Logs mit Log Analytics abfragen und analysieren

In diesem Dokument wird beschrieben, wie Sie Ihre Logdaten mit Log Analytics abfragen und analysieren. Log Analytics bietet eine SQL-basierte Abfrageschnittstelle. Mit SQL können Sie Aufgaben wie die Anzahl der Logeinträge mit einem Feld zählen, das einem Muster entspricht, ausführen. Log Analytics bietet einen SQL-Editor und ein menübasiertes System zum Erstellen von Abfragen. Sie können sich die Abfrageergebnisse in Tabellenform ansehen oder die Daten in einem Diagramm visualisieren. Sie können Ihre Diagramme in Ihren benutzerdefinierten Dashboards speichern.

Sie können entweder eine Logansicht für ein Log-Bucket oder eine Analytics-Ansicht abfragen. Wenn Sie eine Logansicht abfragen, entspricht das Schema dem der Datenstruktur LogEntry. Da das Schema von der Person festgelegt wird, die eine Analytics-Datenansicht erstellt, können Sie mit Analytics-Datenansichten Protokolldaten aus dem LogEntry-Format in ein für Sie besser geeignetes Format umwandeln.

In Log Analytics werden Logeinträge nicht dedupliziert. Das kann sich auf die Art und Weise auswirken, wie Sie Ihre Abfragen schreiben. Außerdem gibt es einige Einschränkungen bei der Verwendung von Loganalysen. Weitere Informationen zu diesen Themen finden Sie in den folgenden Dokumenten:

• Fehlerbehebung: In den Ergebnissen der Loganalyse sind doppelte Logeinträge vorhanden
• Log Analytics: Einschränkungen

Verknüpfte Datasets

Loganalysen unterstützen die Erstellung von verknüpften BigQuery-Datasets, über die BigQuery Lesezugriff auf die zugrunde liegenden Daten erhält. Wenn Sie ein verknüpftes Dataset erstellen, haben Sie folgende Möglichkeiten:

• Logeinträge mit anderen BigQuery-Datasets verknüpfen
• Protokolldaten aus einem anderen Dienst wie BigQuery Studio oder Looker Studio abfragen
• Sie können die Leistung der Abfragen, die Sie über Log Analytics ausführen, verbessern, indem Sie sie in Ihren reservierten BigQuery-Slots ausführen.
• Erstellen Sie eine Benachrichtigungsrichtlinie, die das Ergebnis einer SQL-Abfrage überwacht. Weitere Informationen finden Sie unter SQL-Abfrageergebnisse mit einer Benachrichtigungsrichtlinie überwachen.

In diesem Dokument wird nicht beschrieben, wie Sie ein verknüpftes Dataset erstellen oder Log Analytics so konfigurieren, dass Abfragen für reservierte Slots ausgeführt werden. Wenn Sie sich für diese Themen interessieren, lesen Sie den Hilfeartikel Verknüpftes Dataset in BigQuery abfragen.

Hinweise

In diesem Abschnitt werden die Schritte beschrieben, die Sie ausführen müssen, bevor Sie Log Analytics verwenden können.

Log-Buckets konfigurieren

Prüfen Sie, ob für Ihre Log-Buckets ein Upgrade zur Verwendung von Log Analytics durchgeführt wurde:

1. Rufen Sie in der Google Cloud Console die Seite Logspeicher auf:

   Zum Log-Speicher

   Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Logging ist.

2. Prüfen Sie für jeden Log-Bucket, der eine Logansicht enthält, die Sie abfragen möchten, ob in der Spalte Loganalysen verfügbar die Option Öffnen angezeigt wird. Wenn Upgrade durchführen angezeigt wird, klicken Sie darauf und schließen Sie das Dialogfeld ab.

IAM-Rollen und ‑Berechtigungen konfigurieren

In diesem Abschnitt werden die IAM-Rollen oder Berechtigungen beschrieben, die für die Verwendung von Log Analytics erforderlich sind:

• Bitten Sie Ihren Administrator, Ihnen die folgenden IAM-Rollen für Ihr Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zur Verwendung von Log Analytics und zum Abfragen von Log-Ansichten benötigen:

  • So fragen Sie die Log-Buckets _Required und _Default ab: Loganzeige (roles/logging.viewer)
  • So fragen Sie alle Logansichten in einem Projekt ab: Zugriffsberechtigter für Logbetrachtung (roles/logging.viewAccessor)

  Sie können ein Hauptkonto auf eine bestimmte Logansicht beschränken, indem Sie entweder eine IAM-Bedingung für die auf Projektebene erteilte Rolle „Logs View Accessor“ hinzufügen oder eine IAM-Bindung zur Richtliniendatei der Logansicht hinzufügen. Weitere Informationen finden Sie unter Zugriff auf eine Logansicht steuern.

  Dies sind dieselben Berechtigungen, die Sie benötigen, um Logeinträge auf der Seite Log-Explorer aufzurufen. Informationen zu zusätzlichen Rollen, die Sie zum Abfragen von Ansichten in benutzerdefinierten Buckets oder zum Abfragen der _AllLogs-Ansicht des _Default-Logbuckets benötigen, finden Sie unter Cloud Logging-Rollen.

• Bitten Sie Ihren Administrator, Ihnen die IAM-Rolle Observability Analytics User (roles/observability.analyticsUser) für Ihr Projekt zuzuweisen, um die Berechtigungen zu erhalten, die Sie zum Abfragen von Analyseansichten benötigen.

Logdaten abfragen

In diesem Abschnitt werden die Ansätze beschrieben, mit denen Sie Ihre Logdaten abfragen können:

• Laden Sie eine systemdefinierte Abfrage, bearbeiten Sie sie und führen Sie sie dann aus.
• Geben Sie eine benutzerdefinierte Abfrage ein und führen Sie sie aus. Sie können beispielsweise eine vorhandene Anfrage einfügen oder eine neue schreiben. Benutzerdefinierte Abfragen können Joins, verschachtelte Abfragen und andere komplexe SQL-Anweisungen enthalten. Beispiele finden Sie unter Beispiel-SQL-Abfragen.
• Erstellen Sie eine Abfrage, indem Sie Menüauswahlen treffen, und führen Sie die Abfrage dann aus. In Log Analytics werden Ihre Auswahlmöglichkeiten in eine SQL-Abfrage umgewandelt, die Sie sich ansehen und bearbeiten können.

Systemdefinierte Abfrage laden, bearbeiten und ausführen

1. Rufen Sie in der Google Cloud Console die Seite Log Analytics auf:

   Zu Log Analytics

   Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Logging ist.

2. Rufen Sie im Menü Ansichten den Abschnitt segment Logs oder data_table Analytics-Ansichten auf und wählen Sie die Ansicht aus, die Sie abfragen möchten.

   Verwenden Sie die filter_list Filterleiste oder scrollen Sie durch die Liste, um die Ansicht zu finden, die Sie abfragen möchten:

   • Logansichten werden nach BUCKET_ID.LOG_VIEW_ID aufgelistet. Diese Felder beziehen sich auf die IDs des Log-Buckets und der Logansicht.

   • Analytics-Datenansichten werden nach LOCATION.ANALYTICS_VIEW_ID aufgeführt. Diese Felder beziehen sich auf den Speicherort und die ID einer Analytics-Datenansicht. Analytics-Ansichten sind in der öffentlichen Vorschau verfügbar.

3. Führen Sie einen der folgenden Schritte aus:

   • Wenn Sie eine systemdefinierte Abfrage laden möchten, die auf dem Query Builder basiert, mit dem Sie die Abfrage über Menüauswahlen definieren können, muss im Bereich Query (Abfrage) Query Builder angezeigt werden. Wenn ein SQL-Editor angezeigt wird, klicken Sie auf tune Builder.

   • Wenn Sie eine vom System definierte Abfrage laden möchten, mit der JSON-Werte extrahiert werden, muss im Bereich Abfrage der SQL-Editor angezeigt werden. Wenn in diesem Bereich Abfrage-Generator angezeigt wird, klicken Sie auf code SQL.

4. Wählen Sie im Bereich Schema die Option Abfrage aus und klicken Sie dann auf Überschreiben.

   Im Bereich Abfrage wird eine systemdefinierte Abfrage angezeigt. Wenn Sie den Modus Abfrage-Generator ausgewählt haben, aber die SQL-Abfrage sehen möchten, klicken Sie auf code SQL.

5. Optional: Ändern Sie die Abfrage.

6. Klicken Sie zum Ausführen der Abfrage in der Symbolleiste auf Abfrage ausführen.

   Log Analytics präsentiert die Abfrageergebnisse in einer Tabelle. Sie können jedoch ein Diagramm erstellen und die Tabelle oder das Diagramm in einem benutzerdefinierten Dashboard speichern. Weitere Informationen finden Sie unter SQL-SQL-Abfrage darstellen.

   Wenn in der Symbolleiste In BigQuery ausführen angezeigt wird, müssen Sie Log Analytics so umstellen, dass die Standard-Abfrage-Engine verwendet wird. Klicken Sie dazu in der Symbolleiste des Bereichs Abfrage auf settings Einstellungen und wählen Sie dann Analytics (Standard) aus.

Benutzerdefinierte Abfrage eingeben und ausführen

So geben Sie eine SQL-Abfrage ein:

1. Rufen Sie in der Google Cloud Console die Seite Log Analytics auf:

   Zu Log Analytics

   Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Logging ist.

2. Klicken Sie im Bereich Abfrage auf code SQL.

   • Wenn Sie einen Zeitraum angeben möchten, empfehlen wir die Verwendung der Zeitbereichsauswahl. Wenn Sie eine WHERE-Klausel hinzufügen, in der das Feld timestamp angegeben ist, wird die Einstellung in der Zeitbereichsauswahl überschrieben und die Auswahl wird deaktiviert.

   • Beispiele finden Sie unter Beispiel-SQL-Abfragen.

   • Sie können Logansichten oder Analytics-Ansichten abfragen. Verwenden Sie das folgende Format für die FROM-Klausel:

     • Logansichten:

       FROM `PROJECT_ID.LOCATION.BUCKET_ID.LOG_VIEW_ID`
       

     • Analytics-Datenansichten:

       FROM `analytics_view.PROJECT_ID.LOCATION.ANALYTICS_VIEW_ID`
       

     Die Felder in den vorherigen Ausdrücken haben die folgende Bedeutung:

     • PROJECT_ID: Die Kennung des Projekts.
     • LOCATION: Der Speicherort der Logansicht oder der Analyseansicht.
     • BUCKET_ID: Der Name oder die ID des Log-Buckets.
     • LOG_VIEW_ID: Die Kennung der Logansicht. Sie ist auf 100 Zeichen begrenzt und darf nur Buchstaben, Ziffern, Unterstriche und Bindestriche enthalten.
     • ANALYTICS_VIEW_ID: Die ID der Analytics-Ansicht. Sie ist auf 100 Zeichen begrenzt und darf nur Buchstaben, Ziffern, Unterstriche und Bindestriche enthalten.

     Wenn im Bereich „Abfrage“ eine Fehlermeldung angezeigt wird, in der auf die FROM-Anweisung verwiesen wird, kann die Ansicht nicht gefunden werden. Informationen zum Beheben dieses Fehlers finden Sie unter Fehler: FROM-Klausel muss genau eine Log-Ansicht enthalten.

3. Klicken Sie zum Ausführen der Abfrage in der Symbolleiste auf Abfrage ausführen.

   Log Analytics präsentiert die Abfrageergebnisse in einer Tabelle. Sie können jedoch ein Diagramm erstellen und die Tabelle oder das Diagramm in einem benutzerdefinierten Dashboard speichern. Weitere Informationen finden Sie unter SQL-SQL-Abfrage darstellen.

   Wenn in der Symbolleiste In BigQuery ausführen angezeigt wird, müssen Sie Log Analytics so umstellen, dass die Standard-Abfrage-Engine verwendet wird. Klicken Sie dazu in der Symbolleiste des Bereichs Abfrage auf settings Einstellungen und wählen Sie dann Analytics (Standard) aus.

Abfrage erstellen, bearbeiten und ausführen

Über die Benutzeroberfläche von Query Builder können Sie eine Abfrage erstellen, indem Sie eine Auswahl aus den Menüs treffen. Loganalysen wandeln Ihre Auswahl in eine SQL-Abfrage um, die Sie aufrufen und bearbeiten können. Sie können beispielsweise mit der Query Builder-Oberfläche beginnen und dann zum SQL-Editor wechseln, um Ihre Abfrage zu optimieren.

Log Analytics kann Ihre Menüauswahlen aus der Abfragegenerator-Oberfläche immer in eine SQL-Abfrage umwandeln. Allerdings können nicht alle SQL-Abfragen über die Query Builder-Oberfläche dargestellt werden. So können beispielsweise Abfragen mit Joins nicht über diese Schnittstelle dargestellt werden.

So erstellen Sie eine Abfrage:

1. Rufen Sie in der Google Cloud Console die Seite Log Analytics auf:

   Zu Log Analytics

   Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Logging ist.

2. Wenn im Bereich Abfrage ein SQL-Editor angezeigt wird, wählen Sie tune Builder aus. Dadurch wird der Bereich Query Builder geöffnet.

3. Wählen Sie im Menü Quelle die Ansicht aus, die Sie abfragen möchten. Ihre Auswahl wird der FROM-Klausel in der SQL-Abfrage zugeordnet.

4. Optional: Mit den folgenden Menüs können Sie die Ergebnistabelle einschränken oder formatieren:

   • Alle Felder durchsuchen: Suchen Sie nach übereinstimmenden Strings. Ihre Auswahl wird der WHERE-Klausel in der SQL-Abfrage zugeordnet.

   • Spalten: Wählen Sie die Spalten aus, die in der Ergebnistabelle angezeigt werden sollen. Ihre Auswahl wird den SELECT-Klauseln in der SQL-Abfrage zugeordnet.

     Wenn Sie in diesem Menü einen Feldnamen auswählen, wird ein Dialogfeld geöffnet. In diesem Dialogfeld haben Sie folgende Möglichkeiten:

     • Verwenden Sie das Menü, um Ihre Daten zu aggregieren oder zu gruppieren.

       Um Syntaxfehler zu vermeiden, werden alle Aggregationen und Gruppierungen, die Sie auf eine Spalte anwenden, automatisch auch auf andere Spalten angewendet. Ein Beispiel dafür, wie Sie Einträge aggregieren und gruppieren, finden Sie unter Daten mit dem Query Builder gruppieren und aggregieren.

     • Wandelt einen Wert eines beliebigen Typs in einen anderen angegebenen Datentyp um. Weitere Informationen finden Sie in der Dokumentation zu CAST.

     • Extrahiert einen Teilstring von Werten mithilfe regulärer Ausdrücke. Weitere Informationen finden Sie in der Dokumentation zu REGEXP_EXTRACT.

   • Filter: Fügen Sie Filter hinzu, um die Abfrage auf Spannen zu beschränken, die ein bestimmtes Attribut oder eine bestimmte Spannen-ID enthalten. Im Menü werden alle verfügbaren Filteroptionen aufgeführt. Ihre Auswahl wird der WHERE-Klausel in der SQL-Abfrage zugeordnet.

   • Sortieren nach: Legen Sie die Spalten fest, nach denen sortiert werden soll, und ob die Sortierung aufsteigend oder absteigend erfolgen soll. Ihre Auswahl wird der ORDER BY-Klausel in der SQL-Abfrage zugeordnet.

   • Limit: Legen Sie die maximale Anzahl von Zeilen in der Ergebnistabelle fest. Ihre Auswahl wird der LIMIT-Klausel in der SQL-Abfrage zugeordnet.

5. Klicken Sie zum Ausführen der Abfrage in der Symbolleiste auf Abfrage ausführen.

   Log Analytics präsentiert die Abfrageergebnisse in einer Tabelle. Sie können jedoch ein Diagramm erstellen und die Tabelle oder das Diagramm in einem benutzerdefinierten Dashboard speichern. Weitere Informationen finden Sie unter SQL-SQL-Abfrage darstellen.

   Wenn in der Symbolleiste In BigQuery ausführen angezeigt wird, müssen Sie Log Analytics so umstellen, dass die Standard-Abfrage-Engine verwendet wird. Klicken Sie dazu in der Symbolleiste des Bereichs Abfrage auf settings Einstellungen und wählen Sie dann Analytics (Standard) aus.

Beispiel: Daten mit dem Query Builder gruppieren und aggregieren

Wenn Sie eine Spalte im Query Builder auswählen, enthält jedes Feld ein Menü, in dem Sie Gruppierung und Aggregation hinzufügen können. Mit der Gruppierung können Sie Ihre Daten anhand des Werts einer oder mehrerer Spalten in Gruppen einteilen. Mit der Aggregation können Sie Berechnungen für diese Gruppen durchführen, um einen einzelnen Wert zurückzugeben.

Jedes Feld, das Sie im Element Spalten auswählen, hat ein angehängtes Menü mit den folgenden Optionen:

• Keine: Es soll nicht nach diesem Feld gruppiert oder aggregiert werden.
• Aggregieren: Gruppieren Sie Felder, die im Element Spalten aufgeführt sind, es sei denn, für das Feld ist eine Aggregat-Auswahl vorhanden. Für diese Felder wird der Wert durch Ausführen eines Vorgangs für alle Einträge in jeder Gruppierung berechnet. Die Operation kann beispielsweise darin bestehen, den Durchschnitt eines Felds zu berechnen oder die Anzahl der Einträge in jeder Gruppierung zu zählen.
• Gruppieren nach: Gruppiert Einträge nach allen Feldern, die im Element Spalten aufgeführt sind.

Im Folgenden sehen Sie, wie Sie eine Abfrage erstellen, mit der Einträge gruppiert und dann aggregiert werden.

In diesem Beispiel wird beschrieben, wie Sie mit dem Query Builder Logeinträge nach Schweregrad und Zeitstempel gruppieren und dann den Durchschnitt des Felds http_request.response_size für jede Gruppe berechnen.

So erstellen Sie eine Abfrage, mit der Ihre Daten gruppiert und aggregiert werden:

1. Wählen Sie im Menü Spalten die Felder timestamp, severity und http_request.response_size aus.

   1. Wenn Sie Ihre Daten gruppieren möchten, klicken Sie auf das Feld timestamp, um das Dialogfeld „Einstellungen“ zu öffnen. Wählen Sie in diesem Dialogfeld die Option Gruppieren nach aus und legen Sie den Detaillierungsgrad für das Kürzen auf HOUR fest. Die Gruppierung wird dann automatisch auf alle anderen Felder angewendet, um Syntaxfehler zu vermeiden. Wenn ungültige Felder vorhanden sind, auf die keine Gruppierung angewendet werden kann, wird eine Fehlermeldung angezeigt. Entfernen Sie die ungültigen Felder aus dem Menü, um diesen Fehler zu beheben.

   2. Wenn Sie das Feld http_request.response_size aggregieren möchten, klicken Sie darauf, um das Dialogfeld mit den Einstellungen zu öffnen. Wählen Sie in diesem Dialogfeld Aggregieren aus. Klicken Sie im Menü Aggregation auf Durchschnitt.

2. Fügen Sie im Menü Filter http_request.response_size hinzu und legen Sie den Vergleichsoperator auf IS NOT NULL fest. Dieser Filter entspricht Logeinträgen, die einen response_size-Wert enthalten.

   Die Menüs im Query Builder sehen in etwa so aus:

   

3. Klicken Sie zum Ausführen der Abfrage in der Symbolleiste auf Abfrage ausführen.

   Die Ergebnisse dieser Abfrage sehen in etwa so aus:

   +-----------------------------------+----------+---------------+
   | Row | hour_timestamp              | severity | response_size |
   |     | TIMESTAMP                   | STRING   | INTEGER       |
   +-----+-----------------------------+----------+---------------+
   | 1   | 2025-10-06 16:00:00.000 UTC | NOTICE   | 3082          |
   | 2   | 2025-10-06 17:00:00.000 UTC | WARNING  | 338           |
   | 3   | 2025-10-06 16:00:00.000 UTC | INFO     | 149           |
   

Die entsprechende SQL-Abfrage für das vorherige Beispiel sieht so aus:

SELECT
  -- Truncate the timestamp by hour.
  TIMESTAMP_TRUNC( timestamp, HOUR ) AS hour_timestamp,
  severity,
  -- Compute average response_size.
  AVG( http_request.response_size ) AS average_http_request_response_size
FROM
  `PROJECT_ID.LOCATION.BUCKET_ID.LOG_VIEW_ID`
WHERE
  -- Matches log entries that have a response_size.
  http_request.response_size IS NOT NULL
GROUP BY
  -- Group log entries by timestamp and severity.
  TIMESTAMP_TRUNC( timestamp, HOUR ),
  severity
LIMIT
  1000

Schema anzeigen

Das Schema definiert, wie die Daten gespeichert werden, einschließlich der Felder und ihrer Datentypen. Diese Informationen sind wichtig, da das Schema bestimmt, welche Felder Sie abfragen und ob Sie Felder in andere Datentypen umwandeln müssen. Wenn Sie beispielsweise eine Abfrage schreiben möchten, mit der die durchschnittliche Latenz von HTTP-Anfragen berechnet wird, müssen Sie wissen, wie Sie auf das Latenzfeld zugreifen und ob es als Ganzzahl wie 100 oder als String wie "100" gespeichert ist. Wenn die Latenzdaten als String gespeichert sind, muss der Wert in der Abfrage in einen numerischen Wert umgewandelt werden, bevor ein Durchschnitt berechnet werden kann.

So ermitteln Sie das Schema:

1. Rufen Sie in der Google Cloud Console die Seite Log Analytics auf:

   Zu Log Analytics

   Wenn Sie diese Seite über die Suchleiste suchen, wählen Sie das Ergebnis aus, dessen Zwischenüberschrift Logging ist.

2. Rufen Sie im Menü Ansichten den Abschnitt segment Logs oder data_table Analytics-Ansichten auf und wählen Sie die Ansicht aus, die Sie abfragen möchten.

   Der Bereich Schema wird aktualisiert. Log Analytics leitet die Felder einer Spalte automatisch ab, wenn der Datentyp JSON ist. Wenn Sie sehen möchten, wie oft diese abgeleiteten Felder in Ihren Daten vorkommen, klicken Sie auf more_vert Optionen und wählen Sie Informationen und Beschreibung ansehen aus.

   Für Logansichten ist das Schema festgelegt und entspricht dem LogEntry. Bei Analyseansichten können Sie die SQL-Abfrage ändern, um das Schema zu ändern.

Nächste Schritte

• Weitere Informationen zu Analytics-Ansichten
• SQL-Abfrage speichern und freigeben
• SQL-SQL-Abfrage darstellen
• SQL-Beispielabfragen
• Verknüpftes Dataset in BigQuery abfragen