルタの名前
Compute Engine の管理アクティビティ ログ 
resource.type="gce_instance" AND log_id("cloudaudit.googleapis.com/activity")
Compute Engine ファイアウォール ルールの削除 
resource.type="gce_firewall_rule" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"firewalls.delete"
Compute Engine VM の syslog 
resource.type="gce_instance" AND log_id("syslog")
Compute Engine VM の authlog 
resource.type="gce_instance" AND log_id("authlog")
Compute Engine ホストエラー 
resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName:"compute.instances.hostError" OR operation.producer:"compute.instances.hostError") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="INSTANCE_ID"  severity=INFO
Compute Engine ホストメモリ アラート 
resource.type="gce_instance" AND protoPayload.serviceName="compute.googleapis.com" AND (jsonPayload.methodName:"compute.instances.host_event_notify" OR operation.producer:"compute.instances.host_event_notify") AND log_id("cloudaudit.googleapis.com/host_event_notify") AND resource.labels.instance_id="INSTANCE_ID" AND severity=CRITICAL
Compute Engine ホストの移行 
resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName: "compute.instances.migrateOnHostMaintenance" OR operation.producer: "compute.instances.migrateOnHostMaintenance") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="INSTANCE_ID" severity=INFO
Compute Engine VM の終了/プリエンプト 
resource.type="gce_instance" protoPayload.methodName=~"compute\.instances\.(guestTerminate|preempted)" log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="INSTANCE_ID"
スクラッチ ディスクの作成エラーにより Compute Engine VM が終了 
resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName="compute.instances.scratchDiskCreationFailed" OR operation.producer: "compute.instances.scratchDiskCreationFailed) log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="INSTANCE_ID" severity=INFO
Compute Engine VM インスタンスの作成 
resource.type="gce_instance" protoPayload.methodName:"compute.instances.insert" log_id("cloudaudit.googleapis.com/activity") protoPayload.request.name="INSTANCE_NAME"
名前を使用して Compute Engine VM インスタンスを削除しました 
resource.type="gce_instance" protoPayload.methodName:"compute.instances.delete" log_id("cloudaudit.googleapis.com/activity") protoPayload.resourceName:"INSTANCE_NAME"
ID を使用して Compute Engine VM インスタンスを削除しました 
resource.type="gce_instance" protoPayload.methodName:"compute.instances.delete" log_id("cloudaudit.googleapis.com/activity") resource.labels.instance_id="INSTANCE_ID"
Compute Engine VM インスタンスを再起動しました 
resource.type="gce_instance" protoPayload.methodName=~"compute\.instances\.( stop|reset|automaticRestart|guestTerminate| instanceManagerHaltForRestart)" (log_id("cloudaudit.googleapis.com/activity") OR log_id("cloudaudit.googleapis.com/system_event")) resource.labels.instance_id="INSTANCE_ID"
Compute Engine Shielded VM 起動時の完全性エラー 
resource.type="gce_instance" log_id("compute.googleapis.com/shielded_vm_integrity") jsonPayload.earlyBootReportEvent.policyEvaluationPassed="false" resource.labels.instance_id="INSTANCE_ID"
ゲスト OS によって停止された Compute Engine VM インスタンス 
resource.type="gce_instance" protoPayload.serviceName="compute.googleapis.com" (protoPayload.methodName:"compute.instances.guestTerminate" OR operation.producer:"compute.instances.guestTerminate") log_id("cloudaudit.googleapis.com/system_event") resource.labels.instance_id="INSTANCE_ID" severity=INFO
Compute Engine Shielded VM ブートファイルがブロックされました 
resource.type="gce_instance" log_id("serialconsole.googleapis.com/serial_port_1_output") textPayload:("Security Violation") resource.labels.instance_id="INSTANCE_ID"
永続ディスクが作成されました 
resource.type="gce_disk" AND protoPayload.methodName:"compute.disks.insert" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.resourceName: "PERSISTENT_DISK_NAME"
単一テナントノードに追加されたノード 
resource.type="gce_node_group" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName=~("compute.nodeGroups.addNodes" OR "compute.nodeGroups.insert") resource.labels.node_group_id="NODE_GROUP_ID" severity="INFO"
単一テナントノードでのイベントの自動スケーリング 
resource.type="gce_node_group" log_id("cloudaudit.googleapis.com/system_event") protoPayload.methodName=~("compute.nodeGroups.deleteNodes" OR "compute.nodeGroups.addNodes") resource.labels.node_group_id="NODE_GROUP_ID"
手動スナップショット取得 
resource.type="gce_snapshot" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.snapshots.insert" protoPayload.resourceName:"SNAPSHOT_NAME"
スケジュール設定されたスナップショットが取得されました 
resource.type="gce_disk" log_id("cloudaudit.googleapis.com/system_event") protoPayload.methodName="ScheduledSnapshots" protoPayload.response.operationType="createSnapshot" protoPayload.response.targetLink="PERSISTENT_DISK_NAME"
スナップショット スケジュールが作成されました 
resource.type="gce_resource_policy" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.resourcePolicies.insert" protoPayload.request.name="SCHEDULE_NAME"
スナップショット スケジュールが添付されました 
resource.type="gce_disk" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"compute.disks.addResourcePolicies" protoPayload.request.resourcePolicys:"SCHEDULE_NAME" protoPayload.resourceName:"PERSISTENT_DISK_NAME"
上限を超えています 
resource.type="gce_instance" protoPayload.methodName:"compute.instances.insert" protoPayload.status.message:"QUOTA_EXCEEDED" severity=ERROR
インスタンス グループ内の異常なインスタンスをクエリする 
resource.type="gce_instance_group" resource.labels.instance_group_name="INSTANCE_GROUP_NAME" jsonPayload.healthCheckProbeResult.healthState="UNHEALTHY"
期間内のインスタンス グループ メンバーを UTC 時間形式でクエリする 
resource.type="gce_instance_group_manager" resource.labels.instance_group_manager_name="INSTANCE_GROUP_NAME" jsonPayload.@type= "type.googleapis.com/compute.InstanceGroupManagerEvent" jsonPayload.instanceHealthStateChange.detailedHealthState="HEALTHY" timestamp >= START_TIME timestamp <= END_TIME
インスタンス グループに追加されたインスタンス 
resource.type="gce_instance_group" protoPayload.methodName:"compute.instanceGroups.addInstances" log_id("cloudaudit.googleapis.com/activity") resource.labels.instance_group_name="INSTANCE_GROUP_NAME"
インスタンス グループから削除されたインスタンス 
resource.type="gce_instance_group" protoPayload.methodName:"compute.instanceGroups.removeInstances" log_id("cloudaudit.googleapis.com/activity") resource.labels.instance_group_name="INSTANCE_GROUP_NAME"
インスタンス テンプレートを設定または更新 
resource.type="gce_instance_group_manager" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName= "v1.compute.instanceGroupManagers.setInstanceTemplate" resource.labels.instance_group_manager_name="INSTANCE_GROUP_MANAGER"
ファイアウォール ルールが削除されました 
resource.type="gce_firewall_rule" log_id("cloudaudit.googleapis.com/activity") protoPayload.methodName:"firewalls.delete"
ファイアウォール ログ 
resource.type="gce_subnetwork" log_id("compute.googleapis.com/firewall") jsonPayload.instance.vm_name="INSTANCE_NAME"

Google Cloud Observability のクエリ

クエリ / フィルタの名前
ログシンク アクティビティ 
resource.type="logging_sink" AND log_id("cloudaudit.googleapis.com/activity")
ログベースの指標の作成または更新のアクティビティ 
resource.type="metric" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:(UpdateLogMetric OR CreateLogMetric)
指定ホストの URL 稼働時間チェック 
resource.type="uptime_url" AND resource.labels.host="URL"

Identity and Access Management のクエリ

クエリ / フィルタの名前
サービス アカウント作成のログ 
resource.type="service_account" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.iam.admin.v1.CreateServiceAccount"
サービス アカウント作成キーのログ 
resource.type="service_account" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.iam.admin.v1.CreateServiceAccountKey"
アクセス制御ポリシー設定のログ 
resource.type="project" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="SetIamPolicy"
外部プリンシパルが組織へのアクセスを許可 
resource.type="project" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.@type="type.googleapis.com/google.cloud.audit.AuditLog" AND protoPayload.request.@type:"IamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:* AND NOT protoPayload.serviceData.policyDelta.bindingDeltas.member:"@DOMAIN_NAME.com"
リソースの作成、変更、削除 
log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:("create" OR "delete" OR "update")
プリンシパルに付与されたロール 
log_id("cloudaudit.googleapis.com/activity") AND resource.type="project" AND protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.action="Add" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID"
プリンシパルから削除されたロール 
log_id("cloudaudit.googleapis.com/activity") AND resource.type="project" AND protoPayload.serviceName="cloudresourcemanager.googleapis.com" AND protoPayload.methodName="SetIamPolicy" AND protoPayload.serviceData.policyDelta.bindingDeltas.action="Remove" AND protoPayload.serviceData.policyDelta.bindingDeltas.member:"EMAIL_ID"
カスタムロールで更新された権限 
log_id("cloudaudit.googleapis.com/activity") AND resource.type="iam_role" AND protoPayload.serviceName="iam.googleapis.com" AND protoPayload.methodName:"UpdateRole" AND resource.labels.role_name:"ROLE_ID"

Kubernetes 関連のクエリ

管理アクティビティ監査ログクエリの概要と例については、GKE 監査ログのページをご覧ください。

クラスタレベルのクエリ

クエリ / フィルタの名前
Google Kubernetes Engine クラスタの操作 
resource.type="gke_cluster" AND log_id("cloudaudit.googleapis.com/activity")
Google Kubernetes Engine クラスタの作成 
resource.type="gke_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="google.container.v1.ClusterManager.CreateCluster"
Kubernetes クラスタのデプロイ 
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"deployments"
Kubernetes クラスタ認証の失敗 
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.authenticationInfo.principalEmail="system:anonymous"
us-central1-b の Kubernetes クラスタの操作とイベント 
resource.type="k8s_cluster" AND resource.labels.location="us-central1-b"
ユーザーからの Kubernetes Pod リクエスト 
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"io.k8s.core.v1.pods" AND protoPayload.authenticationInfo.principalEmail="USER_EMAIL"
Kubernetes イベント 
resource.type="k8s_cluster" AND log_id("events")
Kubernetes Endpoints の更新 
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.request.kind="Endpoints"
Kubernetes コントロール プレーンのログ 
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.serviceName="k8s.io"
Kubernetes Engine コントロール プレーンのログ 
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.serviceName="container.googleapis.com"
Pod の削除 
resource.type="k8s_cluster" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName=~"io\.k8s\.core\.v1\.pods\.(create|delete)"
コントロール プレーンからの Kubernetes Pod 監査ログ 
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.resourceName="core/v1/namespaces/POD_NAMESPACE/pods/POD_NAME
Kubernetes Pod のエビクション 
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName="io.k8s.core.v1.pods.eviction.create"
コントロール プレーンからの Kubernetes ノード監査のログ 
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.methodName:"io.k8s.core.v1.nodes"
Addon Manager Activity 用の Kubernetes クラスタ コントロール プレーン 
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.authenticationInfo.principalEmail="system:addon-manager"
Kubernetes コントロール プレーンのエラー(通常の Conflict を除く) 
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("cloudaudit.googleapis.com/activity") AND protoPayload.status.message!="Conflict" AND protoPayload.status.code!=0
内向きコントローラ イベント 
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("events") AND jsonPayload.source.component="loadbalancer-controller"
サービス コントローラ イベント(kube-controller-manager) 
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("events") AND jsonPayload.source.component="service-controller"
クラスタ オートスケーラー イベント 
resource.type="k8s_cluster" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("events") AND jsonPayload.source.component="cluster-autoscaler"

Pod レベルのクエリ

フィルタ名
作成中のクエリ Pod 
resource.type="k8s_pod" AND resource.labels.pod_name="POD_NAME" AND log_id("events")
リソースの負荷が原因でクエリ Pod が終了した 
resource.type="k8s_pod" AND         log_id("events") AND         jsonPayload.reason="Evicted"
スケジューラ イベント 
resource.type="k8s_pod" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("events") AND jsonPayload.source.component="default-scheduler"
スケジューラ イベント(プリエンプション) 
resource.type="k8s_pod" AND resource.labels.location="CLUSTER_LOCATION" AND resource.labels.cluster_name="CLUSTER_NAME" AND log_id("events") AND jsonPayload.source.component="default-scheduler" AND jsonPayload.reason="Preempted"

ノードレベルのクエリ

フィルタ名
ノードイベント 
resource.type="k8s_node" AND log_id("events")
Kube-proxy ログの確認 
resource.type="k8s_node" AND log_id("kube-proxy")
Dockerd ログの確認 
resource.type="k8s_node" AND log_id("container-runtime")
kubelet エラーまたは失敗を確認する 
resource.type="k8s_node" AND log_id("kubelet") AND jsonPayload.MESSAGE:("error" OR "fail")
GKE システムログのノードログを確認する 
resource.type = "k8s_node" logName:( "logs/container-runtime" OR "logs/docker" OR "logs/kube-container-runtime-monitor" OR "logs/kube-logrotate" OR "logs/kube-node-configuration" OR "logs/kube-node-installation" OR "logs/kubelet" OR "logs/kubelet-monitor" OR "logs/node-journal" OR "logs/node-problem-detector")

名前空間クエリ

フィルタ名
GKE システムログのコンテナログと Pod ログ 
resource.type = ("k8s_container" OR "k8s_pod") resource.labels.namespace_name = ( "cnrm-system" OR "config-management-system" OR "gatekeeper-system" OR "gke-connect" OR "gke-system" OR "istio-system" OR "knative-serving" OR "monitoring-system" OR "kube-system")

コンテナクエリ

フィルタ名
クラスタ内のすべての Pod とコンテナの標準出力コンテナログ 
resource.type="k8s_container" AND log_id("stdout")
クラスタ内のすべてのPod とコンテナのコンテナ エラー ログ 
resource.type="k8s_container" AND log_id("stderr") AND severity=ERROR
特定の名前のPodのコンテナ エラー ログ 
resource.type="k8s_container" AND resource.labels.pod_name="POD_NAME" AND severity=ERROR
特定の Pod 内の特定のコンテナのコンテナ エラー ログ 
resource.type="k8s_container" AND resource.labels.pod_name="POD_NAME" AND resource.labels.container_name="server" AND severity=ERROR
特定の名前空間とコンテナのコンテナ エラー ログ 
resource.type="k8s_container" AND resource.labels.namespace_name="istio-system" AND resource.labels.container_name="egressgateway" AND severity=ERROR
特定のラベルを持つ Pod のコンテナログ 
resource.type="k8s_container" AND labels."k8s-pod/app"="loadgenerator" AND severity=ERROR
特定のノードで実行されている Pod のコンテナ エラー ログ 
resource.type="k8s_container" AND labels."compute.googleapis.com/resource_name"=NODE_NAME AND severity=ERROR
skaffold を使用して生成されたラベルを持つ Pod のコンテナログ 
resource.type="k8s_container" AND labels."k8s-pod/app"="loadgenerator" AND labels."k8s-pod/skaffold_dev/run-id"=SKAFFOLD_RUN_ID severity=ERROR
textPayload に POST を含む特定の Pod のコンテナ エラー ログ 
resource.type="k8s_container" AND resource.labels.pod_name="POD_NAME" AND textPayload:"POST" AND severity=ERROR
構造化 JSON に GET を含む特定の Pod のコンテナ エラー ログ 
resource.type="k8s_container" AND resource.labels.pod_name="POD_NAME" AND jsonPayload."http.req.method"="GET" AND severity=ERROR
kube-system 名前空間のコンテナ エラー ログ 
resource.type="k8s_container" AND resource.labels.namespace_name="kube-system" AND severity=ERROR
コンテナ インサイト ログのコンテナエラー 
resource.type="k8s_container" AND log_id("clouderrorreporting.googleapis.com/insights")
Kubernetes コンテナのログ 
resource.type="k8s_container" AND resource.labels.container_name="CONTAINER_NAME"

コントロール プレーンのクエリ

注: GKE コントロール プレーンのログを有効にする必要があります。
フィルタ名
Kubernetes API サーバーログ 
resource.type="k8s_control_plane_component" resource.labels.component_name="apiserver" resource.labels.location="CLUSTER_LOCATION" resource.labels.cluster_name="CLUSTER_NAME"
Kubernetes スケジューラのログ 
resource.type="k8s_control_plane_component" resource.labels.component_name="scheduler" resource.labels.location="CLUSTER_LOCATION" resource.labels.cluster_name="CLUSTER_NAME"
Kubernetes コントローラ マネージャーのログ 
resource.type="k8s_control_plane_component" resource.labels.component_name="controller-manager" resource.labels.location="CLUSTER_LOCATION" resource.labels.cluster_name="CLUSTER_NAME"

TPU ワークロードのクエリ

注: GKE のシステムとワークロードのロギングを有効にする必要があります。
フィルタ名
同じ接頭辞を持つすべての TPU ノードの stdout コンテナログ 
resource.type="k8s_container" AND labels."compute.googleapis.com/resource_name"=~"TPU_NODE_PREFIX.*" AND log_id("stdout")
同じ接頭辞を持つすべての TPU ノードのコンテナ エラー ログ 
resource.type="k8s_container" AND labels."compute.googleapis.com/resource_name"=~"TPU_NODE_PREFIX.*" AND log_id("stderr") AND severity=ERROR
同じ GKE Job の stdout コンテナログ 
resource.type="k8s_container" AND labels."k8s-pod/batch.kubernetes.io/job-name" = "JOB_NAME" AND log_id("stdout")
同じ GKE Job のコンテナ エラーログ 
resource.type="k8s_container" AND labels."k8s-pod/batch.kubernetes.io/job-name"="JOB_NAME" AND log_id("stderr") AND severity=ERROR
同じ GKE JobSet の stdout コンテナログ 
resource.type="k8s_container" AND labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="JOBSET_NAME" AND log_id("stdout")
同じ GKE JobSet のコンテナ エラーログ 
resource.type="k8s_container" AND labels."k8s-pod/jobset_sigs_k8s_io/jobset-name"="JOBSET_NAME" AND log_id("stderr") AND severity=ERROR

サードパーティ アプリケーションのクエリ

次のクエリでは、以前の Logging エージェントによって収集されたログにデフォルトのログ ID を使用します。Ops エージェントを使用してログを収集している場合、ログ名が異なるように構成されている可能性があります。Ops エージェントとアプリケーション ログの詳細については、サードパーティ アプリケーションからログを収集するをご覧ください。

クエリ / フィルタの名前
Apache のログ 
resource.type="gce_instance" AND (logName:"/apache-access" OR logName:"/apache-error")
Cassandra のログ 
resource.type="gce_instance" AND log_id("cassandra")
Chef のログ 
resource.type="gce_instance" AND logName:"projects/PROJECT_ID/logs/chef-"
Gitlab のログ 
resource.type="gce_instance" logName:"projects/PROJECT_ID/logs/gitlab-"
Jenkins のログ 
resource.type="gce_instance" AND log_id("jenkins")
Jetty のログ 
resource.type="gce_instance" AND logName:"projects/PROJECT_ID/logs/jetty-"
Joomla のログ 
resource.type="gce_instance" AND log_id("joomla")
Linux の syslog 
resource.type="gce_instance" AND log_id("syslog")
Magneto のログ 
resource.type="gce_instance" AND logName:"projects/PROJECT_ID/logs/magneto-"
Mediawiki のログ 
resource.type="gce_instance" AND log_id("mediawiki")
memcached のログ 
resource.type="gce_instance" AND log_id("memcached")
MongoDB のログ 
resource.type="gce_instance" AND log_id("mongodb")
MySQL のログ 
resource.type="gce_instance" AND log_id("mysql")
Nginx のログ 
resource.type="gce_instance" AND logName:"projects/PROJECT_ID/logs/nginx-"
PostgreSQL のログ 
resource.type="gce_instance" AND log_id("postgresql")
Puppet のログ 
resource.type="gce_instance" AND logName:"projects/PROJECT_ID/logs/puppet-"
RabbitMQ のログ 
resource.type="gce_instance" AND logName:"projects/PROJECT_ID/logs/rabbitmq-"
Redmine のログ 
resource.type="gce_instance" AND log_id("redmine")
Salt のログ 
resource.type="gce_instance" AND logName:"projects/PROJECT_ID/logs/salt-"
MySQL のスロークエリ 
resource.type="gce_instance" AND log_id("mysql-slow")
Solr のログ 
resource.type="gce_instance" AND log_id("solr")
SugarCRM のログ 
resource.type="gce_instance" AND log_id("sugarcrm")
Tomcat のログ 
resource.type="gce_instance" AND log_id("tomcat")
Zookeeper のログ 
resource.type="gce_instance" AND log_id("zookeeper")

ネットワーキングのクエリ

クエリ / フィルタの名前
ファイアウォールのすべてのログ 
resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall")
指定した国のファイアウォール ログ 
resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND jsonPayload.remote_location.country=COUNTRY_ISO_ALPHA_3
VM からのファイアウォール ログ 
resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND jsonPayload.instance.vm_name="INSTANCE_NAME"
サブネット指定のファイアウォール ログ 
resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/firewall") AND resource.labels.subnetwork_name="SUBNET_NAME"
宛先サブネット指定の Compute Engine サブネットワーク トラフィック ログ 
resource.type="gce_subnetwork" AND ip_in_net(jsonPayload.connection.dest_ip, "SUBNET_IP")
VPC フローログ 
resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows")
ポート、プロトコル指定の VPC フローログ 
resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND jsonPayload.connection.src_port="PORT_ID" AND jsonPayload.connection.protocol="PROTOCOL"
サブネット指定の VPC フローログ 
resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND resource.labels.subnetwork_name"=SUBNET_NAME"
サブネット プレフィックス指定の VPC フローログ 
resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND ip_in_net(jsonPayload.connection.dest_ip,SUBNET_IP)
特定の VM の VPC フローログ 
resource.type="gce_subnetwork" AND log_id("compute.googleapis.com/vpc_flows") AND jsonPayload.src_instance.vm_name="VM_NAME"
VPN ゲートウェイのログ 
resource.type="vpn_gateway" AND resource.labels.gateway_id="GATEWAY_ID"
HTTP ロードバランサの 5xx エラー 
resource.type="http_load_balancer" AND httpRequest.status>=500
HTTP ロードバランサの phpMyAdmin へのリクエスト 
resource.type="http_load_balancer" AND httpRequest.request_url:"phpmyadmin"

セキュリティのクエリ

クエリ / フィルタの名前
監査ログ - すべて 
logName:"cloudaudit.googleapis.com"
監査ログ - アクセスの透明性(AXT) 
log_id("cloudaudit.googleapis.com/access_transparency")
監査ログ - 管理アクティビティ 
log_id("cloudaudit.googleapis.com/activity")
監査ログ - データアクセス 
log_id("cloudaudit.googleapis.com/data_access")
監査ログ - システム イベント 
log_id("cloudaudit.googleapis.com/system_event")

トラブルシューティング

ログ エクスプローラの使用時によく発生する問題のトラブルシューティングの手順については、ログ エクスプローラの使用: トラブルシューティングをご覧ください。

次のステップ

これらのクエリのカスタマイズに使用できるクエリ構文の詳細については、Logging のクエリ言語をご覧ください。

Google Cloud コンソールでのクエリの詳細については、Logging のクエリ言語を使用してクエリをビルドするをご覧ください。