Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Erste Schritte mit Logs Insights QL: Query tutorials
<a name="CWL_AnalyzeLogData_Tutorials"></a>

Die folgenden Abschnitte enthalten Beispiel-Tutorials für Abfragen, die Ihnen den Einstieg in Logs Insights QL erleichtern.

**Topics**
+ [Tutorial: Ausführen und Ändern einer Beispielabfrage](CWL_AnalyzeLogData_RunSampleQuery.md)
+ [Tutorial: Ausführen einer Abfrage mit einer Aggregationsfunktion](CWL_AnalyzeLogData_AggregationQuery.md)
+ [Tutorial: Ausführen einer Abfrage, die eine nach Protokollfeldern gruppierte Visualisierung erzeugt](CWL_AnalyzeLogData_VisualizationFieldQuery.md)
+ [Tutorial: Ausführen einer Abfrage, die eine Visualisierung von Zeitreihen erzeugt](CWL_AnalyzeLogData_VisualizationQuery.md)

# Tutorial: Ausführen und Ändern einer Beispielabfrage
<a name="CWL_AnalyzeLogData_RunSampleQuery"></a>

Das folgende Tutorial hilft Ihnen bei den ersten Schritten mit CloudWatch Logs Insights. Sie führen eine Beispielabfrage in Logs Insights QL aus und sehen dann, wie Sie sie ändern und erneut ausführen können.

Um eine Abfrage ausführen zu können, müssen Sie bereits CloudWatch Protokolle in Logs gespeichert haben. Wenn Sie Logs bereits verwenden und CloudWatch Log-Gruppen und Log-Streams eingerichtet haben, können Sie loslegen. Möglicherweise verfügen Sie auch bereits über Protokolle AWS CloudTrail, wenn Sie Dienste wie Amazon Route 53 oder Amazon VPC verwenden und Sie Protokolle von diesen Diensten so eingerichtet haben, dass sie in CloudWatch Logs gespeichert werden. Weitere Informationen zum Senden von Protokollen an CloudWatch Logs finden Sie unter[Erste Schritte mit CloudWatch Logs](CWL_GettingStarted.md).

Abfragen in CloudWatch Logs Insights geben entweder eine Reihe von Feldern aus Protokollereignissen oder das Ergebnis einer mathematischen Aggregation oder eines anderen Vorgangs zurück, der mit Protokollereignissen ausgeführt wurde. Dieses Tutorial demonstriert eine Abfrage, die eine Liste von Protokollereignissen zurückgibt.

## Ausführen einer Beispielabfrage
<a name="CWL_AnalyzeLogData_RunQuerySample"></a>

**Um eine CloudWatch Logs Insights-Beispielabfrage auszuführen**

1. Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Wählen Sie im Navigationsbereich **Logs** (Protokolle) und dann **Logs Insights** aus.

   Auf der **Logs Insights-Seite** enthält der Abfrage-Editor eine Standardabfrage in Logs Insights QL, die die 20 neuesten Protokollereignisse zurückgibt.

1. Wählen Sie in der Dropdownliste **Select log group(s)** (Protokollgruppe(n) auswählen) eine oder mehrere Protokollgruppen aus, die abgefragt werden sollen.

    Wenn es sich um ein Überwachungskonto mit CloudWatch kontenübergreifender Observability handelt, können Sie Protokollgruppen sowohl in den Quellkonten als auch im Überwachungskonto auswählen. Mit einer einzigen Abfrage können Protokolle von verschiedenen Konten gleichzeitig abgefragt werden.

   Sie können die Protokollgruppen nach dem Namen der Protokollgruppe, der Konto-ID oder der Kontobezeichnung filtern.

   Wenn Sie eine Protokollgruppe in der Standard-Protokollklasse auswählen, erkennt CloudWatch Logs Insights automatisch Datenfelder in der Gruppe. Um diese erkannten Felder anzuzeigen, wählen Sie das Menü **Fields** (Felder) oben rechts auf der Seite aus.
**Anmerkung**  
Entdeckte Felder werden nur für Protokollgruppen der Standard-Protokollklasse unterstützt. Weitere Hinweise zu Protokollklassen finden Sie unter[Klassen protokollieren](CloudWatch_Logs_Log_Classes.md).

1. (Optional) Verwenden Sie die Zeitintervallauswahl, um einen Zeitraum auszuwählen, den Sie abfragen möchten.

   Sie können zwischen Intervallen von 5 bis 30 Minuten, Intervallen von 1, 3 und 12 Stunden oder einem benutzerdefinierten Zeitrahmen wählen.

1. Klicken Sie auf **Run** (Ausführen), um die Ergebnisse anzuzeigen.

   Für dieses Tutorial enthalten die Ergebnisse die 20 zuletzt hinzugefügten Protokollereignisse.

   CloudWatch Logs zeigt ein Balkendiagramm der Protokollereignisse in der Protokollgruppe im Zeitverlauf an. Das Balkendiagramm zeigt nicht nur die Ereignisse in der Tabelle, sondern auch die Verteilung der Ereignisse in der Protokollgruppe, die der Abfrage und dem Zeitrahmen entsprechen.

1. Um alle Felder für ein zurückgegebenes Protokollereignis anzuzeigen, wählen Sie das dreieckige Dropdown-Symbol links neben dem nummerierten Ereignis.

## Ändern der Beispielabfrage
<a name="CWL_AnalyzeLogData_ModifySampleQuery"></a>

In diesem Tutorial ändern Sie die Beispielabfrage, um die 50 neuesten Protokollereignisse anzuzeigen.

Wenn Sie das vorherige Tutorial noch nicht ausgeführt haben, tun Sie das jetzt. Dieses Tutorial beginnt dort, wo das vorherige Tutorial endet.

**Anmerkung**  
In einigen Beispielabfragen, die mit CloudWatch Logs Insights bereitgestellt werden, `tail` werden Befehle `head` oder anstelle von verwendet`limit`. Diese Befehle sind veraltet und wurden durch `limit` ersetzt. Verwenden Sie in allen von Ihnen geschriebenen Abfragen `limit` anstelle von `head` oder `tail`.

**Um die CloudWatch Logs Insights-Beispielabfrage zu ändern**

1. Ändern Sie im Abfrage-Editor **20** in **50**. Wählen Sie anschließend **Run (Ausführen)** aus.

   Die Ergebnisse der neuen Abfrage werden angezeigt. Unter der Annahme, dass in der Protokollgruppe im Standardzeitraum genügend Daten vorhanden sind, werden nun 50 Protokollereignisse aufgelistet.

1. (Optional) Sie können Abfragen speichern, die Sie erstellt haben. Um diese Abfrage zu speichern, wählen Sie **Speichern** aus. Weitere Informationen finden Sie unter [Speichern Sie CloudWatch Logs Insights-Abfragen und führen Sie sie erneut aus](CWL_Insights-Saving-Queries.md).

## Hinzufügen eines Filterbefehls zur Beispielabfrage
<a name="CWL_AnalyzeLogData_FilterQuery"></a>

Dieses Tutorial zeigt, wie Sie eine umfangreichere Änderung der Abfrage im Abfrageeditor vornehmen können. In diesem Tutorial filtern Sie die Ergebnisse der vorherigen Abfrage basierend auf einem Feld in den abgerufenen Protokollereignissen.

Wenn Sie die vorherigen Tutorials noch nicht ausgeführt haben, tun Sie das jetzt. Dieses Tutorial beginnt dort, wo das vorherige Tutorial endet.

**So fügen Sie der vorherigen Abfrage einen Filterbefehl hinzu**

1. Entscheiden Sie sich für ein zu filterndes Feld. **Wählen Sie rechts auf der Seite Felder aus, um die häufigsten Felder anzuzeigen, die CloudWatch Logs in den letzten 15 Minuten in den Protokollereignissen in den ausgewählten Protokollgruppen erkannt hat, sowie den Prozentsatz dieser Protokollereignisse, in denen jedes Feld vorkommt.**

   Um die in einem bestimmten Protokollereignis enthaltenen Felder anzuzeigen, wählen Sie das Symbol links neben dieser Zeile aus.

   Möglicherweise wird das Feld **awsRegion** im Protokollereignis angezeigt. Dies ist von den Ereignissen abhängig, die in Ihren Protokollen enthalten sind. Im Rest dieses Tutorials verwenden Sie **awsRegion** als Filterfeld. Sie können jedoch auch ein anderes Feld verwenden, wenn dieses Feld nicht verfügbar ist.

1. Positionieren Sie den Cursor im Feld des Abfrageeditors hinter **50**, und drücken Sie die Eingabetaste.

1. Geben Sie in der neuen Zeile zunächst \$1 (das Pipe-Zeichen) und ein Leerzeichen ein. Befehle in einer CloudWatch Logs Insights-Abfrage müssen durch einen senkrechten Strich getrennt werden.

1. Geben Sie **filter awsRegion="us-east-1"** ein.

1. Klicken Sie auf **Ausführen**.

   Die Abfrage läuft erneut und zeigt nun die 50 neuesten Ergebnisse an, die dem neuen Filter entsprechen.

   Wenn Sie nach einem anderen Feld gefiltert haben und ein Fehlerergebnis erhalten haben, müssen Sie möglicherweise den Feldnamen maskieren. Wenn der Feldname auch andere als alphanumerische Zeichen enthält, müssen Sie vor und nach dem Feldnamen Backtick-Zeichen (`) verwenden (z. B. **`error-code`="102"**).

   Sie müssen die Backtick-Zeichen für Feldnamen verwenden, die auch andere als alphanumerische Zeichen enthalten, nicht jedoch für Werte. Werte sind stets von Anführungszeichen (") umschlossen.

Logs Insights QL umfasst leistungsstarke Abfragefunktionen, darunter mehrere Befehle und Unterstützung für reguläre Ausdrücke sowie mathematische und statistische Operationen. Weitere Informationen finden Sie unter [CloudWatch Abfragesyntax in Logs Insights](CWL_QuerySyntax.md).

# Tutorial: Ausführen einer Abfrage mit einer Aggregationsfunktion
<a name="CWL_AnalyzeLogData_AggregationQuery"></a>

Sie können Aggregationsfunktionen im Befehl `stats` sowie als Argumente für andere Funktionen verwenden. In diesem Tutorial führen Sie einen Abfragebefehl aus, der die Anzahl der Protokollereignisse zählt, die ein angegebenes Feld enthalten. Der Abfragebefehl gibt eine Gesamtzahl zurück, die nach dem Wert oder den Werten des angegebenen Felds gruppiert ist. Weitere Informationen zu Aggregationsfunktionen finden Sie unter [Unterstützte Operationen und Funktionen](https://docs.aws.amazon.com/en_us/AmazonCloudWatch/latest/logs/CWL_QuerySyntax.html#CWL_QuerySyntax-operations-functions) im *Amazon CloudWatch Logs-Benutzerhandbuch*.

**Ausführen einer Abfrage mit einer Aggregationsfunktion**

1. Öffnen Sie die CloudWatch Konsole unter. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)

1. Wählen Sie im Navigationsbereich **Logs** (Protokolle) und dann **Logs Insights** aus.

1. Vergewissern Sie sich, dass die Registerkarte **Logs Insights QL** ausgewählt ist.

1. Wählen Sie in der Dropdownliste **Select log group(s)** (Protokollgruppe(n) auswählen) eine oder mehrere Protokollgruppen aus, die abgefragt werden sollen.

    Wenn es sich um ein Überwachungskonto mit CloudWatch kontenübergreifender Observability handelt, können Sie Protokollgruppen sowohl in den Quellkonten als auch im Überwachungskonto auswählen. Mit einer einzigen Abfrage können Protokolle von verschiedenen Konten gleichzeitig abgefragt werden.

   Sie können die Protokollgruppen nach dem Namen der Protokollgruppe, der Konto-ID oder der Kontobezeichnung filtern.

   Wenn Sie eine Protokollgruppe auswählen, erkennt CloudWatch Logs Insights automatisch Datenfelder in der Protokollgruppe, wenn es sich um eine Protokollgruppe der Standardklasse handelt. Um diese erkannten Felder anzuzeigen, wählen Sie das Menü **Fields** (Felder) oben rechts auf der Seite aus.

1. Löschen Sie die Standardabfrage im Abfrage-Editor und geben Sie den folgenden Befehl ein:

   ```
   stats count(*) by fieldName
   ```

1. *fieldName*Ersetzen Sie es durch ein erkanntes Feld aus dem Menü „**Felder**“.

   Das Menü „**Felder**“ befindet sich oben rechts auf der Seite und zeigt alle erkannten Felder an, die CloudWatch Logs Insights in Ihrer Protokollgruppe erkennt.

1. Klicken Sie auf **Run** (Ausführen), um die Abfrageergebnisse anzuzeigen.

   Die Abfrageergebnisse zeigen die Anzahl der Datensätze in Ihrer Protokollgruppe, die mit dem Abfragebefehl übereinstimmen, und die Gesamtzahl, die nach dem Wert oder den Werten des angegebenen Felds gruppiert ist.

# Tutorial: Ausführen einer Abfrage, die eine nach Protokollfeldern gruppierte Visualisierung erzeugt
<a name="CWL_AnalyzeLogData_VisualizationFieldQuery"></a>

Wenn Sie eine Abfrage ausführen, die die zurückgegebenen Ergebnisse über die Funktion `stats` nach den Werten von einem oder mehreren Feldern in den Protokolleinträgen gruppiert, können Sie die Ergebnisse als Balken-, Kreis-, Linien- oder gestapeltes Flächendiagramm aufrufen. Auf diese Weise können Sie Trends in Ihren Protokollen effizienter visualisieren.

**So führen Sie eine Abfrage zur Visualisierung durch**

1. Öffnen Sie die CloudWatch Konsole unter [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).

1. Wählen Sie im Navigationsbereich **Logs** (Protokolle) und dann **Logs Insights** aus.

1. Wählen Sie in der Dropdownliste **Select log group(s)** (Protokollgruppe(n) auswählen) eine oder mehrere Protokollgruppen aus, die abgefragt werden sollen.

    Wenn es sich um ein Überwachungskonto mit CloudWatch kontenübergreifender Observability handelt, können Sie Protokollgruppen sowohl in den Quellkonten als auch im Überwachungskonto auswählen. Mit einer einzigen Abfrage können Protokolle von verschiedenen Konten gleichzeitig abgefragt werden.

   Sie können die Protokollgruppen nach dem Namen der Protokollgruppe, der Konto-ID oder der Kontobezeichnung filtern.

1. Löschen Sie im Abfrageeditor den aktuellen Inhalt, geben Sie dann die folgende `stats`-Funktion ein und klicken Sie auf **Abfrage ausführen**.

   ```
   stats count(*) by @logStream 
       | limit 100
   ```

   Die Ergebnisse zeigen für jeden Protokolldatenstrom die Anzahl der Protokollereignisse in der Protokollgruppe. Die Ergebnisse sind auf nur 100 Zeilen begrenzt.

1. Wählen Sie die Registerkarte **Visualization (Visualisierung)** aus.

1. Wählen Sie den Pfeil neben **Line (Zeile)** aus. Wählen Sie anschließend **Bar (Balken)** aus.

   Das Balkendiagramm wird angezeigt, wobei jeder Protokolldatenstrom in der Protokollgruppe von einem Balken dargestellt wird.

# Tutorial: Ausführen einer Abfrage, die eine Visualisierung von Zeitreihen erzeugt
<a name="CWL_AnalyzeLogData_VisualizationQuery"></a>

Wenn Sie eine Abfrage ausführen, die die zurückgegebenen Ergebnisse über die Funktion `bin()` nach einem Zeitraum gruppiert, können Sie die Ergebnisse als Linien-, Balken- oder gestapeltes Flächendiagramm anzeigen. Auf diese Weise können Sie Trends in Protokollereignissen im Laufe der Zeit effizienter visualisieren.

**So führen Sie eine Abfrage zur Visualisierung durch**

1. Öffnen Sie die CloudWatch Konsole unter. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)

1. Wählen Sie im Navigationsbereich **Logs** (Protokolle) und dann **Logs Insights** aus.

1. Vergewissern Sie sich, dass die Registerkarte **Logs Insights QL** ausgewählt ist.

1. Wählen Sie in der Dropdownliste **Select log group(s)** (Protokollgruppe(n) auswählen) eine oder mehrere Protokollgruppen aus, die abgefragt werden sollen.

    Wenn es sich um ein Überwachungskonto mit CloudWatch kontenübergreifender Observability handelt, können Sie Protokollgruppen sowohl in den Quellkonten als auch im Überwachungskonto auswählen. Mit einer einzigen Abfrage können Protokolle von verschiedenen Konten gleichzeitig abgefragt werden.

   Sie können die Protokollgruppen nach dem Namen der Protokollgruppe, der Konto-ID oder der Kontobezeichnung filtern.

1. Löschen Sie im Abfrageeditor den aktuellen Inhalt, geben Sie dann die folgende `stats`-Funktion ein und klicken Sie auf **Abfrage ausführen**.

   ```
   stats count(*) by bin(30s)
   ```

   Die Ergebnisse zeigen die Anzahl der Protokollereignisse in der Protokollgruppe, die von CloudWatch Logs für jeden Zeitraum von 30 Sekunden empfangen wurden.

1. Wählen Sie die Registerkarte **Visualization (Visualisierung)** aus.

   Die Ergebnisse werden als Liniendiagramm dargestellt. Um zu einem Balken-, Kreis- oder gestapelten Flächendiagramm zu wechseln, wählen Sie oben Links im Diagramm auf den Pfeil neben **Line (Linie)**.