Interroger et analyser des journaux avec Observability Analytics

Ce document explique comment interroger et analyser vos données de journaux à l'aide d'Observability Analytics, qui fournit une interface de requête basée sur SQL. En utilisant SQL, vous pouvez effectuer des tâches telles que compter les entrées de journal avec un champ qui correspond à un modèle. Observability Analytics fournit un éditeur SQL et un système basé sur un menu pour créer des requêtes. Pour afficher les résultats de votre requête, vous pouvez utiliser le format tabulaire ou visualiser les données sous forme de graphique. Vous pouvez enregistrer vos graphiques dans vos tableaux de bord personnalisés.

Vous pouvez interroger une vue de journal sur un bucket de journaux ou une vue analytique. Lorsque vous interrogez une vue de journal, le schéma correspond à celui de la LogEntry structure de données. Étant donné que le créateur d'une vue analytique détermine le schéma, un cas d'utilisation des vues analytiques consiste à transformer les données de journal du format LogEntry en un format plus adapté à vos besoins.

Vous pouvez également utiliser Observability Analytics pour interroger vos données de trace. Pour en savoir plus, consultez Interroger et analyser des traces.

Observability Analytics ne déduplique pas les entrées de journal, ce qui peut avoir une incidence sur la façon dont vous rédigez vos requêtes. De plus, l'utilisation d'Observability Analytics est soumise à certaines restrictions. Pour en savoir plus sur ces sujets, consultez les documents suivants :

• Dépannage : des entrées de journal en double figurent dans mes résultats Observability Analytics.
• Observability Analytics : restrictions.

À propos des ensembles de données associés

Vous n'avez pas besoin d'un ensemble de données BigQuery associé lorsque vous souhaitez interroger vos données de journaux ou vos données de journaux et de trace. Dans ces cas, vous pouvez utiliser la page Observability Analytics. Vous pouvez également enregistrer et partager vos requêtes, et les enregistrer dans un tableau de bord personnalisé. Pour en savoir plus sur l'interrogation de vos données de trace, consultez Interroger et analyser des traces.

Vous avez besoin d'un ensemble de données BigQuery associé lorsque vous souhaitez effectuer l'une des opérations suivantes :

• Joindre des données d'entrée de journal à d'autres ensembles de données BigQuery.
• Interroger des données de journaux à partir d'un autre service, tel que la page BigQuery Studio ou Looker Studio.
• Améliorer les performances des requêtes que vous exécutez à partir de Observability Analytics en les exécutant sur vos emplacements réservés BigQuery.
• Créer une règle d'alerte qui surveille le résultat d'une requête SQL. Pour en savoir plus, consultez Surveiller les résultats de vos requêtes SQL avec une règle d'alerte.

Si vous choisissez de créer un ensemble de données associé sur un bucket de journaux, vous étendez le périmètre de sécurité de vos données de journaux pour inclure les services BigQuery. Autrement dit, les services BigQuery peuvent désormais interroger vos données de journaux en envoyant une requête à l'ensemble de données associé. Avant de créer un ensemble de données associé, nous vous recommandons de consulter Sécurité des données avec Observability Analytics.

Avant de commencer

Cette section décrit les étapes que vous devez suivre avant de pouvoir utiliser Observability Analytics.

Configurer des buckets de journaux

Assurez-vous que vos buckets de journaux ont été mis à niveau pour utiliser Observability Analytics :

1. Dans la Google Cloud console, accédez à la page Stockage des journaux :

   Accéder à la page Stockage des journaux

   Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Logging.

2. Pour chaque bucket de journaux comportant une vue de journal que vous souhaitez interroger, assurez-vous que la Observability Analytics disponible colonne affiche Ouvrir. Si Mettre à niveau s'affiche, cliquez sur Mettre à niveau et remplissez la boîte de dialogue.

Configurer des rôles et des autorisations IAM

Cette section décrit les rôles ou autorisations IAM requis pour utiliser Observability Analytics :

• Pour obtenir les autorisations nécessaires pour utiliser Observability Analytics et interroger des vues de journaux, demandez à votre administrateur de vous accorder les rôles IAM suivants sur votre projet :

  • Pour interroger les buckets de journaux _Required et _Default : Lecteur de journaux (roles/logging.viewer)
  • Pour interroger toutes les vues de journaux d'un projet: Accesseur de vues de journaux (roles/logging.viewAccessor)

  Vous pouvez limiter un principal à une vue de journal spécifique en ajoutant une condition IAM à l'attribution du rôle Accesseur de vues de journaux effectuée au niveau du projet, ou en ajoutant une liaison IAM au fichier de stratégie de la vue de journal. Pour en savoir plus, consultez Contrôler l'accès à une vue de journal.

  Il s'agit des mêmes autorisations que celles dont vous avez besoin pour afficher les entrées de journal sur la page Explorateur de journaux. Pour en savoir plus sur les rôles supplémentaires dont vous avez besoin pour interroger des vues sur des buckets définis par l'utilisateur ou pour interroger la vue _AllLogs du bucket de journaux _Default, consultez Rôles Cloud Logging.

• Pour obtenir les autorisations nécessaires pour interroger des vues analytiques, demandez à votre administrateur de vous accorder le rôle IAM Utilisateur Observability Analytics (roles/observability.analyticsUser) sur votre projet.

Interroger les données des journaux

Cette section décrit les approches que vous pouvez utiliser pour interroger vos données de journaux :

• Chargez une requête définie par le système, modifiez-la, puis exécutez-la.
• Saisissez et exécutez une requête personnalisée. Par exemple, vous pouvez coller une requête que vous avez ou en rédiger une. Les requêtes personnalisées peuvent inclure des jointures, des requêtes imbriquées et d'autres instructions SQL complexes. Pour obtenir des exemples, consultez Exemples de requêtes SQL.
• Créez une requête en effectuant des sélections dans le menu, puis exécutez-la. Observability Analytics convertit vos sélections en une requête SQL, que vous pouvez afficher et modifier.

Charger, modifier et exécuter la requête définie par le système

1. Dans la Google Cloud console, accédez à la manage_search page Analyse de journaux :

   Accéder à l'Analyse de journaux

   Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Logging.

2. Dans le menu Vues, accédez au segment Journaux ou à la data_table Vues analytiques section, puis sélectionnez la vue que vous souhaitez interroger.

   Pour trouver la vue à interroger, utilisez la filter_list Filtre barre ou faites défiler la liste :

   • Les vues de journaux sont listées par BUCKET_ID.LOG_VIEW_ID, où ces champs font référence aux ID du bucket de journaux et de la vue de journal.

   • Les vues analytiques sont listées par LOCATION.ANALYTICS_VIEW_ID, où ces champs font référence à l'emplacement et à l'ID d'une vue analytique. Les vues analytiques sont disponibles en version Preview publique.

3. Effectuez l'une des opérations suivantes :

   • Pour charger une requête définie par le système qui s'appuie sur le générateur de requêtes, qui vous permet de définir la requête à l'aide de sélections de menu, assurez-vous que le volet Requête affiche Générateur de requêtes. Si un éditeur SQL s'affiche, alors cliquez sur tune Compilateur.

   • Pour charger une requête définie par le système qui extrait des valeurs JSON, assurez-vous que le volet Requête affiche l'éditeur SQL. Si ce volet affiche Générateur de requêtes, cliquez sur code SQL.

4. Dans le volet Schéma, sélectionnez Requête, puis cliquez sur Écraser.

   Le volet Requête affiche une requête définie par le système. Si vous avez sélectionné le Générateur de requêtes mode, mais que vous souhaitez afficher la requête SQL, cliquez sur code SQL.

5. Facultatif : modifiez la requête.

6. Pour exécuter la requête, accédez à la barre d'outils et sélectionnez Exécuter la requête.

   Observability Analytics présente les résultats de la requête dans un tableau. Toutefois, vous pouvez créer un graphique, et vous pouvez également enregistrer le tableau ou le graphique dans un tableau de bord personnalisé. Pour en savoir plus, consultez Représenter les résultats d'une requête SQL sous forme de graphique.

   Si la barre d'outils affiche Exécuter dans BigQuery, vous devez configurer Observability Analytics pour qu'il utilise le moteur de requête par défaut. Pour effectuer cette modification, dans la barre d'outils du volet Requête, cliquez sur settings Paramètres , puis sélectionnez Analytics (par défaut).

Saisir et exécuter une requête personnalisée

Pour saisir une requête SQL, procédez comme suit :

1. Dans la Google Cloud console, accédez à la manage_search page Analyse de journaux :

   Accéder à l'Analyse de journaux

   Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Logging.

2. Dans le volet Requête, cliquez sur code SQL.

   • Pour spécifier une période, nous vous recommandons d'utiliser le sélecteur de période. Si vous ajoutez une clause WHERE qui spécifie le champ timestamp, cette valeur remplace le paramètre du sélecteur de période, et ce sélecteur est désactivé.

   • Pour obtenir des exemples, consultez Exemples de requêtes SQL.

   • Vous pouvez interroger des vues de journaux ou des vues analytiques. Utilisez le format suivant pour la clause FROM :

     • Vues de journaux :

       FROM `PROJECT_ID.LOCATION.BUCKET_ID.LOG_VIEW_ID`
       

     • Vues analytiques :

       FROM `analytics_view.PROJECT_ID.LOCATION.ANALYTICS_VIEW_ID`
       

     Les champs des expressions précédentes ont la signification suivante :

     • PROJECT_ID : identifiant du projet.
     • LOCATION : emplacement de la vue de journal ou de la vue analytique.
     • BUCKET_ID : nom ou ID du bucket de journaux.
     • LOG_VIEW_ID : identifiant de la vue de journal, limité à 100 caractères et ne pouvant inclure que des lettres, des chiffres, des traits de soulignement et des traits d'union.
     • ANALYTICS_VIEW_ID : ID de la vue analytique, limité à 100 caractères et ne pouvant inclure que des lettres, des chiffres, des traits de soulignement et des traits d'union.

     Si le volet de requête affiche un message d'erreur faisant référence à l'instruction FROM, cela signifie que la vue est introuvable. Pour en savoir plus sur la résolution de cet échec, consultez Erreur : la clause FROM doit contenir exactement une vue de journal.

3. Pour exécuter la requête, accédez à la barre d'outils et sélectionnez Exécuter la requête.

   Observability Analytics présente les résultats de la requête dans un tableau. Toutefois, vous pouvez créer un graphique, et vous pouvez également enregistrer le tableau ou le graphique dans un tableau de bord personnalisé. Pour en savoir plus, consultez Représenter les résultats d'une requête SQL sous forme de graphique.

   Si la barre d'outils affiche Exécuter dans BigQuery, vous devez configurer Observability Analytics pour qu'il utilise le moteur de requête par défaut. Pour effectuer cette modification, dans la barre d'outils du volet Requête, cliquez sur settings Paramètres , puis sélectionnez Analytics (par défaut).

Créer, modifier et exécuter une requête

L'interface du générateur de requêtes vous permet de créer une requête en effectuant des sélections dans les menus. Observability Analytics convertit vos sélections en une requête SQL, que vous pouvez afficher et modifier. Par exemple, vous pouvez commencer par utiliser l'interface du générateur de requêtes , puis passer à l'éditeur SQL pour affiner votre requête.

Observability Analytics peut toujours convertir vos sélections de menu de l'interface du générateur de requêtes en une requête SQL. Toutefois, toutes les requêtes SQL ne peuvent pas être représentées par l'interface du générateur de requêtes. Par exemple, les requêtes avec jointures ne peuvent pas être représentées par cette interface.

Pour créer une requête, procédez comme suit :

1. Dans la Google Cloud console, accédez à la manage_search page Analyse de journaux :

   Accéder à l'Analyse de journaux

   Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Logging.

2. Si le volet Requête affiche un éditeur SQL, sélectionnez tune Compilateur, ce qui ouvre le volet Générateur de requêtes.

3. Utilisez le menu Source pour sélectionner la vue que vous souhaitez interroger. Vos sélections sont mappées à la clause FROM de la requête SQL.

4. Facultatif : utilisez les menus suivants pour limiter ou mettre en forme le tableau de résultats :

   • Rechercher dans tous les champs : recherchez les chaînes correspondantes. Vos sélections sont mappées à la clause WHERE de la requête SQL.

   • Colonnes : sélectionnez les colonnes qui apparaissent dans le tableau de résultats. Vos sélections sont mappées aux clauses SELECT de la requête SQL.

     Lorsque vous sélectionnez un nom de champ dans ce menu, une boîte de dialogue s'ouvre. Dans cette boîte de dialogue, vous pouvez effectuer les opérations suivantes :

     • Utilisez le menu pour agréger ou regrouper vos données.

       Pour éviter les erreurs de syntaxe, toute agrégation et tout regroupement que vous appliquez à une colonne sont automatiquement appliqués à d'autres colonnes. Pour obtenir un exemple d'agrégation et de regroupement d'entrées, consultez Regrouper et agréger des données à l'aide du générateur de requêtes.

     • Convertissez une valeur de n'importe quel type en un autre type de données spécifié. Pour en savoir plus, consultez la CAST documentation.

     • Extrayez une sous-chaîne de valeurs à l'aide d'expressions régulières. Pour en savoir plus, consultez la REGEXP_EXTRACT documentation.

   • Filtres : ajoutez des filtres lorsque vous souhaitez limiter la requête aux étendues contenant un attribut ou un ID d’étendue spécifique. Le menu liste toutes les options de filtre disponibles. Vos sélections sont mappées à la clause WHERE de la requête SQL.

   • Trier par : définissez les colonnes à trier et indiquez si le tri est croissant ou décroissant. Vos sélections sont mappées à la clause ORDER BY de la requête SQL.

   • Limite : définissez le nombre maximal de lignes dans le tableau de résultats. Vos sélections sont mappées à la clause LIMIT de la requête SQL.

5. Pour exécuter la requête, accédez à la barre d'outils et sélectionnez Exécuter la requête.

   Observability Analytics présente les résultats de la requête dans un tableau. Toutefois, vous pouvez créer un graphique, et vous pouvez également enregistrer le tableau ou le graphique dans un tableau de bord personnalisé. Pour en savoir plus, consultez Représenter les résultats d'une requête SQL sous forme de graphique.

   Si la barre d'outils affiche Exécuter dans BigQuery, vous devez configurer Observability Analytics pour qu'il utilise le moteur de requête par défaut. Pour effectuer cette modification, dans la barre d'outils du volet Requête, cliquez sur settings Paramètres , puis sélectionnez Analytics (par défaut).

Exemple : regrouper et agréger des données à l'aide du générateur de requêtes

Lorsque vous sélectionnez une colonne dans le générateur de requêtes, chaque champ inclut un menu dans lequel vous pouvez ajouter un regroupement et une agrégation. Le regroupement vous permet d'organiser vos données en groupes en fonction de la valeur d'une ou de plusieurs colonnes, et l'agrégation vous permet d'effectuer des calculs sur ces groupes pour renvoyer une seule valeur.

Chaque champ que vous sélectionnez dans l'élément Colonnes est associé à un menu comportant les options suivantes :

• Aucun : ne pas regrouper ni agréger par ce champ.
• Agréger : regrouper les champs listés dans l'élément Colonnes , sauf lorsque le champ comporte une sélection Agréger. Pour ces champs, calculez la valeur en effectuant une opération sur toutes les entrées de chaque regroupement. L'opération peut consister à calculer la moyenne d'un champ ou à compter le nombre d'entrées dans chaque regroupement.
• Grouper par : regrouper les entrées par tous les champs listés dans l'élément Colonnes.

L'exemple suivant illustre comment créer une requête qui regroupe des entrées, puis effectue un type d'agrégation.

Cet exemple explique comment utiliser le générateur de requêtes pour regrouper les entrées de journal par gravité et par timestamp, puis calculer la moyenne du champ http_request.response_size pour chaque groupe.

Pour créer une requête qui regroupe et agrège vos données, effectuez les sélections suivantes dans les menus du générateur de requêtes :

1. Dans le menu Colonnes , sélectionnez les champs timestamp, severity et http_request.response_size.

   1. Pour regrouper vos données, cliquez sur le champ timestamp pour ouvrir la boîte de dialogue des paramètres. Dans cette boîte de dialogue, sélectionnez l'option Grouper par et définissez la précision de la troncature sur HOUR. Le regroupement est ensuite automatiquement appliqué à tous les autres champs pour éviter les erreurs de syntaxe. Si des champs non valides ne peuvent pas être regroupés, un message d'erreur s'affiche. Supprimez les champs non valides du menu pour résoudre cette erreur.

   2. Pour effectuer une agrégation sur le champ http_request.response_size, cliquez sur le champ pour ouvrir la boîte de dialogue des paramètres. Dans cette boîte de dialogue, sélectionnez Agréger. Dans le menu Agrégation, cliquez sur Moyenne.

2. Dans le menu Filtres, ajoutez http_request.response_size et définissez le comparateur sur IS NOT NULL. Ce filtre correspond aux entrées de journal qui contiennent une valeur response_size.

   Les menus de votre générateur de requêtes se présentent comme suit :

   

3. Pour exécuter la requête, accédez à la barre d'outils et sélectionnez Exécuter la requête.

   Les résultats de cette requête se présentent comme suit :

   +-----------------------------------+----------+---------------+
   | Row | hour_timestamp              | severity | response_size |
   |     | TIMESTAMP                   | STRING   | INTEGER       |
   +-----+-----------------------------+----------+---------------+
   | 1   | 2025-10-06 16:00:00.000 UTC | NOTICE   | 3082          |
   | 2   | 2025-10-06 17:00:00.000 UTC | WARNING  | 338           |
   | 3   | 2025-10-06 16:00:00.000 UTC | INFO     | 149           |
   

La requête SQL correspondante pour l'exemple précédent est la suivante :

SELECT
  -- Truncate the timestamp by hour.
  TIMESTAMP_TRUNC( timestamp, HOUR ) AS hour_timestamp,
  severity,
  -- Compute average response_size.
  AVG( http_request.response_size ) AS average_http_request_response_size
FROM
  `PROJECT_ID.LOCATION.BUCKET_ID.LOG_VIEW_ID`
WHERE
  -- Matches log entries that have a response_size.
  http_request.response_size IS NOT NULL
GROUP BY
  -- Group log entries by timestamp and severity.
  TIMESTAMP_TRUNC( timestamp, HOUR ),
  severity
LIMIT
  1000

Afficher le schéma

Le schéma définit la façon dont les données sont stockées, y compris les champs et leurs types de données. Ces informations sont importantes, car le schéma détermine les champs que vous interrogez et si vous devez convertir des champs en différents types de données. Par exemple, pour écrire une requête qui calcule la latence moyenne des requêtes HTTP, vous devez savoir comment accéder au champ de latence et s'il est stocké sous forme d'entier comme 100 ou sous forme de chaîne comme "100". Si les données de latence sont stockées sous forme de chaîne, la requête doit convertir la valeur en une valeur numérique avant de calculer une moyenne.

Pour identifier le schéma, procédez comme suit :

1. Dans la Google Cloud console, accédez à la manage_search page Analyse de journaux :

   Accéder à l'Analyse de journaux

   Si vous utilisez la barre de recherche pour trouver cette page, sélectionnez le résultat dont le sous-titre est Logging.

2. Dans le menu Vues, accédez au segment Journaux ou à la data_table Vues analytiques section, puis sélectionnez la vue que vous souhaitez interroger.

   Le volet Schéma est mis à jour. Observability Analytics déduit automatiquement les champs d'une colonne lorsque le type de données est JSON. Pour afficher la fréquence d'apparition de ces champs déduits dans vos données, cliquez sur more_vert Options , puis sélectionnez Afficher les informations et la description.

   Pour les vues de journaux, le schéma est fixe et correspond au LogEntry. Pour les vues analytiques, vous pouvez modifier la requête SQL pour modifier le schéma.

Étape suivante

• En savoir plus sur les vues analytiques.
• Enregistrer et partager une requête SQL.
• Représenter les résultats d'une requête SQL sous forme de graphique.
• Exemples de requêtes SQL.
• Interroger un ensemble de données associé dans BigQuery.