Erstellen Sie eine Contributor Insights-Regel in CloudWatch - Amazon CloudWatch

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie eine Contributor Insights-Regel in CloudWatch

Sie können Regeln zum Analysieren von Protokolldaten erstellen. Alle Protokolle im JSON- oder CLF-Format (Common Log Format) können ausgewertet werden. Dazu gehören Ihre benutzerdefinierten Protokolle, die einem dieser Formate folgen, und Protokolle von AWS Diensten wie Amazon VPC-Flussprotokollen, Amazon Route 53-DNS-Abfrageprotokollen, Amazon ECS-Container-Protokollen und Protokollen von AWS CloudTrail Amazon SageMaker AI, Amazon RDS AWS AppSync und API Gateway.

Wenn Sie in einer Regel Feldnamen oder -werte angeben, wird bei allen Übereinstimmungen die Groß- und Kleinschreibung beachtet.

Sie können integrierte Beispielregeln verwenden, wenn Sie eine Regel erstellen, oder Ihre eigene Regel von Grund auf neu erstellen. Contributor Insights enthält Beispielregeln für die folgenden Protokolltypen:

  • Amazon-API-Gateway-Protokolle

  • Öffentliche DNS-Abfrageprotokolle von Amazon Route 53

  • Amazon-Route-53-Resolver-Abfrageprotokolle

  • CloudWatch Container Insights-Protokolle

  • VPC Flow Logs

Wenn Sie mit einem Konto angemeldet sind, das als Überwachungskonto mit CloudWatch kontenübergreifender Observability eingerichtet ist, können Sie Contributor Insights-Regeln für Protokollgruppen in den Quellkonten erstellen, die mit diesem Überwachungskonto verknüpft sind, zusätzlich zu den Regeln für Protokollgruppen im Überwachungskonto. Sie können auch eine einzelne Regel einrichten, die Protokollgruppen in verschiedenen Konten überwacht. Weitere Informationen finden Sie unter CloudWatch kontenübergreifende Beobachtbarkeit.

Wichtig

Wenn Sie einem Benutzer die cloudwatch:PutInsightRule Berechtigung erteilen, kann dieser Benutzer standardmäßig eine Regel erstellen, die jede Protokollgruppe in Logs auswertet. CloudWatch Sie können IAM-Richtlinienbedingungen hinzufügen, die diese Berechtigungen für einen Benutzer einschränken, um bestimmte Protokollgruppen einzuschließen und auszuschließen. Weitere Informationen finden Sie unter Verwenden von Bedingungsschlüsseln, um den Zugriff von Contributor-Insights-Benutzern auf Protokollgruppen einzuschränken.

So erstellen Sie eine Regel mit einer integrierten Beispielregel:

  1. Öffnen Sie die CloudWatch Konsole unter. https://console.aws.amazon.com/cloudwatch/

  2. Wählen Sie im Navigationsbereich Logs, Contributor Insights aus.

  3. Wählen Sie Regel erstellen aus.

  4. Wählen Sie für Log group(s) (Protokollgruppe(n)) die Protokollgruppe(n) aus, die von der Regel überwacht werden sollen. Sie können bis zu 20 Protokollgruppen auswählen. Wenn Sie bei einem Überwachungskonto angemeldet sind, das für CloudWatch kontoübergreifende Beobachtbarkeit eingerichtet ist, können Sie Protokollgruppen in Quellkonten auswählen und auch eine einzige Regel einrichten, um Protokollgruppen in verschiedenen Konten zu analysieren.

    1. (Optional) Um alle Protokollgruppen auszuwählen, die Namen haben, die mit einer bestimmten Zeichenfolge beginnen, wählen Sie aus dem Dropdown-Menü Select by prefix match (Nach Präfixübereinstimmung auswählen) aus und geben Sie dann das Präfix ein. Wenn es sich um ein Überwachungskonto handelt, können Sie optional die Konten auswählen, in denen gesucht werden soll. Andernfalls werden alle Konten ausgewählt.

    Anmerkung

    Für jedes Protokollereignis, das Ihrer Regel entspricht, fallen Gebühren an. Wenn Sie aus dem Dropdown-Menü Select by prefix match (Nach Präfixübereinstimmung auswählen) auswählen, sollten Sie sich bewusst sein, mit wie vielen Protokollgruppen das Präfix übereinstimmen kann. Wenn Sie mehr Protokollgruppen suchen, als Sie beabsichtigten, können unerwartete Gebühren anfallen. Weitere Informationen finden Sie unter CloudWatch Amazon-Preise.

  5. Wählen Sie als Rule type (Regeltyp) die Option Sample rule (Beispielregel) aus. Wählen Sie dann Select sample rule (Beispielregel auswählen) und wählen Sie die Regel aus.

  6. Wählen Sie unter Protokollformat das Format der Protokolle aus, die von der Regel ausgewertet werden sollen.

  7. Wählen Sie für Transformers die Option Contributor Insights on Transformers aktivieren aus, damit die Regel Protokollereignisse auswertet, nachdem sie durch CloudWatch Log-Log-Transformation transformiert wurden. Wenn Sie sich dafür entscheiden, dies zu aktivieren:

    • Wenn die Regel Protokollgruppen auswertet, die Transformatoren enthalten, wird die Regel auf die transformierten Versionen der Protokolle angewendet.

    • Wenn die Regel Protokollgruppen auswertet, die keine Transformatoren haben, wird die Regel auf die Originalversionen der Protokolle angewendet.

    Wenn Sie diese Option nicht auswählen, erfolgt die Auswertung anhand der ursprünglichen Protokollereignisse in allen Protokollgruppen, auch in solchen, die die Protokolltransformation verwenden.

    Anmerkung

    Wenn eine Protokollgruppe über einen Transformator verfügt und die Transformation bei einigen Protokollereignissen fehlschlägt, werden diese Protokollereignisse nicht von Contributor Insights ausgewertet. Informationen zur Untersuchung von Fehlern bei der Protokolltransformation finden Sie unter Transformationsmetriken und Fehler.

  8. Die von Ihnen gewählte Beispielregel hat die Felder Protokollformat, Beitrag, Filter und Aggregation ausgefüllt. Sie können diese Werte anpassen, wenn Sie möchten.

  9. Wählen Sie Weiter aus.

  10. Geben Sie unter Rule name (Name der Regel) einen Namen ein. Gültige Zeichen sind A-Z, a-z, 0-9, (Bindestrich), (Unterstrich) und (Punkt).

  11. Wählen Sie aus, ob die Regel in einem deaktivierten oder aktivierten Zustand erstellt werden soll. Wenn Sie sie aktivieren, beginnt sie sofort mit der Analyse Ihrer Daten. Wenn Sie aktivierte Regeln ausführen, fallen Kosten an. Weitere Informationen finden Sie unter Amazon CloudWatch – Preise.

    Contributor Insights analysiert nur neue Protokollereignisse, nachdem eine Regel erstellt wurde. Eine Regel kann keine Protokollereignisse verarbeiten, die zuvor von CloudWatch Logs verarbeitet wurden.

  12. (Optional) Fügen Sie unter Tags ein oder mehrere Schlüssel/Wert-Paare als Tags für diese Gruppe hinzu. Mithilfe von Stichwörtern können Sie Ihre AWS Ressourcen identifizieren und organisieren und Ihre AWS Kosten verfolgen. Weitere Informationen finden Sie unter Verschlagworten Sie Ihre Amazon-Ressourcen CloudWatch .

  13. Wählen Sie Erstellen aus.

So erstellen Sie eine Regel von Grund auf neu:

  1. Öffnen Sie die CloudWatch Konsole unter https://console.aws.amazon.com/cloudwatch/.

  2. Wählen Sie im Navigationsbereich Logs, Contributor Insights aus.

  3. Wählen Sie Regel erstellen aus.

  4. Wählen Sie für Log group(s) (Protokollgruppe(n)) die Protokollgruppe(n) aus, die von der Regel überwacht werden sollen. Sie können bis zu 20 Protokollgruppen auswählen. Wenn Sie bei einem Überwachungskonto angemeldet sind, das für CloudWatch kontoübergreifende Beobachtbarkeit eingerichtet ist, können Sie Protokollgruppen in Quellkonten auswählen und auch eine einzige Regel einrichten, um Protokollgruppen in verschiedenen Konten zu analysieren.

    1. (Optional) Um alle Protokollgruppen auszuwählen, die Namen haben, die mit einer bestimmten Zeichenfolge beginnen, wählen Sie aus dem Dropdown-Menü Select by prefix match (Nach Präfixübereinstimmung auswählen) aus und geben Sie dann das Präfix ein.

    Anmerkung

    Für jedes Protokollereignis, das Ihrer Regel entspricht, fallen Gebühren an. Wenn Sie aus dem Dropdown-Menü Select by prefix match (Nach Präfixübereinstimmung auswählen) auswählen, sollten Sie sich bewusst sein, mit wie vielen Protokollgruppen das Präfix übereinstimmen kann. Wenn Sie mehr Protokollgruppen suchen, als Sie beabsichtigten, können unerwartete Gebühren anfallen. Weitere Informationen finden Sie unter CloudWatch Amazon-Preise.

  5. Wählen Sie für Rule type (Regltyp) Custom rule (Standardregel) aus.

  6. Wählen Sie für Protokollformat die Option JSON oder CLF aus.

  7. Wählen Sie für Transformers die Option Contributor Insights on Transformers aktivieren aus, damit die Regel Protokollereignisse auswertet, nachdem sie von CloudWatch Logs Log Transformation transformiert wurden. Wenn Sie sich dafür entscheiden, dies zu aktivieren:

    • Wenn die Regel Protokollgruppen auswertet, die Transformatoren enthalten, wird die Regel auf die transformierten Versionen der Protokolle angewendet.

    • Wenn die Regel Protokollgruppen auswertet, die keine Transformatoren haben, wird die Regel auf die Originalversionen der Protokolle angewendet.

    Wenn Sie diese Option nicht auswählen, erfolgt die Auswertung anhand der ursprünglichen Protokollereignisse in allen Protokollgruppen, auch in solchen, die die Protokolltransformation verwenden.

    Anmerkung

    Wenn eine Protokollgruppe über einen Transformator verfügt und die Transformation bei einigen Protokollereignissen fehlschlägt, werden diese Protokollereignisse nicht von Contributor Insights ausgewertet. Informationen zur Untersuchung von Fehlern bei der Protokolltransformation finden Sie unter Transformationsmetriken und Fehler.

  8. Sie können die Erstellung der Regel über den Assistenten abschließen oder die Registerkarte Syntax auswählen und die Regelsyntax manuell angeben.

    Gehen Sie wie folgt vor, um den Assistenten weiter zu verwenden:

    1. Geben Sie unter Contribution (Beitrag), Key (Schlüssel) einen Contributor-Typ ein, über den Sie einen Bericht wünschen. Der Bericht zeigt die Top-N-Werte für diesen Contributor-Typ an.

      Gültige Einträge sind alle Protokollfelder mit Werten. Beispiele hierfür sind requestId, sourceIPaddress und containerID.

      Informationen zur Suche nach den Namen der Protokollfelder für die Protokolle in einer bestimmten Protokollgruppe finden Sie unter Protokollfelder suchen.

      Schlüssel, die größer als 1 KB sind, werden auf 1 KB gekürzt.

    2. (Optional) Wählen Sie Add new key (Neuen Schlüssel hinzufügen), um weitere Schlüssel hinzuzufügen. Sie können bis zu vier Schlüssel in eine Regel einfügen. Wenn Sie mehrere Schlüssel eingeben, werden die Contributors im Bericht durch eindeutige Wertkombinationen der Schlüssel definiert. Wenn Sie beispielsweise drei Schlüssel angeben, wird jede eindeutige Kombination von Werten für die drei Schlüssel als eindeutiger Contributor gezählt.

    3. (Optional) Wenn Sie einen Filter hinzufügen möchten, um den Umfang Ihrer Ergebnisse einzuschränken, wählen Sie Add filter (Filter hinzufügen) aus. Geben Sie unter Übereinstimmung den Namen des Protokollfelds ein, nach dem Sie filtern möchten. Wählen Sie dann für Bedingung einen Vergleichsoperator aus und geben Sie einen Wert ein, nach dem Sie filtern möchten.

      Sie können einer Regel bis zu vier Filter hinzufügen. Mehrere Filter werden durch die UND-Logik verbunden, so dass nur Protokollereignisse ausgewertet werden, die mit allen Filtern übereinstimmen.

      Anmerkung

      Arrays, die Vergleichsoperatoren folgen, etwa In, NotIn oder StartsWith, können bis zu 10 Zeichenfolgenwerte enthalten. Weitere Informationen zur Syntax von Contributor Insights-Regeln finden Sie unter Contributor Insights-Regelsyntax in CloudWatch.

    4. Wählen Sie für Aggregieren nach die Option Count oder Sum aus. Die Auswahl von Count bewirkt, dass die Contributor-Rangfolge auf der Anzahl der Vorkommen basiert. Wenn Sie SUM wählen, basiert die Rangfolge auf der aggregierten Summe der Werte des Feldes, das Sie für Contribution (Beitrag), Wert angeben.

  9. Gehen Sie folgendermaßen vor, um Ihre Regel als JSON-Objekt einzugeben, anstatt den Assistenten zu verwenden:

    1. Wählen Sie die Registerkarte Syntax aus.

    2. Geben Sie im Regeltext das JSON-Objekt für Ihre Regel ein. Hinweise zur Regelsyntax finden Sie unter Contributor Insights-Regelsyntax in CloudWatch.

  10. Wählen Sie Weiter aus.

  11. Geben Sie unter Rule name (Name der Regel) einen Namen ein. Gültige Zeichen sind A-Z, a-z, 0-9, "-", "_" und ".".

  12. Wählen Sie aus, ob die Regel in einem deaktivierten oder aktivierten Zustand erstellt werden soll. Wenn Sie sie aktivieren, beginnt sie sofort mit der Analyse Ihrer Daten. Wenn Sie aktivierte Regeln ausführen, fallen Kosten an. Weitere Informationen finden Sie unter Amazon CloudWatch – Preise.

    Contributor Insights analysiert nur neue Protokollereignisse, nachdem eine Regel erstellt wurde. Eine Regel kann keine Protokollereignisse verarbeiten, die zuvor von CloudWatch Logs verarbeitet wurden.

  13. (Optional) Fügen Sie unter Tags ein oder mehrere Schlüssel/Wert-Paare als Tags für diese Gruppe hinzu. Mithilfe von Stichwörtern können Sie Ihre AWS Ressourcen identifizieren und organisieren und Ihre AWS Kosten verfolgen. Weitere Informationen finden Sie unter Verschlagworten Sie Ihre Amazon-Ressourcen CloudWatch .

  14. Wählen Sie Weiter aus.

  15. Bestätigen Sie die eingegebenen Einstellungen und wählen Sie Create rule (Regel erstellen).

Sie können Regeln, die Sie erstellt haben, deaktivieren, aktivieren oder löschen.

So aktivieren, deaktivieren oder löschen Sie eine Regel in Contributor Insights

  1. Öffnen Sie die CloudWatch Konsole unter https://console.aws.amazon.com/cloudwatch/.

  2. Wählen Sie im Navigationsbereich Logs, Contributor Insights aus.

  3. Markieren Sie in der Liste der Regeln auf der linken Seite das Kontrollkästchen neben einer einzelnen Regel.

    Integrierte Regeln werden von AWS Diensten erstellt und können nicht bearbeitet, deaktiviert oder gelöscht werden.

  4. Wählen Sie Actions (Aktionen) und dann die gewünschte Option aus.

Suchen von Protokollfeldern

Wenn Sie eine Regel erstellen, müssen Sie die Namen der Felder in den Protokolleinträgen in einer Protokollgruppe kennen.

So suchen Sie die Protokollfelder in einer Protokollgruppe

  1. Öffnen Sie die CloudWatch Konsole unter https://console.aws.amazon.com/cloudwatch/.

  2. Wählen Sie im Navigationsbereich unter Logs, (Protokolle) die Option Insights(Einblicke) aus.

  3. Wählen Sie oberhalb des Abfrage-Editors eine oder mehrere Protokollgruppen aus, die abgefragt werden sollen.

    Wenn Sie eine Protokollgruppe auswählen, erkennt CloudWatch Logs Insights automatisch Felder in den Daten in der Protokollgruppe und zeigt sie im rechten Bereich unter Entdeckte Felder an.