Logdaten mit CloudWatch Logs Insights analysieren - CloudWatch Amazon-Protokolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Logdaten mit CloudWatch Logs Insights analysieren

Mit CloudWatch Logs Insights können Sie Ihre Protokolldaten in Amazon CloudWatch Logs interaktiv suchen und analysieren. Sie können Abfragen durchführen, die Ihnen helfen, schnell und effektiv auf betriebliche Probleme zu reagieren. Wenn ein Problem auftritt, können Sie CloudWatch Logs Insights verwenden, um mögliche Ursachen zu identifizieren und bereitgestellte Fixes zu validieren.

CloudWatch Logs Insights unterstützt drei Abfragesprachen, die Sie für Ihre Abfragen verwenden können:

  • Eine speziell entwickelte Logs Insights-Abfragesprache (Logs Insights QL) mit einigen einfachen, aber leistungsstarken Befehlen.

  • OpenSearch Service Piped Processing Language (PPL). OpenSearch PPL ermöglicht es Ihnen, Ihre Logs mithilfe einer Reihe von Befehlen zu analysieren, die durch Pipes (|) getrennt sind.

    Mit OpenSearch PPL können Sie Daten abrufen, abfragen und analysieren, indem Sie Befehle verwenden, die in der Pipeline zusammengefasst sind, was das Verständnis und die Erstellung komplexer Abfragen erleichtert. Die Syntax ermöglicht die Verkettung von Befehlen zur Transformation und Verarbeitung von Daten. Mit PPL können Sie Daten filtern und aggregieren und eine Vielzahl von mathematischen, Zeichenketten-, Datums-, Bedingungs- und anderen Funktionen für die Analyse verwenden.

  • OpenSearch Service Structured Query Language (SQL). Mit OpenSearch SQL-Abfragen können Sie Ihre Logs deklarativ analysieren. Sie können Befehle wie SELECT, FROM, WHERE, GROUP BY, HAVING und verschiedene andere Befehle und Funktionen verwenden, die in SQL verfügbar sind. Sie können JOINs loggruppenübergreifend ausführen, Daten mithilfe von Unterabfragen protokollübergreifend korrelieren und die umfangreiche Palette von JSON-, mathematischen, String-, Conditional- und anderen SQL-Funktionen verwenden, um leistungsstarke Analysen von Protokollen durchzuführen.

    Wenn Sie entweder SQL- oder PPL-Befehle verwenden, achten Sie darauf, Felder mit Sonderzeichen (nicht alphabetisch und nicht numerisch) in Backticks einzuschließen, um sie erfolgreich abzufragen. Schließen Sie beispielsweise, und in Backticks ein. @message Operation.Export Test::Field Sie müssen Felder mit rein alphabetischen Namen nicht in Backticks einschließen.

Wichtig

Um die Sicherheit von CloudWatch Logs Insights-Abfragen zu erhöhen, müssen Benutzer ab dem 31. Juli 2025 sowohl mit den logs:StartQuery als auch als angemeldet seinlogs:GetQueryResults, um Abfragen in der Konsole ausführen zu können. CloudWatch Nach diesem Datum können Benutzer, die nicht über diese beiden Berechtigungen verfügen, keine Abfrageergebnisse mehr in der Konsole anzeigen. Stattdessen wird eine Bannermeldung angezeigt, wenn sie versuchen, Abfrageergebnisse in der Konsole anzuzeigen.

Nach der Änderung entsprechen die erforderlichen Berechtigungen für das Konsolenerlebnis den aktuell erforderlichen Berechtigungen für SDK und AWS CLI Benutzer, die das StartQuery und verwenden GetQueryResults APIs.

Informationen zum Erstellen von IAM-Richtlinien oder zum Hinzufügen von Berechtigungen zu vorhandenen Richtlinien finden Sie unter Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien und Bearbeiten von IAM-Richtlinien im IAM-Benutzerhandbuch.

CloudWatch Logs Insights bietet die folgenden Funktionen, die mit allen Abfragesprachen verwendet werden können.

  • Automatische Erkennung von Protokollfeldern in Protokollen von AWS Diensten wie Amazon Route 53, AWS Lambda AWS CloudTrail, und Amazon VPC sowie in allen Anwendungen oder benutzerdefinierten Protokollen, die Protokollereignisse als JSON ausgeben.

  • Erstellung von Feldindizes, um Kosten zu senken und Ergebnisse zu beschleunigen, insbesondere bei Abfragen einer großen Anzahl von Protokollgruppen oder Protokollereignissen. Nachdem Sie Feldindizes für Felder erstellt haben, die in Ihren Protokollereignissen häufig vorkommen, können Sie sie in einer Abfrage verwenden. Die Abfrage überspringt die Verarbeitung von Protokollereignissen, von denen bekannt ist, dass sie das indizierte Feld nicht enthalten, und verarbeitet weniger Daten.

    Anmerkung

    Der filterIndex Befehl ist nur in Logs Insights QL verfügbar.

  • Erkennung und Analyse von Mustern in Ihren Protokollereignissen. Ein Muster ist eine gemeinsame Textstruktur, die sich in Ihren Protokollfeldern wiederholt. Wenn Sie sich die Ergebnisse einer Abfrage ansehen, können Sie die Registerkarte Muster wählen, um sich die Muster anzusehen, die CloudWatch Logs anhand einer Stichprobe Ihrer Ergebnisse gefunden hat.

  • Abfragen speichern, Ihren Abfrageverlauf einsehen und gespeicherte Abfragen erneut ausführen. Dies kann Ihnen helfen, bei Bedarf komplexe Abfragen auszuführen, ohne sie jedes Mal neu erstellen zu müssen, wenn Sie diese ausführen möchten.

  • Hinzufügen von Abfragen zu Dashboards

  • Verschlüsseln von Abfrageergebnissen mit. AWS Key Management Service

Die folgenden CloudWatch Logs Insights-Funktionen werden nur unterstützt, wenn Sie Logs Insights QL verwenden.

Wichtig

CloudWatch Logs Insights kann nicht auf Protokollereignisse zugreifen, deren Zeitstempel vor der Erstellung der Protokollgruppe liegen.

Wenn Sie mit einem Konto angemeldet sind, das als Überwachungskonto für CloudWatch kontoübergreifende Observability eingerichtet wurde, können Sie CloudWatch Logs Insights-Abfragen für Protokollgruppen in Quellkonten ausführen, die mit diesem Überwachungskonto verknüpft sind. Sie können eine Abfrage ausführen, die mehrere Protokollgruppen abfragt, die sich in verschiedenen Konten befinden. Weitere Informationen finden Sie unter Kontoübergreifende Beobachtbarkeit von CloudWatch .

Wenn Sie Abfragen mit Logs Insights QL erstellen, können Sie CloudWatch Logs Insights-Abfragen auch in natürlicher Sprache erstellen. Stellen Sie dazu Fragen zu den Daten, nach denen Sie suchen, oder beschreiben Sie sie. Diese KI-gestützte Funktion generiert auf der Grundlage Ihrer Eingabeaufforderung eine Abfrage und line-by-line erklärt, wie die Abfrage funktioniert. Weitere Informationen finden Sie unter Verwenden natürlicher Sprache zum Generieren und Aktualisieren von CloudWatch Logs Insights-Abfragen.

Abfragen, die eine der unterstützten Abfragesprachen verwenden, laufen nach 60 Minuten ab, wenn sie nicht abgeschlossen wurden. Die Abfrageergebnisse sind sieben Tage lang verfügbar.

CloudWatch Für Logs Insights-Abfragen fallen Gebühren an, die auf der abgefragten Datenmenge basieren, unabhängig von der Abfragesprache. Weitere Informationen finden Sie unter CloudWatch Amazon-Preise.

Sie können CloudWatch Logs Insights verwenden, um nach Protokolldaten zu suchen, die am 5. November 2018 oder später an CloudWatch Logs gesendet wurden.

Wichtig

Wenn Ihr Netzwerksicherheitsteam die Verwendung von Web-Sockets nicht zulässt, können Sie derzeit nicht auf den CloudWatch Logs Insights-Bereich der CloudWatch Konsole zugreifen. Sie können die CloudWatch Logs Insights-Abfragefunktionen verwenden mit APIs. Weitere Informationen finden Sie StartQueryin der Amazon CloudWatch Logs API-Referenz.