Язык поисковых запросов

Язык поисковых запросов позволяет:

искать по одному или нескольким фильтрующим выражениям;
применять логические операции и операции сравнения.

Для фильтрации логов используйте параметры фильтров в поисковой строке.

Параметр	Описание
`event_id`	Уникальный идентификатор события
`timestamp`	Время возникновения события, RFC3339. Пример: 2006-01-02T15:04:05Z07:00
`action`	Тип события
`request_id`	Идентификатор запроса, служит для связи с Cloud Logging
`severity`	Серьезность события. Доступные значения: `DEFAULT`,`DEBUG`, `INFO`, `NOTICE`, `WARNING`, `ERROR`, `CRITICAL`, `ALERT`, `EMERGENCY`
`message`	Понятное человеку описание события
`source.id`	Идентификатор источника события
`source.address`	IP-адрес источника события
`subject.user_id`	Идентификатор субъекта — пользователя, с действиями которого связано событие
`subject.address`	IP-адрес пользователя
`subject.project_id`	Идентификатор проекта в OpenStack
`subject.metadata`	Дополнительные метаданные, определяющие пользователя. Например: `subject.metadata.email` — почта пользователя
`resource.id`	Идентификатор ресурса в OpenStack или аналогичный
`resource.type`	Тип ресурса
`resource.metadata`	Дополнительные метаданные, определяющие ресурс. Например: `resource.metadata.service_id` — имя сервиса (`DBaaS`); `resource.metadata.group_id` — имя подсервиса (`Redis`); `resource.metadata.stream_id` — имя объекта, где находится ресурс (`DB_id`)
`status.code`	Код статуса выполнения операции. Например, код HTTP или код gRPC
`status.message`	Описание статуса выполнения операции
`labels`	Метки, по которым можно искать события

Параметр

Описание

event_id

Уникальный идентификатор события

timestamp

Время возникновения события, RFC3339.

Пример: 2006-01-02T15:04:05Z07:00

action

Тип события

request_id

Идентификатор запроса, служит для связи с Cloud Logging

severity

Серьезность события. Доступные значения: DEFAULT,DEBUG, INFO, NOTICE, WARNING, ERROR, CRITICAL, ALERT, EMERGENCY

message

Понятное человеку описание события

source.id

Идентификатор источника события

source.address

IP-адрес источника события

subject.user_id

Идентификатор субъекта — пользователя, с действиями которого связано событие

subject.address

IP-адрес пользователя

subject.project_id

Идентификатор проекта в OpenStack

subject.metadata

Дополнительные метаданные, определяющие пользователя.

Например: subject.metadata.email — почта пользователя

resource.id

Идентификатор ресурса в OpenStack или аналогичный

resource.type

Тип ресурса

resource.metadata

Дополнительные метаданные, определяющие ресурс.

Например:

resource.metadata.service_id — имя сервиса (DBaaS);
resource.metadata.group_id — имя подсервиса (Redis);
resource.metadata.stream_id — имя объекта, где находится ресурс (DB_id)

status.code

Код статуса выполнения операции.

Например, код HTTP или код gRPC

status.message

Описание статуса выполнения операции

labels

Метки, по которым можно искать события

Для фильтрации списка записей в журнале используйте в поисковой строке пары <ИМЯ_ПАРАМЕТРА>/<ЗНАЧЕНИЕ_ПАРАМЕТРА>.

Особенности поиска

Символы ", ' и ＼ в строке поиска экранируются с помощью ＼.
Значение можно не брать в кавычки, если оно:
- начинается с буквы латинского алфавита и содержит только буквы латинского алфавита, цифры и знаки подчеркивания;
- является целым числом без знака.
Формат значений времени: RFC3339.
Все значения во вложенных объектах рассматриваются как строки и сравниваются в лексикографическом порядке.
Поддерживается поиск по параметрам-массивам с помощью операторов :, =, <>.

Операторы сравнения

Оператор	Описание	Пример
`=`	Равно	`message="ИСКОМЫЙ_ТЕКСТ"`
`<>`	Не равно	`message<>"ИСКОМЫЙ_ТЕКСТ"`
`>`	Больше	`severity > DEBUG`
`<`	Меньше	`severity < DEBUG`
`>=`	Больше либо равно	`timestamp >= "2023-04-10T10:20:00Z"`
`<=`	Меньше либо равно	`timestamp <= "2023-04-10T10:20:00Z"`
`:`	Содержит	`message: "ИСКОМЫЙ_ТЕКСТ"`

Оператор

Описание

Пример

=

Равно

message="ИСКОМЫЙ_ТЕКСТ"

<>

Не равно

message<>"ИСКОМЫЙ_ТЕКСТ"

>

Больше

severity > DEBUG

<

Меньше

severity < DEBUG

>=

Больше либо равно

timestamp >= "2023-04-10T10:20:00Z"

<=

Меньше либо равно

timestamp <= "2023-04-10T10:20:00Z"

:

Содержит

message: "ИСКОМЫЙ_ТЕКСТ"

Логические операторы

Объединить несколько условий в одном фильтре можно с помощью логических операторов.

Оператор	Описание	Пример
`AND`	Удовлетворяет всем условиям	`service_id=databases AND severity=ERROR`
`OR`	Удовлетворяет как минимум одному условию	`severity=ERROR OR status.code=500`
`NOT`	Не удовлетворяет этому условию	`NOT message: hello`
`EXIST`	Запись содержит этот параметр	`subject.metadata.email EXIST`

Оператор

Описание

Пример

AND

Удовлетворяет всем условиям

service_id=databases AND severity=ERROR

OR

Удовлетворяет как минимум одному условию

severity=ERROR OR status.code=500

NOT

Не удовлетворяет этому условию

NOT message: hello

EXIST

Запись содержит этот параметр

subject.metadata.email EXIST

Порядок вычислений

Используйте скобки для задания определенного порядка вычислений, например:


ПАРАМЕТР_1: "ЗНАЧЕНИЕ_1" AND (ПАРАМЕТР_2 = "ЗНАЧЕНИЕ_2" OR ПАРАМЕТР_3 "ЗНАЧЕНИЕ_3")

В этом примере будут найдены записи, в которых параметр ПАРАМЕТР_1 содержит подстроку "ЗНАЧЕНИЕ_1" и выполнено хотя бы одно из двух условий:

Значение параметра ПАРАМЕТР_2 равно "ЗНАЧЕНИЕ_2".
Значение параметра ПАРАМЕТР_3 меньше, чем "ЗНАЧЕНИЕ_3" в лексикографическом смысле.

Примеры выражений

Выражение	Результат поиска
`source.id=iam AND (subject.address="127.0.0.1" OR status.code=500)`	Все события сервиса IAM, произошедшие с пользователем по IP-адресу `127.0.0.1` или вызвавшие код ошибки 500
`severity=CRITICAL AND subject.metadata.email: "@example.ru"`	Все критические события, произошедшие у пользователей с почтовым доменом `example.ru`
`timestamp > "2023-06-02T15:04:05Z03:00" AND source.address="127.0.0.1" AND resource.metadata.stream_id="2278584446"`	Все события, произошедшие на объекте с именем `2278584446` по IP-адресу `127.0.0.1` после 15:04:05 2 июня 2023 года. Время указано для часового пояса UTC+3

Выражение

Результат поиска

source.id=iam AND (subject.address="127.0.0.1" OR status.code=500)

Все события сервиса IAM, произошедшие с пользователем по IP-адресу 127.0.0.1 или вызвавшие код ошибки 500

severity=CRITICAL AND subject.metadata.email: "@example.ru"

Все критические события, произошедшие у пользователей с почтовым доменом example.ru

timestamp > "2023-06-02T15:04:05Z03:00" AND source.address="127.0.0.1" AND resource.metadata.stream_id="2278584446"

Все события, произошедшие на объекте с именем 2278584446 по IP-адресу 127.0.0.1 после 15:04:05 2 июня 2023 года. Время указано для часового пояса UTC+3

Язык поисковых запросов

Особенности поиска

Операторы сравнения

Логические операторы

Порядок вычислений

Примеры выражений

Была ли статья полезна?

Была ли статья полезна?