Grafici dei risultati delle query SQL

Questo documento descrive come creare grafici dei risultati delle query di Log Analytics, il che ti consente di identificare pattern e tendenze nei dati di log. Analisi dei log consente di cercare e aggregare i log per generare insight utili utilizzando query SQL.

Dopo aver eseguito una query, i risultati possono essere visualizzati in una tabella o convertiti in un grafico. La query e la relativa visualizzazione possono essere salvate in una dashboard. Ad esempio, per vedere quali tipi di gravità generano i tuoi log, crea un grafico che mostri il numero di log generati nelle ultime 12 ore e suddividi i log per severity. Il seguente screenshot mostra i punti dati suddivisi in diversi tipi di gravità:

Prima di iniziare

Questa sezione descrive i passaggi che devi completare prima di poter utilizzare Log Analytics.

Configura i bucket di log

Assicurati che i bucket di log siano stati sottoposti all'upgrade per utilizzare Analisi dei log:

1. Nella console Google Cloud , vai alla pagina Archiviazione dei log:

   Vai ad Archiviazione dei log

   Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

2. Per ogni bucket di log con una visualizzazione dei log che vuoi interrogare, assicurati che la colonna Log Analytics disponibile mostri Apri. Se viene visualizzato il pulsante Esegui l'upgrade, fai clic su Esegui l'upgrade e completa la finestra di dialogo.

Configura ruoli e autorizzazioni IAM

Questa sezione descrive i ruoli o le autorizzazioni IAM necessari per utilizzare Log Analytics:

• Per ottenere le autorizzazioni necessarie per utilizzare Log Analytics ed eseguire query sulle visualizzazioni log, chiedi all'amministratore di concederti i seguenti ruoli IAM sul progetto:

  • Per eseguire query sui bucket di log _Required e _Default: Visualizzatore log (roles/logging.viewer)
  • Per eseguire query su tutte le visualizzazioni dei log in un progetto: Logs View Accessor (roles/logging.viewAccessor)

  Puoi limitare un'entità a una visualizzazione di log specifica aggiungendo una condizione IAM alla concessione del ruolo Accessore visualizzazione log effettuata a livello di progetto oppure aggiungendo un binding IAM al file dei criteri della visualizzazione di log. Per ulteriori informazioni, vedi Controllare l'accesso a una visualizzazione log.

  Si tratta delle stesse autorizzazioni necessarie per visualizzare le voci di log nella pagina Esplora log. Per informazioni su ruoli aggiuntivi necessari per eseguire query sulle visualizzazioni nei bucket definiti dall'utente o per eseguire query sulla visualizzazione _AllLogs del bucket di log _Default, vedi Ruoli Cloud Logging.

• Per ottenere le autorizzazioni necessarie per eseguire query sulle visualizzazioni di analisi, chiedi all'amministratore di concederti il ruolo IAM Observability Analytics User (roles/observability.analyticsUser) sul progetto.

• Per ottenere le autorizzazioni necessarie per creare grafici, chiedi all'amministratore di concederti il ruolo IAM Monitoring Editor (roles/monitoring.editor) nel progetto.

Seleziona i dati da rappresentare nel grafico

Per configurare i dati da visualizzare in un grafico, crea una query utilizzando SQL. Quando selezioni la scheda Grafico, viene visualizzato un grafico con i risultati della query. Dopo l'esecuzione della query e la generazione di un grafico, puoi personalizzare la configurazione del grafico modificando il tipo di grafico e selezionando le colonne per visualizzare dati diversi.

Per visualizzare i risultati della query come grafico, esegui una query procedendo nel seguente modo:

1. Nella console Google Cloud , vai alla pagina Analisi dei log:

   Vai ad Analisi dei log

   Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

2. Nel riquadro Query, inserisci una query e poi fai clic su Esegui.

3. Al termine della query, nella scheda Risultati, seleziona la modalità di visualizzazione dei risultati della query:

   • Tabella: solo formato tabellare.

   • Grafico: solo formato del grafico

   • Entrambi: formato grafico e tabellare.

     Dopo aver selezionato la modalità di visualizzazione dei risultati della query, puoi configurare i campi per la visualizzazione selezionata e poi salvare la query e i risultati in una dashboard personalizzata. Il formato salvato è tabellare quando hai selezionato l'opzione Tabella. In caso contrario, il formato è un grafico.

     Per i grafici, le opzioni di visualizzazione consentono di selezionare il tipo di grafico e le righe e le colonne da rappresentare nel grafico. Per ulteriori informazioni sulla configurazione del grafico, vedi Personalizzare la configurazione del grafico.

Personalizzare la configurazione del grafico

Puoi personalizzare la configurazione del grafico modificando il tipo di grafico, selezionando la dimensione e la misura da rappresentare nel grafico e applicando una distribuzione. La dimensione viene utilizzata per raggruppare o classificare le righe ed è il valore dell'asse X. La misura, o il valore dell'asse Y, è una serie di dati tracciata rispetto all'asse Y.

Modificare il tipo di grafico

Puoi scegliere tra i seguenti tipi di grafici, a seconda del tipo di righe e colonne selezionate come dimensione e misura e di come vuoi visualizzare i dati.

• Grafico a barre (impostazione predefinita): i grafici a barre tracciano i dati su due assi. Se il grafico utilizza una categoria o una stringa come dimensione, puoi impostare la configurazione del grafico a barre in modo che sia orizzontale o verticale, in cui gli assi delle dimensioni e delle misure vengono scambiati.

• Grafico a linee: I grafici a linee possono essere utilizzati per mostrare le variazioni dei dati nel tempo. Quando utilizzi un grafico a linee, ogni serie temporale viene mostrata con una linea diversa che corrisponde alle misure che hai selezionato.

  Se l'asse X è basato sul tempo, ogni punto dati viene posizionato all'inizio di un intervallo di tempo. Ogni punto dati è collegato tramite interpolazione lineare.

• Grafico ad area in pila: Un grafico ad area si basa su un grafico a linee e l'area sotto ogni linea è ombreggiata. Nei grafici ad area, le serie di dati sono impilate. Ad esempio, se hai due serie identiche, queste si sovrappongono in un grafico a linee, ma l'area ombreggiata è in pila in un grafico ad area.

• Grafico a torta o ad anello: Un grafico a torta mostra la relazione tra le categorie di un set di dati e l'intero set di dati, utilizzando un cerchio per rappresentare l'intero set di dati e spicchi nel cerchio per rappresentare le categorie nel set di dati. La dimensione di una sezione indica in che misura, spesso in percentuale, la categoria contribuisce al totale.

• Tabella: Una tabella mostra una riga per ogni riga nel risultato della query. Le colonne della tabella sono definite dalla clausola SELECT. Se prevedi di visualizzare i dati in formato tabellare in una dashboard, utilizza una clausola LIMIT per limitare il numero di righe nel risultato a meno di qualche centinaio.

• Indicatore o prospetto: gli indicatori e i prospetti forniscono il valore più recente insieme a un'indicazione verde, ambra o rossa in base al confronto tra questo valore e un insieme di soglie. A differenza dei grafici a indicatore, che mostrano solo informazioni sul valore più recente, i prospetti possono includere anche informazioni sui valori passati.

  Gli indicatori e i prospetti possono visualizzare il risultato della query solo quando il risultato della query contiene almeno una riga e questa riga contiene una colonna con un timestamp e una colonna con dati numerici. Il risultato della query può contenere più righe e più di due colonne.

  Se vuoi eseguire l'aggregazione basata sul tempo come parte della query, procedi nel seguente modo:

  • Configura la query in modo da aggregare i dati in un intervallo di tempo, ordinare i risultati in base ai timestamp decrescenti e limitare il numero di righe nei risultati. Puoi utilizzare la clausola LIMIT o il selettore dell'intervallo di tempo per limitare il numero di righe nel risultato della query.

    Ad esempio, la seguente query esegue una query su una visualizzazione log, aggrega i dati per ora, applica un limite e ordina i risultati:

    SELECT TIMESTAMP_TRUNC(timestamp, HOUR) AS hour, severity, COUNT(*) AS count
    FROM `TABLE_NAME_OF_LOG_VIEW`
    WHERE severity IS NOT NULL AND severity = "DEFAULT"
    GROUP BY hour,severity
    ORDER BY hour DESC
    LIMIT 10
    

  • Imposta la dimensione in modo che corrisponda alla colonna che riporta l'unità di tempo. Ad esempio, se la query aggrega i dati per un'ora e crea una colonna denominata hour, imposta il menu Dimensione su hour.

  • Seleziona Disattiva intervallo perché la query specifica già l'intervallo di aggregazione. Nell'esempio, questo intervallo è di un'ora.

  • Imposta la Misura sulla colonna numerica e imposta la funzione su Nessuna.

  Se vuoi che sia Log Analytics a eseguire l'aggregazione basata sul tempo per te, procedi nel seguente modo:

  • Configura il selettore dell'intervallo di tempo, che influisce sul numero di righe nel risultato della query.
  • Imposta la dimensione in modo che corrisponda alla colonna che riporta l'unità di tempo. Ad esempio, potresti impostare questo menu su timestamp.
  • Imposta il menu Intervallo sull'intervallo di aggregazione a un intervallo specifico. Ad esempio, imposta il valore di questo campo su 1 hour. Non selezionare Intervallo automatico.
  • Imposta la misurazione sulla colonna numerica e seleziona una funzione come somma.

Modificare la dimensione e la misura

Puoi scegliere le righe e le colonne da rappresentare nel grafico selezionando i campi dimensione e misura.

• Dimensioni

  La dimensione deve essere una colonna timestamp, numerica o stringa. Per impostazione predefinita, la dimensione è impostata sulla prima colonna basata sul timestamp nello schema. Se nella query non è presente alcun timestamp, la prima colonna di stringa viene selezionata come dimensione. Puoi anche personalizzare la dimensione nel pannello Visualizzazione grafico. Quando una colonna timestamp viene selezionata come dimensione, il grafico mostra come cambiano i dati nel tempo. Quando una colonna di stringhe viene selezionata come dimensione per un grafico a barre, puoi ordinare i dati in ordine crescente o decrescente, il che ordina la dimensione in ordine lessicale. Puoi anche mantenere l'ordine di ordinamento "predefinito", che ordina la dimensione in base ai valori della misura corrispondente in ordine decrescente.

  Per impostazione predefinita, l'intervallo per i timestamp viene impostato automaticamente, ma puoi anche selezionare un intervallo personalizzato. Gli intervalli automatici modificano i valori in base al selettore dell'intervallo di tempo per mantenere gruppi di dimensioni simili.

  Puoi anche disattivare l'intervallo, che ti consente di specificare le tue aggregazioni e intervalli di tempo all'interno della query per un'analisi più complessa. Se disattivi l'intervallo, la funzione di aggregazione delle misure viene impostata su none. Sono consentite solo misure numeriche quando l'intervallo di dimensioni è disattivato.

• Misura

  Puoi selezionare più misure nel riquadro Visualizzazione grafico. Quando selezioni una misura, devi anche selezionare la funzione di aggregazione da eseguire sui valori raggruppati, ad esempio count, sum, average e percentile-99. Ad esempio, count-distinct restituisce il numero di valori univoci in una determinata colonna.

  Se selezioni la casella di controllo Disattiva intervallo per la dimensione, l'opzione none per la funzione di aggregazione è disponibile. Se la dimensione è un valore stringa, la casella di controllo Disattiva intervallo non viene visualizzata. Tuttavia, se imposti le funzioni di aggregazione di una misura su none, disattivi anche l'intervallo.

Aggiungere una suddivisione

Per dividere una singola serie di dati in più serie di dati in base a un'altra colonna, aggiungi una distribuzione.

Quando selezioni una distribuzione, scegli colonne che contengono un numero ridotto di etichette brevi e significative, ad esempio region_name, anziché campi che potrebbero contenere un numero elevato di stringhe o stringhe lunghe, ad esempio textPayload.

Ad esempio, vedi la seguente configurazione del grafico, in cui il campo Dimensione è impostato su type, il campo Misura è impostato su Conteggio righe e il campo Distribuzione è impostato su severity:

Il seguente grafico è un esempio di grafico con un'ulteriore suddivisione:

Nello screenshot precedente, vedi una serie di dati in pila, in cui il tipo di risorsa k8s_container è suddiviso in diversi tipi severity. In questo modo puoi identificare quanti log di ogni tipo di gravità sono stati generati da una determinata risorsa.

Salvare un grafico in una dashboard personalizzata

Dopo aver generato un grafico dalla query, puoi salvarlo in una dashboard personalizzata. Le dashboard personalizzate ti consentono di visualizzare e organizzare le informazioni utili utilizzando una serie di tipi di widget. Queste dashboard ti consentono anche di definire variabili, ovvero filtri a livello di dashboard che si applicano solo a widget specifici. Per applicare una variabile a un widget, devi modificare la query. Per saperne di più, consulta Applicare una variabile a un widget.

Ad esempio, puoi creare una dashboard che fornisca dettagli sull'utilizzo dei tuoi bucket Cloud Storage:

Per salvare il grafico in una dashboard:

1. Nella console Google Cloud , vai alla pagina Analisi dei log:

   Vai ad Analisi dei log

   Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

2. Esegui una query per generare un grafico, poi fai clic su Salva grafico nella scheda Grafico.

3. Nella finestra di dialogo Salva nella dashboard, inserisci un titolo per il grafico e seleziona la dashboard in cui vuoi salvare il grafico.

4. (Facoltativo) Per visualizzare la dashboard personalizzata, fai clic su Visualizza dashboard nel messaggio popup.

Per visualizzare un elenco di dashboard personalizzate che contengono grafici generati da query SQL, vai al pulsante Salva grafico e fai clic su arrow_drop_down Menu.

Modificare un grafico salvato in una dashboard personalizzata

Puoi modificare un grafico dopo averlo salvato in una dashboard. Per saperne di più, consulta Modificare la configurazione di un widget. Nella finestra di dialogo Configura widget, puoi:

• Modifica i dati che interroghi.
• Modifica la query utilizzata per generare un grafico.
• Personalizza la configurazione del grafico per visualizzare dati diversi.

Limitazioni

• Se il tuo progetto Google Cloud si trova in una cartella che utilizza Assured Workloads, i grafici che generi non possono essere visualizzati in una dashboard personalizzata.

• I filtri a livello di dashboard non vengono applicati ai grafici generati da una query SQL.

Query di esempio

Questa sezione fornisce query SQL di esempio per creare grafici dei risultati della query. Per ottenere informazioni più utili dai log, personalizza la configurazione del grafico. Per utilizzare le query di esempio:

1. Nella console Google Cloud , vai alla pagina Analisi dei log:

   Vai ad Analisi dei log

   Se utilizzi la barra di ricerca per trovare questa pagina, seleziona il risultato con il sottotitolo Logging.

2. Identifica il nome della tabella per la visualizzazione dei log che vuoi interrogare.

   Per identificare questo nome, vai all'elenco Visualizzazioni log, individua la visualizzazione log e seleziona Query. Il riquadro Query viene compilato con una query predefinita che include il nome della tabella della vista dei log su cui viene eseguita la query. Il nome della tabella ha il formato project_ID.region.bucket_ID.view_ID.

   Per saperne di più su come accedere alla query predefinita, consulta Eseguire query su una visualizzazione di log.

3. Sostituisci TABLE_NAME_OF_LOG_VIEW con il nome della tabella per la visualizzazione dei log su cui vuoi eseguire la query, poi copia la query.

4. Incolla la query nel riquadro Query, quindi fai clic su Esegui query.

Grafico delle voci di log per località e gravità

La seguente query seleziona location e severity, con la località convertita in stringa:

SELECT
  CAST(JSON_VALUE(resource.labels.location) AS STRING) AS location,
  severity,
FROM
  `TABLE_NAME_OF_LOG_VIEW`

Un grafico e una configurazione di esempio hanno il seguente aspetto:

Nello screenshot precedente, la configurazione del grafico presenta le seguenti impostazioni:

• Tipo di grafico: grafico a barre, orizzontale
• Dimensione: location, con un limite di 10
• Misura: Conteggio righe
• Suddivisione: severity, con un limite di cinque

Grafico degli audit log di accesso ai dati BigQuery

La seguente query filtra gli audit log di BigQuery data_access e seleziona determinati campi, come user_email, ip, auth_permission e job_execution_project. Ad esempio, puoi creare un grafico che visualizzi la frequenza di utilizzo dell'API BigQuery di ogni principal nel tempo.

SELECT
  timestamp,
  proto_payload.audit_log.authentication_info.principal_email as user_email,
  proto_payload.audit_log.request_metadata.caller_ip as ip,
  auth.permission as auth_permission,
  auth.granted as auth_granted,
  JSON_VALUE(data_access.resource.labels.project_id) AS job_execution_project,
  SPLIT(proto_payload.audit_log.resource_name, '/')[SAFE_OFFSET(1)] AS referenced_project,
  SPLIT(proto_payload.audit_log.resource_name, '/')[SAFE_OFFSET(3)] AS referenced_dataset,
  SPLIT(proto_payload.audit_log.resource_name, '/')[SAFE_OFFSET(5)] AS referenced_table
FROM `TABLE_NAME_OF_LOG_VIEW` as data_access,
  UNNEST(proto_payload.audit_log.authorization_info) AS auth
WHERE
  log_id="cloudaudit.googleapis.com/data_access"
  AND data_access.resource.type = 'bigquery_dataset'

Un grafico e una configurazione di esempio hanno il seguente aspetto:

Nello screenshot precedente, la configurazione del grafico ha la seguente configurazione:

• Tipo di grafico: grafico a barre verticale
• Dimensione: user_email, con un limite di cinque
• Misura: Conteggio righe
• Suddivisione: auth_permission, con un limite di cinque

Limitazioni

• Le colonne selezionate devono contenere almeno una riga con un valore non nullo.

• Se salvi una query e personalizzi la configurazione del grafico, la configurazione personalizzata del grafico non viene salvata.

• Se la query contiene già aggregazioni, il grafico generato potrebbe essere diverso a causa dell'aggregazione aggiuntiva applicata automaticamente da Analisi dei log.

• I percorsi JSON devono essere convertiti in stringhe e numeri per essere rappresentati in un grafico.

Passaggi successivi

• Per una panoramica di Analisi dei log, consulta Panoramica delle query e dell'analisi dei log.

• Per query di esempio, vedi Query SQL di esempio.

• Per scoprire come analizzare i log di controllo utilizzando Analisi dei log, consulta Query SQL per gli approfondimenti sulla sicurezza.