Cette page a été traduite par l'API Cloud Translation.

Afficher les journaux à l'aide de l'explorateur de journaux

Ce document présente l'explorateur de journaux de la console Google Cloud, que vous pouvez utiliser pour récupérer, afficher et analyser les entrées de journal stockées dans des buckets de journaux. L'affichage et l'analyse d'entrées de journal individuelles et d'une séquence d'entrées de journal peuvent vous aider à résoudre les problèmes. Vous pouvez également lire les données de journal à l'aide de l'API Logging et de la Google Cloud CLI.

Pour effectuer des opérations agrégées sur vos entrées de journal, comme compter le nombre d'entrées de journal contenant un modèle spécifique, mettez à niveau le bucket de journaux pour utiliser l'Analyse de journaux, puis exécutez des requêtes à partir de la page Log Analytics de la console Google Cloud. Vous pouvez continuer à utiliser l'explorateur de journaux pour afficher les journaux dans les buckets de journaux qui ont été mis à niveau pour utiliser l'Analyse de journaux. Pour en savoir plus, consultez la page Présentation de Log Analytics.

Le reste de ce document explique comment utiliser l'explorateur de journaux.

Avant de commencer

Pour obtenir les autorisations nécessaires pour utiliser l'explorateur de journaux afin d'afficher les entrées de journal, demandez à votre administrateur de vous accorder les rôles IAM suivants:

Pour afficher les entrées de journal dans le bucket _Required et celles de la vue _Default sur le bucket _Default, ou pour sélectionner une portée de journal : Afficheur de journaux (roles/logging.viewer) sur votre projet, votre dossier ou votre organisation.
Pour afficher toutes les entrées de journal dans les buckets _Required et _Default : Lecteur de journaux privés (roles/logging.privateLogViewer) sur votre projet, dossier ou organisation.
Pour afficher les champs LogEntry restreints dans un bucket de journaux : Accès aux champs des journaux (roles/logging.fieldAccessor) sur le projet, le dossier ou l'organisation qui stocke le bucket de journaux. Pour savoir comment limiter l'accès aux champs LogEntry, consultez Configurer l'accès au niveau des champs.
Pour afficher et télécharger les entrées de journal stockées dans une vue des journaux sur un bucket de journaux : Accesseur de vues de journaux (roles/logging.viewAccessor) sur le projet, le dossier ou l'organisation contenant le bucket de journaux. Pour savoir comment accéder uniquement à une vue de journal spécifique, consultez Contrôler l'accès à une vue de journal.

Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Vous pouvez également obtenir les autorisations requises via des rôles personnalisés ou d'autres rôles prédéfinis.

Commencer

Pour commencer à utiliser l'explorateur de journaux, procédez comme suit :

Dans la console Google Cloud, accédez à la page Explorateur de journaux.
Accéder à l'explorateur de journaux

Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Logging.
Sélectionnez un projet, un dossier ou une organisation Google Cloud.

Les entrées de journal affichées par la page Explorateur de journaux dépendent des éléments suivants:
- Ressources recherchées pour les entrées de journal.
- Paramètre de la période.
- Vos rôles IAM (Identity and Access Management) sur les ressources recherchées.
- Votre requête filtre les résultats de recherche. Par exemple, l'ajout de la requête severity>=ERROR affiche uniquement les entrées de journal dont le niveau de gravité est d'au moins ERROR.
Par défaut, la page Explorateur de journaux recherche des entrées de journal dans les ressources listées dans le champ d'action des journaux par défaut. Si ce champ d'application n'est pas accessible, la page recherche les entrées de journal provenant du projet, du dossier ou de l'organisation que vous avez sélectionnés. Lorsqu'un projet est sélectionné, les résultats de recherche incluent les entrées de journal acheminées vers le projet par un récepteur dans un autre projet, puis stockées dans un bucket de journaux.

Une fois la page Explorateur de journaux ouverte, vous pouvez sélectionner les ressources pour lesquelles l'explorateur de journaux recherche des entrées de journal. Les modifications que vous apportez à l'aide du menu Affiner la portée ne s'appliquent qu'à votre session en cours.

Interface de l'explorateur de journaux

L'interface de l'explorateur de journaux vous permet d'afficher des entrées de journal, de les analyser et de les interpréter, et de spécifier des paramètres de requête. L'explorateur de journaux contient les sections suivantes, qui sont détaillées sur cette page:

Barre d'outils principale
Volet Requête
Volet Champs de journal
Chronologie
Barre d'outils des résultats de la requête
Volet des résultats de la requête

Barre d'outils principale

La barre d'outils principale vous permet d'effectuer les opérations suivantes:

Bibliothèque de requêtes: affichez les requêtes enregistrées, récentes et suggérées. Pour en savoir plus, consultez la page Enregistrer et partager des requêtes.
Partager le lien: créez une URL abrégée de la requête et copiez-la dans votre presse-papiers, ce qui facilite le partage d'une requête. L'URL copiée comporte l'intervalle de temps absolu correspondant représenté par l'intervalle de temps de votre requête ; par exemple, 7:49:37 PM - 8:49:37 PM.
Préférences: ajustez la vue de la page de l'explorateur de journaux et personnalisez le format des résultats de votre requête. Pour en savoir plus, consultez la section Définir des préférences pour afficher les données de journal.
Sélecteur de période: spécifiez une période pour les entrées de journal que vous souhaitez afficher. Pour en savoir plus, consultez Utiliser le sélecteur de période.
Diffuser les journaux: affichez les entrées de journal à mesure que Logging les stocke dans des buckets de journaux. Pour en savoir plus, consultez la section Diffuser les journaux.
En savoir plus: affichez les liens vers la documentation et les sujets pertinents.

Afficher les requêtes récentes, enregistrées et suggérées

Pour afficher les requêtes que vous avez récemment exécutées, celles que vous avez enregistrées pour une utilisation ultérieure et les suggestions de requêtes, cliquez sur le bouton Bibliothèque de requêtes.

Dans l'onglet Bibliothèque de requêtes, vous pouvez afficher les éléments suivants:

Requêtes récentes: affichez les requêtes que vous avez récemment exécutées. Pour en savoir plus, consultez la section Utiliser les requêtes récentes.
Requêtes enregistrées: affichez vos requêtes enregistrées et celles que d'autres utilisateurs du projet Google Cloud ont partagées avec vous. Pour en savoir plus, consultez la section Enregistrer et partager des requêtes.
Requêtes suggérées: affichez les requêtes suggérées en fonction des ressources de votre projet Google Cloud. Pour en savoir plus, consultez la section Utiliser les requêtes suggérées.
Requêtes fournies par Google Cloud: consultez les requêtes fournies par Google Cloud en fonction des cas d'utilisation courants de divers services Google Cloud. Pour en savoir plus, consultez Sélectionner des requêtes dans la bibliothèque.

Définir des préférences pour afficher les données de journal

Pour personnaliser la présentation des données de vos journaux dans les résultats de la requête, cliquez sur le bouton Préférences, puis sélectionnez Affichage, Format ou Gérer les champs récapitulatifs:

Pour afficher ou masquer les volets Chronologie et Champs du journal, pour masquer les chips récapitulatifs dans les résultats de votre requête ou pour modifier l'ordre de tri de vos journaux, sélectionnez Affichage.
Pour configurer la colonne Heure des résultats de votre requête, sélectionnez Format. Pour en savoir plus, consultez Configurer la colonne Heure.
Pour afficher jusqu'à 10 lignes pour chaque entrée de journal, sélectionnez Format, puis cliquez sur Mettre en forme les lignes. Par défaut, le contenu de chaque entrée de journal est tronqué pour tenir sur une seule ligne. Les espaces vides sont conservés dans chaque entrée de journal.
Pour trouver des tendances dans vos journaux à l'aide de champs de résumé, sélectionnez Manage summary fields (Gérer les champs de résumé). Pour en savoir plus, consultez la section Trouver des tendances dans vos journaux à l'aide de champs récapitulatifs.

Configurer la colonne Heure

La colonne Heure du volet Résultats de la requête affiche les codes temporels de vos entrées de journal. Vous pouvez personnaliser la colonne Heure afin que seules certaines parties du code temporel soient visibles. Cela crée plus d'espace horizontal afin que vous puissiez afficher plus d'informations dans l'entrée de journal.

Pour sélectionner les parties du code temporel à afficher, cliquez sur le menu Préférences, sélectionnez Format, puis sélectionnez l'une des options suivantes:

Date, heure et fuseau horaire
Date et heure (par défaut)
Heure uniquement

Identifier des tendances dans vos journaux à l'aide de champs récapitulatifs

Supposons que vous examiniez les entrées de journal dans les résultats de votre requête et que vous souhaitiez parcourir rapidement les résultats en fonction d'un certain champ LogEntry. Vous pouvez également regrouper vos entrées de journal en fonction d'une paire champ/valeur spécifique. Vous pouvez ajouter des champs récapitulatifs à vos résultats, qui s'affichent sous forme de chips au début de chaque ligne d'entrée de journal.

L'explorateur de journaux propose des champs de résumé par défaut et des champs de résumé personnalisés. Les champs de résumé par défaut dépendent des résultats de votre requête actuelle, et les champs de résumé personnalisés vous permettent de sélectionner n'importe quel champ dans LogEntry.

Pour afficher ou masquer tous les chips de champ récapitulatif dans les résultats de votre requête, cliquez sur le bouton Préférences, sélectionnez Affichage, puis Afficher les chips récapitulatifs. Lorsque cette option est activée, les résultats sont affichés au format texte brut.

Pour masquer des champs de résumé spécifiques, activez Champs de résumé, puis cliquez sur Masquer le champ de résumé. Pour modifier des champs récapitulatifs, procédez comme suit:

Cliquez sur le bouton Préférences, puis sélectionnez Gérer les champs de résumé.
Dans la boîte de dialogue Gérer les champs récapitulatifs, vous pouvez effectuer les opérations suivantes:
- Ajoutez les noms des champs personnalisés dans Champs de résumé personnalisés.
  
  Le champ de synthèse prend en charge la saisie semi-automatique et la correction du champ pour les caractères juridiques entre guillemets. Par exemple, si vous saisissez jsonPayload.id-field, il est remplacé par jsonPayload."id-field".
  
  Vous pouvez également sélectionner n'importe quel champ LogEntry, que la fonction de saisie semi-automatique vous le suggère ou non.
  
  Pour supprimer un champ de résumé personnalisé existant, cliquez sur la croix X dans son chip.
- Activez ou désactivez la troncature pour vos champs de résumé personnalisés.
  
  Pour réduire l'affichage des valeurs des champs de synthèse, utilisez l'option à côté de Tronquer les champs de synthèse personnalisés. Vous pouvez choisir le nombre de caractères à afficher avant que le champ ne soit tronqué, et si vous souhaitez que ce soit le début ou la fin du champ qui s'affiche.
  
  Conseil :Pour afficher la valeur complète d'un champ de synthèse, maintenez le pointeur sur un champ de synthèse tronqué dans les résultats de votre requête.
- Masquer ou afficher les champs de résumé par défaut:
  
  Pour personnaliser les champs de résumé par défaut affichés dans les résultats de votre requête, développez le menu Masquer ou afficher les champs de résumé par défaut.
Cliquez sur Appliquer.

Vos champs récapitulatifs sont désormais mis à jour dans les résultats de vos requêtes.

Afficher les journaux par période

Pour spécifier une période pour les entrées de journal que vous souhaitez afficher, utilisez le sélecteur de période.

Pour effectuer une actualisation forcée des résultats de votre requête afin d'inclure l'heure actuelle, cliquez sur keyboard_tab Heure actuelle.

Diffuser les journaux

Vous pouvez diffuser des journaux pendant que Logging les stocke dans des buckets de journaux, ou ajouter une requête pour ne diffuser que les journaux correspondant à la requête.

Pour diffuser des journaux en fonction d'une requête, ajoutez-la dans le volet Requête, puis sélectionnez le bouton Diffuser les journaux dans la barre d'outils principale. Comme Logging stocke les données de journalisation dans des buckets de journaux, seuls les journaux correspondant à la requête sont affichés dans le volet Résultats de la requête. Lorsqu'aucune requête n'est fournie, Logging affiche chaque entrée de journal au fur et à mesure de son stockage.

Pour arrêter la diffusion, cliquez sur Arrêter la diffusion ou faites défiler la page manuellement pour mettre la diffusion en pause.

Volet Requête

Pour créer une requête dans l'explorateur de journaux, utilisez le volet de requête. Dans le volet des requêtes, vous pouvez créer et affiner des requêtes à l'aide des fonctionnalités suivantes:

Rechercher dans tous les champs: recherchez les entrées de journaux qui correspondent à vos termes ou expressions de recherche. Tous les termes de recherche ajoutés au champ Rechercher dans tous les champs sont ajoutés au champ de l'éditeur de requête et sont évalués dans l'expression de votre requête. Pour en savoir plus, consultez Rechercher du texte dans les champs de journal.
Menus de filtrage: créez des requêtes à l'aide de divers menus pour sélectionner des ressources, des noms de journaux, des niveaux de gravité et une corrélation avec d'autres journaux. Pour en savoir plus, consultez la section Utiliser les menus de filtre.
Champ de l'éditeur de requêtes: créez des requêtes avancées à l'aide du langage de requête Logging. Si le champ de l'éditeur de requête n'apparaît pas, activez Afficher la requête. Pour en savoir plus, consultez la page Écrire des requêtes avancées à l'aide du langage de requête Logging.

Remarque :Lorsqu'une requête contient plusieurs instructions, vous pouvez spécifier comment ces instructions sont jointes ou vous pouvez vous fier à Cloud Logging pour ajouter implicitement la restriction conjonctive, AND, entre les instructions. Par exemple, supposons qu'une boîte de dialogue de requête ou de filtre contienne deux instructions, resource.type = "gce_instance" et severity >= "ERROR". La requête réelle est resource.type = "gce_instance" AND severity >= "ERROR". Cloud Logging accepte à la fois les restrictions disjonctives (OR) et les restrictions conjonctives (AND). Lorsque vous utilisez des instructions OR, nous vous recommandons de regrouper les clauses entre parenthèses. Pour en savoir plus, consultez la documentation sur le langage de requête Logging.

Après avoir examiné votre requête, cliquez sur Exécuter la requête. Les journaux correspondant à votre requête sont répertoriés dans le volet Résultats de la requête. Les volets Chronologie et Champs de journal s'adaptent également en fonction de l'expression de requête.

Ressources sélectionnées pour rechercher des entrées de journal

Lorsque vous ouvrez la page Explorateur de journaux, elle récupère les entrées de journal provenant de la ressource que vous avez sélectionnée et que vous êtes autorisé à afficher. Pour les projets Google Cloud, les entrées de journal extraites incluent également celles qui sont acheminées vers le projet par un collecteur dans un autre projet. Si vous saisissez une requête, l'explorateur de journaux n'affiche que les entrées de journal récupérées qui correspondent également à la requête. Par exemple, l'ajout de la requête severity>=ERROR entraîne l'affichage de seules les entrées de journal dont le niveau de gravité est d'au moins ERROR.

Pour votre session en cours, vous pouvez configurer les ressources pour lesquelles l'explorateur de journaux recherche des entrées de journal à l'aide du menu Affiner le champ d'action. Par exemple, lors du dépannage, vous pouvez choisir d'examiner uniquement les entrées de journal incluses dans une vue de journal ou provenant d'un projet Google Cloud spécifique.

Le menu Affiner le champ d'application vous permet de rechercher par projet actuel, par vue de journal ou par champ d'application des journaux:

Pour rechercher des éléments en fonction du projet, du dossier ou de l'organisation sélectionnés avec le sélecteur de projet, développez le menu Affiner le champ d'application, puis sélectionnez Projet en cours.

Pour toutes les ressources, les résultats de recherche incluent les entrées de journal provenant de la ressource. Pour les projets Google Cloud, les résultats de recherche incluent également les entrées de journal acheminées vers le projet par un collecteur dans un autre projet.
Pour rechercher des vues de journaux, développez le menu Affiner la portée, sélectionnez Vue de journal, puis sélectionnez une ou plusieurs vues de journaux dans le menu.

Remarque :Utilisez ce paramètre lorsque vous souhaitez afficher les entrées de journal acheminées par un récepteur agrégé.

Lorsqu'un projet est sélectionné avec le sélecteur de projet, le menu liste les vues de journal sur les buckets de journaux stockés par le projet sélectionné. Toutefois, lorsqu'un dossier ou une organisation est sélectionné, le menu liste toutes les vues de journal qui stockent les entrées de journal provenant de ces ressources.

Pour modifier le menu de vue des journaux afin d'inclure des vues de journaux sur des buckets de journaux stockés dans un projet, cliquez sur Importer un projet, puis sélectionnez le projet.
Pour rechercher les ressources incluses dans un champ d'application des journaux, qui peut inclure des projets et des vues de journaux, développez le menu Affiner le champ d'application, sélectionnez Champ d'application des journaux, puis sélectionnez un champ d'application des journaux.

Si vous souhaitez configurer vos champs d'application de journaux, cliquez sur Gérer les champs d'application. Pour en savoir plus, consultez la section Créer et gérer des champs d'action de journaux.

Les portées de journalisation sont disponibles en version Preview publique.

Volet Champs du journal

Le volet Champs de journal offre une synthèse brève des données de journaux et permet d'affiner efficacement une requête. Le volet affiche les entrées de journal réparties en fonction de différentes dimensions correspondant aux champs qu'elles contiennent.

Une fois la requête exécutée dans le champ de l'éditeur de requête, le volet Champs de journal est renseigné en fonction des résultats de la requête. Ce volet affiche le nombre d'entrées de journal pour chaque dimension compatible. Pour chaque dimension, vous pouvez effectuer une sélection. Les dimensions suivantes sont toujours disponibles:

Type de ressource

Si vous utilisez BindPlane pour écrire des journaux sur site et cloud hybride, sélectionnez le type de ressource Nœud générique.
Gravité

Si vous souhaitez que votre requête filtre les résultats par plusieurs niveaux de gravité, utilisez le menu Gravité.

Vous pouvez voir une dimension Service:

Si vous disposez de journaux dont le type de ressource est Conteneur Kubernetes et que vous n'avez pas filtré vos journaux par type de ressource, le menu Service est renseigné. Les entrées de ce menu sont déterminées dynamiquement par les valeurs du libellé k8s-pod/app de la ressource.

Par exemple, si une entrée de journal semblable à la suivante s'affiche en réponse à votre requête, le menu des services inclut le service nommé myservice:
```
{
 ...
 labels: {
     compute.googleapis.com/resource_name: "mycluster1"
     k8s-pod/app: "myservice"
     k8s-pod/pod-template-hash: "5ffcd94fdd"
  }
  logName: "projects/my-project/logs/stdout"
  resource: {
     labels: {6}
     type: "k8s_container"
  }
  ...
}
```
Si vous filtrez selon le type de ressource Ressource auditée, le menu Service est renseigné. Les entrées de ce menu sont déterminées dynamiquement par les valeurs du libellé service de la ressource.

D'autres dimensions, comme ID du projet, sont listées en fonction de vos sélections. Par exemple, la dimension ID de projet est listée lorsque votre requête limite les entrées de journal à celles dont le type de ressource est Conteneur Kubernetes ou lorsque vous avez sélectionné une vue de journal.

Affiner votre requête

Pour affiner votre requête, sélectionnez une valeur dans le volet Champs du journal. Par exemple, si vous sélectionnez Error (Erreur) dans l'en-tête Severity (Gravité), le volet de requête est mis à jour pour inclure severity=ERROR.

Pour supprimer une sélection, cliquez sur le bouton Effacer.

Ajouter des champs au volet Champs du journal

Vous pouvez ajouter certaines paires clé/valeur LogEntry au volet Champs du journal à partir des entrées de journal renseignées dans le volet Résultats de la requête. Par exemple, si vous filtrez fréquemment par la valeur du champ jsonPayload.message, ajoutez-le au volet Champ des journaux.

Pour ajouter un champ au volet Champs du journal, procédez comme suit:

Dans le volet Résultats de la requête, développez une entrée de journal en cliquant sur Développer cette entrée de journal.
Sélectionnez la valeur d'un champ. Dans le menu, sélectionnez Ajouter un champ au volet des champs du journal.

Le champ personnalisé apparaît dans le volet Champs du journal sous la forme d'une liste de paires clé/valeur.

Pour supprimer un champ personnalisé du volet Champs du journal, cliquez sur Supprimer à côté du champ.

Notez que les types de champs suivants ne peuvent pas être ajoutés au volet Champs du journal :

Champs liés au temps, par exemple, receiveTimestamp et protoPayload.startTime.
Champs à cardinalité élevée, par exemple, insertId et protoPayload.latency.
Champs comportant des index de tableau dans leur chemin, par exemple, protoPayload.authorizationInfo[0].resource.

Chronologie

Le panneau Chronologie vous permet de visualiser la répartition des journaux au fil du temps. La chronologie est générée à nouveau lorsque vous exécutez une requête, ce qui facilite la visualisation des tendances dans vos données de journaux ainsi que la résolution des problèmes.

Pour afficher ou masquer le volet Chronologie, cliquez sur keyboard_capslock Réduire la chronologie.

Fonctionnalités de la timeline

Barres de chronologie: chaque barre de chronologie représente une période. Chaque barre contient une répartition en trois couleurs des niveaux de gravité des journaux enregistrés pendant la période correspondant à chaque barre. Les couleurs représentent les niveaux de gravité suivants :
- Bleu (gravité faible) : Par défaut, Débogage, Informations et Avis.
- Jaune : (gravité moyenne) : Avertissement.
- Rouge (gravité élevée) : Erreur, Critique, Alerte et Alerte.
Chaque barre de la chronologie comporte un menu avec des options permettant d'analyser vos journaux.
Commandes temporelles : vous permettent d'ajuster la période des journaux affichés dans le volet Résultats de requête. Pour en savoir plus sur ces options, consultez la page Analyser les journaux à l'aide des commandes temporelles.
Période: indique la période des journaux représentés par les barres d'histogramme. La chronologie vous aide à accéder aux journaux que vous consultez au sein de la période plus large concernée par votre requête.

Analyser les journaux à l'aide des commandes temporelles

Vous pouvez utiliser les commandes temporelles de la timeline pour vous aider à examiner et à analyser vos données de journaux.

Ajuster les commandes de temps

La chronologie fournit des commandes temporelles qui vous permettent d'ajuster les données affichées dans l'explorateur de journaux:

Poignées temporelles: faites glisser les poignées de la chronologie vers l'intérieur pour une vue affinée des données ou vers l'extérieur pour une vue élargie des données sur la chronologie. Cliquez sur Exécuter.
Faites glisser la chronologie vers l'avant et l'arrière: cliquez sur la flèche avant pour faire glisser la chronologie vers une date ultérieure. Cliquez sur Flèche arrière pour faire glisser la chronologie vers un moment antérieur.
Zoom avant et arrière: cliquez sur Zoom arrière pour élargir l'affichage des données sur la chronologie. Cliquez sur Zoom avant pour affiner l'affichage des données sur la chronologie.
Masquer la chronologie: cliquez sur keyboard_capslock Réduire la chronologie pour masquer la chronologie.

Les modifications apportées à la chronologie sont limitées à l'heure actuelle ("maintenant") et à la période écoulée depuis 30 jours.

Défilement ou zoom vers un temps T

En plus des commandes temporelles listées précédemment, la chronologie fournit les fonctionnalités de Défilement vers un temps T et de Zoom vers un temps T pour vous permettre de contrôler plus finement la chronologie et les données affichées dans les autres volets de l'explorateur de journaux. Il est possible qu'une barre spécifique de la chronologie vous intéresse en fonction de sa taille relative ou de ses niveaux de gravité. Vous pouvez sélectionner cette barre pour ajuster les données de journaux affichées dans l'explorateur de journaux.

Vous pouvez utiliser la fonctionnalité Défilement vers un temps T pour parcourir les données de vos journaux sans modifier les valeurs des volets Chronologie et Champs du journal. Lorsque vous sélectionnez la fonctionnalité Défilement vers un temps T, voici ce qui se produit :

Les données de journal affichées dans le volet Résultats de requête sont adaptées sur la base de la période capturée par la barre de chronologie sélectionnée.

La requête n'est pas exécutée, mais une actualisation partielle des données peut se produire pour vous assurer que les journaux apparaissant dans le volet Résultats de la requête correspondent à la période de la barre de chronologie sélectionnée.
L'URL de la console est mise à jour pour contenir le timestamp du journal le plus récent capturé par la période temporelle correspondant à la barre de chronologie sélectionnée.

Pour sélectionner la fonctionnalité Défilement vers un temps T, procédez comme suit :

Maintenez le pointeur sur une barre de la chronologie. Un volet contenant des informations récapitulatives sur les données des journaux pour la période spécifiée s'affiche.
Dans le volet, sélectionnez Défilement vers un temps T.

Sinon, cliquez sur une barre de chronologie, ce qui équivaut à sélectionner Défilement vers un temps T.

La fonctionnalité Zoom vers un temps T est semblable à Défilement vers un temps T, mais elle exécute une requête sur vos données de journaux en fonction de la période capturée par une barre de chronologie sélectionnée. Lorsque vous sélectionnez la fonctionnalité Zoom vers un temps T, voici ce qui se produit :

Les données des journaux affichées dans le volet Résultats de requête sont actualisées et restreintes sur la base de la période correspondant à la barre de chronologie sélectionnée.
L'URL de la console est mise à jour pour contenir le timestamp du journal le plus récent capturé par la période temporelle correspondant à la barre de chronologie sélectionnée.
La chronologie change pour n'afficher que les journaux dont la valeur timestamp est comprise dans la période correspondant à la barre de chronologie sélectionnée. par la barre de chronologie sélectionnée.
Les données du volet Champs du journal s'ajustent en fonction de la période capturée par la barre de chronologie sélectionnée.

Pour sélectionner la fonctionnalité Zoom vers un temps T, procédez comme suit :

Maintenez le pointeur sur une barre de la chronologie. Un volet contenant des informations récapitulatives sur les données des journaux pour la période spécifiée s'affiche.
Dans le volet, sélectionnez Zoom vers un temps T.

Barre d'outils Résultats de la requête

Dans la barre d'outils Résultats de la requête, vous disposez des options suivantes:

Analyser les résultats: agrégez et représentez graphiquement les résultats de vos requêtes à l'aide de Log Analytics. Ce bouton n'est visible que si la portée que vous avez sélectionnée contient un bucket de journaux qui a été mis à niveau pour utiliser l'Analyse de journaux. Pour en savoir plus, consultez la section Analyser les résultats de ce document.

Actions: sélectionnez parmi les différentes options pour analyser plus en détail les données de vos journaux:
- ink_highlighter Mettre en avant dans les résultats: saisissez le texte à mettre en avant dans les résultats de votre requête.
- Créer une métrique: configurez une métrique basée sur les journaux.
- Créer un récepteur: créez un récepteur de journaux qui renseigne automatiquement le filtre d'inclusion du récepteur avec l'expression de requête actuelle.
- Créer une alerte de journal: configurez une règle d'alerte basée sur les journaux.
- Gérer les alertes: affichez et gérez les règles d'alerte.
- Télécharger: téléchargez vos journaux au format CSV ou JSON. Pour en savoir plus, consultez la section Télécharger des journaux.

Analyser les résultats

Vous pouvez agréger, analyser et représenter graphiquement vos données de journaux à l'aide de requêtes SQL sur la page Analyse de journaux lorsque votre projet contient des buckets de journaux mis à niveau pour utiliser l'Analyse de journaux. Pour accéder à la page Log Analytics depuis l'explorateur de journaux, dans la barre d'outils Résultats, cliquez sur Analyser les résultats.

Le bouton Analyser les résultats n'est visible que lorsque la portée que vous avez sélectionnée contient un bucket de journaux qui a été mis à niveau pour utiliser l'Analyse de journaux. Par exemple, si vous avez sélectionné Vue des journaux à l'aide du menu Affiner la portée, le bouton Analyser les résultats s'affiche lorsqu'au moins un bucket de la portée de stockage est mis à niveau pour utiliser l'Analyse de journaux. Pour en savoir plus, consultez la section Mettre à niveau un bucket de journaux pour utiliser l'Analyse de journaux.

Lorsque vous cliquez sur Analyser les résultats, le résultat suivant s'affiche:

La période de l'explorateur de journaux peut être automatiquement ajustée afin que des données de journal pertinentes soient disponibles sur la page Log Analytics.
La page Log Analytics s'ouvre dans un nouvel onglet et traduit automatiquement la requête actuelle en langage de requête Logging en requête SQL.
La ressource sélectionnée par le sélecteur de projets Google Cloud et la valeur du paramètre Affiner le champ d'application déterminent la façon dont la clause FROM de la requête SQL est construite. La ressource sélectionnée peut être un projet, un dossier ou une organisation:
- Lorsque le menu Affiner le champ d'application affiche Projet, les buckets _Required et _Default de la ressource sont interrogés.
- Lorsque le menu Affiner le champ d'application affiche Vue, les vues de journaux sur les buckets de journaux du projet en cours sont interrogées. Les vues de journaux sur les buckets de journaux stockés par différentes ressources sont ignorées.
- Lorsque le paramètre Affiner le champ d'application indique le nom d'un champ d'application des journaux, les règles précédentes sont appliquées aux ressources listées dans le champ d'application des journaux sélectionné. Par exemple, si le champ d'action de journaux contient des vues de journaux, seules ces vues de journaux sur les buckets de journaux stockés par la ressource sont interrogées. Les portées de journalisation sont disponibles en version Preview publique.
Remarque :L'Analyse de journaux ne permet pas d'effectuer de requêtes entre des projets ou des régions. Lorsque le paramètre Affiner le champ d'application inclut des entrées de journal stockées dans plusieurs projets ou régions, Log Analytics peut afficher des entrées de journal différentes de celles de la page Explorateur de journaux.

Sur la page Log Analytics, vous pouvez afficher vos résultats sous forme de tableau ou de graphique. Dans l'onglet Graphique, vous pouvez sélectionner les données à représenter, personnaliser la configuration du graphique ou enregistrer un graphique dans un tableau de bord personnalisé. Pour en savoir plus sur la création de graphiques à partir des résultats de vos requêtes et leur enregistrement dans un tableau de bord personnalisé, consultez la section Graphiquer les résultats de requête avec Log Analytics.

Pour en savoir plus sur l'utilisation de SQL pour écrire des requêtes, consultez la section Interroger et afficher des journaux dans Log Analytics.

Rechercher dans les résultats de votre requête

Pour rechercher du contenu dans les résultats de la requête, cliquez sur Mettre en surbrillance dans les résultats dans le volet Résultats de la requête, puis saisissez votre terme de recherche. Ce filtre vous permet de trouver des informations dans vos entrées de journal sans créer de requête.

Les termes correspondant aux critères de recherche sont mis en surbrillance dans les entrées de journal du volet Résultats de la requête:

Les entrées de journal contenant des termes de recherche correspondants sont mises en surbrillance.

Télécharger les journaux

Pour obtenir les autorisations nécessaires pour télécharger des journaux, demandez à votre administrateur de vous accorder le rôle IAM Accès aux journaux (roles/logging.viewAccessor) sur votre projet. Pour en savoir plus sur l'attribution de rôles, consultez la page Gérer l'accès aux projets, aux dossiers et aux organisations.

Ce rôle inclut l'autorisation logging.logEntries.download. Vous pouvez également accorder un rôle contenant l'autorisation logging.logEntries.list, qui permet à un compte principal d'afficher et de télécharger des journaux.

Vous pouvez également obtenir ces autorisations avec des rôles personnalisés ou d'autres rôles prédéfinis.

Pour télécharger des journaux, procédez comme suit :

Dans le menu Actions du volet Résultats de requête, cliquez sur Télécharger.
Dans la boîte de dialogue Télécharger les journaux, sélectionnez le format CSV ou JSON, puis cliquez sur Télécharger.
Sélectionnez ce que vous souhaitez faire des données de journal. Vous pouvez :
- Téléchargez les données sur votre ordinateur.
- Téléchargez les données dans Google Drive.
- Affichez les données dans un nouvel onglet.
Lorsque vous enregistrez un fichier CSV et que vous sélectionnez Google Drive, vous pouvez ouvrir le fichier dans Google Sheets.

Pour en savoir plus, consultez la section Échec du téléchargement des journaux.

Volet Résultats de la requête

Pour afficher les résultats de vos requêtes, utilisez le volet Résultats de la requête. Pour vous aider à résoudre les problèmes de vos applications, vous pouvez afficher les détails de chaque entrée de journal, et regrouper et analyser les entrées de journal pour trouver des tendances dans vos journaux.

Afficher des entrées de journal similaires

Vous pouvez afficher les entrées de journal qui sont similaires à une entrée de journal sélectionnée, ce qui vous permet de vous concentrer sur les journaux qui vous intéressent.

Pour afficher des entrées de journal similaires, procédez comme suit:

Dans le volet Résultats de la requête, cliquez sur Développer sur une entrée de journal.
Cliquez sur Entrées semblables, puis sélectionnez Afficher les entrées semblables.

La requête est mise à jour avec une requête semblable à la suivante et recharge les résultats de la requête:
```
--Show similar entries
protoPayload.methodName="io.k8s.core.v1.configmaps.update"
--End of show similar entries
```

Pour afficher un aperçu des entrées de journal similaires, procédez comme suit:

Dans le volet Résultats de la requête, cliquez sur Développer sur une entrée de journal.
Développez le menu Entrées semblables, puis sélectionnez Prévisualiser les entrées semblables.

Une boîte de dialogue distincte s'ouvre avec les informations suivantes:
- Format trouvé
- Pourcentage d'entrées de journal contenant le modèle
- Exemples d'entrées de journal contenant le modèle
Dans cette boîte de dialogue, vous pouvez masquer ou afficher les entrées de journal:

Masquer les entrées de journal similaires

Vous pouvez masquer des entrées de journal similaires, ce qui vous permet de supprimer des journaux des résultats de votre requête.

Il existe deux façons de masquer les entrées de journal similaires:

Masquer de grandes quantités d'entrées de journal groupées automatiquement. Lorsque vous exécutez une requête, les résultats de la requête sont analysés pour détecter des tendances, et les entrées de journal sont ensuite regroupées automatiquement en fonction du contenu des champs de journal similaires.

Si un modèle significatif est détecté, une bannière s'affiche dans le volet Résultats de la requête, indiquant le pourcentage de résultats pouvant être masqués.

Masquer les entrées similaires: ce bouton ajoute une clause à la requête et recharge les résultats de la requête.

Aperçu: une fenêtre distincte s'ouvre, qui décrit le modèle détecté et affiche des exemples d'entrées.

Lorsque vous masquez des journaux similaires, aucune information n'est enregistrée en dehors de la session de l'explorateur de journaux. Chaque requête génère une nouvelle analyse, basée uniquement sur les journaux affichés. Différentes requêtes analysent différentes parties des entrées de journal en fonction des types de journaux renvoyés.
Masquer les entrées de journal semblables à une entrée de journal spécifique.

Pour masquer les entrées de journal semblables à une entrée de journal, cliquez sur Développer, puis sur le menu Entrées semblables, puis sélectionnez Masquer les entrées semblables.

La requête est mise à jour et le volet Résultats de la requête est actualisé. Les entrées de journal similaires à l'entrée de journal sélectionnée ne sont pas affichées.

Afficher ou masquer les entrées de journal correspondant à un champ

Vous pouvez afficher ou masquer les entrées de journal correspondant à un champ dans une entrée de journal, ce qui vous permet de vous concentrer sur les entrées contenant le même contenu de champ.

Pour afficher ou masquer les entrées de journal correspondant à un champ spécifique, procédez comme suit:

Dans le volet Résultats de la requête, sur l'entrée de journal, cliquez sur Développer.
Cliquez sur la valeur d'un champ dans l'entrée de journal, par exemple compute.googleapis.com, qui est un serviceName.
Dans le menu, sélectionnez Afficher les entrées correspondantes ou Masquer les entrées correspondantes.

La requête est mise à jour avec une requête qui affiche ou masque les entrées similaires, et les résultats de la requête se rechargent avec de nouveaux résultats.

Épingler des entrées de journal

Après avoir exécuté une requête, vous pouvez mettre en surbrillance une entrée de journal en l'épinglant. L'entrée de journal épinglée reste centrée dans le volet Résultats de la requête. Si vous exécutez une nouvelle requête et que l'entrée de journal épinglée n'est pas incluse, vous êtes invité à la désépingler.

Pour épingler une entrée de journal, procédez comme suit:

Pointez sur l'entrée de journal que vous souhaitez épingler.
Cliquez sur Épingler.

Une fois l'entrée de journal épinglée, son arrière-plan devient plus sombre, et une icône en forme de planche s'affiche. Une icône en forme de punaise apparaît également dans le volet Chronologie en fonction de la valeur timestamp de l'entrée de journal épinglée.

Pour retirer l'épingle d'une entrée de journal, cliquez à nouveau sur l'icône en forme de punaise.

Afficher les journaux correspondant à la ressource d'une entrée de journal épinglée

Une fois qu'une entrée de journal est épinglée, vous pouvez exécuter une nouvelle requête qui affiche les entrées de journal correspondant au type de ressource ou aux libellés de ressource du journal épinglé.

Pour épingler une entrée de journal et afficher les entrées de journal correspondant au même type de ressource ou aux mêmes libellés de ressource, procédez comme suit:

Cliquez sur Flèche vers le bas à côté du journal épinglé pour développer le menu d'épinglage.
Faites votre choix dans le menu des épingles:
- Pour réexécuter la requête avec le même resource.type que le journal épinglé, sélectionnez Même resource.type.
  
  Par exemple, supposons que vous épinglez une entrée de journal avec un resource.type de k8s_node. Si vous sélectionnez Même resource.type, la requête est réexécutée pour afficher toutes les entrées de journal avec resource.type="k8s_node".
- Pour réexécuter la requête avec le même resource.labels que le journal épinglé, sélectionnez Mêmes resource.labels.
- Pour réexécuter la requête avec le même trace que le journal épinglé, sélectionnez Même trace.
- Pour effacer la requête et afficher toutes les entrées de journal, sélectionnez Tout afficher.

Afficher une entrée de journal épinglée dans la timeline

Vous pouvez utiliser la timeline pour mettre en surbrillance, faire défiler et examiner plus en détail une entrée de journal épinglée.

Dans la timeline, cliquez sur Épingler, puis choisissez l'une des options de menu suivantes:

Faire défiler jusqu'à l'entrée de journal: affichez l'entrée de journal dans le volet Résultats de la requête actuel et affichez l'entrée de journal épinglée dans le contexte de journaux à proximité.
Zoomer sur l'entrée de journal: limite la période affichée dans le volet Chronologie et affine votre requête pour isoler les journaux à proximité du journal épinglé.
Retirer: retirez une entrée de journal.

Afficher les données de trace

Lorsqu'une entrée de journal contient à la fois le champ trace et celui lié à la latence, les icônes de latence et de trace apparaissent.

Affichage d'une entrée de journal contenant des données de trace.

Lorsqu'une entrée de journal ne contient que le champ trace, seule l'icône de trace s'affiche.

Pour afficher les données de trace associées à l'entrée de journal, cliquez sur l'icône de trace. Vous pouvez :

Afficher les détails des traces : affiche le délai parent et les traces enfantes, ainsi que les détails de la trace. Pour afficher plus de détails sur la trace, accédez à Cloud Trace en cliquant sur Afficher dans Trace. Pour en savoir plus sur le contenu du panneau de détails, consultez la section Rechercher et explorer des traces.

Afficher tous les journaux de cette trace : affine et exécute la requête en ajoutant le champ trace défini sur l'identifiant de la trace associée à l'entrée de journal.
Afficher uniquement les requêtes tracées : permet d'affiner et d'exécuter la requête en ajoutant le champ traceSampled défini sur True. Pour en savoir plus sur l'échantillonnage, consultez la section Taux d'échantillonnage.

Afficher les données Monitoring

Pour certains journaux, tels que les journaux GKE et Compute Engine, vous pouvez sélectionner le type de ressource dans la ligne de résumé du journal pour afficher un menu avec les options suivantes:

Afficher les détails de la surveillance : ouvre un panneau de détails pour une ressource GKE. Pour en savoir plus sur le panneau de détails, consultez la section Afficher les détails des ressources.
Afficher dans Monitoring : s'ouvre sur une page Monitoring de la ressource.
Afficher dans GKE ou Afficher dans Compute Engine : ouvre la page Détails de la ressource dans l'interface utilisateur GKE ou Compute Engine.

Affichage du menu de l'explorateur de journaux pour les ressources GKE.

Copier un lien dans une entrée de journal

Pour partager un lien vers un journal, développez une entrée de journal, puis sélectionnez Copier. Vous pouvez choisir de copier un journal au format JSON ou un lien vers le journal. Le lien est copié dans le presse-papiers. Vous pouvez envoyer le lien aux utilisateurs qui ont accès au projet Google Cloud. Lorsqu'un utilisateur colle le lien dans un navigateur ou le sélectionne, Logging épingle l'entrée de journal dans le volet Résultats de la requête.

Exemples de requêtes

Pour obtenir des suggestions de requêtes, classées par produit Google Cloud et cas d'utilisation, consultez la page Exemples de requêtes avec l'explorateur de journaux. Par exemple, vous pouvez exécuter des requêtes associées à Kubernetes pour rechercher les journaux Google Kubernetes Engine.

Afficher les journaux Compute Engine

Pour certains types de ressources Compute Engine, tels que gce_instance et gce_network, le nom de la ressource est affiché avec l'ID de la ressource en sous-texte à plusieurs endroits dans l'explorateur de journaux. Par exemple, pour le type de ressource gce_instance, le nom de la VM s'affiche à côté de son ID. Les noms de ressources vous aident à identifier le bon ID de ressource, sur lequel vous pouvez créer des requêtes.

Vous pouvez voir des noms de ressources Compute Engine aux endroits suivants:

Menus de filtre du volet "Requête": les types de ressources Compute Engine affichent les noms des ressources, avec leurs ID de ressources correspondants en sous-texte.
Champs de journal: les types de ressources Compute Engine affichent le nom de la ressource plutôt que son ID dans les dimensions de champ.
Résultats de la requête: pour les journaux d'instance de VM Compute Engine, le champ resource.labels affiche les métadonnées avec le nom de ressource correspondant.
Champs récapitulatifs: pour les journaux d'instance de VM Compute Engine, le chip affiche le nom de la ressource au lieu de son ID.

Résoudre les problèmes

Cette section fournit des instructions permettant de résoudre des problèmes courants liés à l'utilisation de l'explorateur de journaux.

Si vous rencontrez des problèmes lors de la tentative d'affichage de journaux dans les destinations de récepteurs, consultez la section Résoudre les problèmes de routage et de récepteurs.

Échec du téléchargement des journaux

Vous utilisez l'explorateur de journaux et cliquez sur Télécharger. La commande démarre, mais ne se termine pas ou renvoie une erreur.

Pour résoudre ce problème, réduisez le temps d'exécution de la commande en procédant comme suit:

Dans la boîte de dialogue Télécharger les journaux, réduisez la valeur de Nombre maximal d'entrées de journal.
Réduisez la période sur laquelle les journaux sont interrogés.
Dans la barre d'outils des résultats de la requête, cliquez sur Masquer les entrées similaires avant de commencer le téléchargement.

Modifiez votre requête pour utiliser des champs indexés.

Impossible de trouver les journaux de la console d'une instance de VM

Les journaux écrits dans la console d'une instance Compute Engine peuvent ne pas être disponibles dans l'explorateur de journaux. Pour afficher ces journaux, procédez comme suit:

Dans la console Google Cloud, accédez à la page Instances de VM :
Accéder à la page Instances de VM

Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Compute Engine.
Sélectionnez l'instance, puis Port série 1 (console) dans la section Journaux de la page.

Vous pouvez configurer vos instances de sorte que leur sortie de port série soit envoyée à Cloud Logging. Pour en savoir plus, consultez la section Activer et désactiver la journalisation de la sortie du port série.

Obtenir l'ID d'un projet ou d'une organisation Google Cloud

Pour obtenir un ID de projet ou d'organisation Google Cloud n'importe où dans la console Google Cloud, développez la liste des projets Google Cloud à partir du sélecteur de projet et d'organisation Google Cloud, puis recherchez l'ID du projet Google Cloud dans la colonne ID.

Impossible d'afficher les entrées de journal

Si aucune entrée de journal ne s'affiche, vérifiez les points suivants :

Vérifiez que le bon projet Google Cloud est sélectionné.
Vérifiez que votre projet Google Cloud utilise des ressources qui génèrent des journaux et qu'il y a de l'activité sur ces ressources. Même si le projet Google Cloud est nouveau, des journaux d'audit devraient être présents et confirmer la création du projet. Pour savoir comment vérifier que vous utilisez une ressource générant des journaux, consultez la section Mapper des services sur des types de ressources.
Assurez-vous que la période n'est pas trop restreinte.
Affichez vos requêtes d'exclusion actives pour vous assurer que les journaux que vous recherchez ne sont pas accidentellement exclus.
Assurez-vous d'être autorisé à afficher les entrées de journal dans les projets et les vues de journaux référencés par le paramètre du menu Affiner le champ d'application. Pour savoir comment ajuster le champ d'application de votre recherche, consultez la section Affiner le champ d'application.

Ma requête est correcte, mais les entrées de journal ne s'affichent toujours pas

Vous ne pouvez pas afficher les entrées de journal antérieures à la durée de conservation de Logging. Reportez-vous à la section Durée de conservation des journaux pour la période de conservation des journaux en vigueur.
Pendant les périodes de charges importantes, des retards peuvent être observés lors de l'envoi de journaux à Logging, ou lors de leur réception et de leur affichage.
L'explorateur de journaux n'affiche pas les entrées de journal présentant des horodatages futurs tant que cette date n'est pas passée. Cette situation inhabituelle est probablement causée par un décalage au niveau de l'application envoyant les journaux.
Le champ d'application de la requête était trop large et celle-ci ne pouvait pas être exécutée dans un délai raisonnable. Le message affiché peut par exemple être "délai expiré avant la fin de l'opération". Essayez de rendre votre requête plus spécifique ou de réduire la période.

La requête renvoie une erreur

Si vous envoyez une requête sur une ressource sans spécifier de bucket, Cloud Logging utilise l'historique des récepteurs du projet Google Cloud pour déterminer l'emplacement dans lequel des entrées ont été écrites pour cette ressource. Si Cloud Logging identifie plus de 200 buckets dans lesquels des entrées ont pu être écrites, la requête échoue avec le message Error: Invalid query.

Pour résoudre ce problème, affinez le champ d'application de votre requête sur un sous-ensemble de l'espace de stockage. Pour en savoir plus, consultez la section Affiner le champ d'application.

La période des résultats de requête ne correspond pas à la requête

Les données de journaux affichées dans les volets Résultats de requête et Champs du journal s'adaptent en fonction de la période capturée par la chronologie de l'histogramme. Vous pouvez ajuster la chronologie de l'histogramme à l'aide des commandes temporelles ou du sélecteur de période. L'ajustement de ces commandes temporelles ne modifie pas l'expression de requête dans le volet Requête.

Lorsque vous rédigez une requête avec un code temporel, le sélecteur de période est désactivé. La requête utilise l'expression d'horodatage comme restriction de période. Si une requête n'utilise pas d'expression d'horodatage, la requête utilise le sélecteur de période comme restriction.

Obtenir de l'aide

Pour en savoir plus sur l'assistance, consultez la page d'assistance de Google Cloud Observability.