Tutorial: ejecutar y modificar una consulta de muestra - Amazon CloudWatch Logs
Ejecutar una consulta de muestraModificar la consulta de muestraAgregar un comando de filtro a la consulta de muestra

Tutorial: ejecutar y modificar una consulta de muestra

El siguiente tutorial puede resultar de ayuda para familiarizarse con Información de registros de CloudWatch. Se ejecute una consulta de muestra en Logs Insights QL y, a continuación, verá cómo modificarla y volverla a ejecutar.

Para ejecutar una consulta, debe disponer de registros almacenados en Registros de CloudWatch. Si ya utiliza Registros de CloudWatch, tiene configurados grupos de registro y flujos de registros, está listo para comenzar. Es posible que también ya tenga registros si utiliza servicios, como AWS CloudTrail, Amazon Route 53 o Amazon VPC, y configuró los registros de dichos servicios para ir a Registros de CloudWatch. Para obtener más información sobre el envío de registros a Registros de CloudWatch, consulte Introducción a CloudWatch Logs.

Las consultas en Información de registros de CloudWatch devuelven un conjunto de campos de eventos de registro, o el resultado de una agregación matemática u otra operación realizada en eventos de registro. Este tutorial muestra una consulta que devuelve una lista de eventos de registro.

Ejecutar una consulta de muestra

Para ejecutar una consulta de muestra de Información de registros de CloudWatch

  1. Abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.

  2. En el panel de navegación, elija Registros y, luego, Información de registros.

    En la página Información de registros, el editor de consultas contiene una consulta predeterminada en Logs Insights QL que devuelve los 20 eventos de registro más recientes.

  3. En el menú desplegable Select log group(s) (Seleccionar grupos de registro), elija uno o varios grupos de registro que va a consultar.

    Si se trata de una cuenta de monitoreo para la observabilidad entre cuentas de CloudWatch, puede seleccionar grupos de registro en las cuentas de origen y en la cuenta de monitoreo. Una sola consulta puede ejecutarse en registros de diferentes cuentas a la vez.

    Puede filtrar los grupos de registro por nombre de grupo de registro, ID de cuenta o etiqueta de cuenta.

    Al seleccionar un grupo de registro en la clase de registro Estándar, Información de registros de CloudWatch detecta de forma automática los campos de datos del grupo de registro. Para ver estos campos detectados, seleccione el menú Fields (Campos) cerca de la parte superior derecha de la página.

    nota

    Los campos detectados solo son compatibles con los grupos de registro de la clase de registro Estándar. Para obtener más información acerca de las clases de registros, consulte Clases de registro.

  4. (Opcional) Utilice el selector de tiempo para seleccionar el periodo de tiempo que desea consultar.

    Puede elegir entre intervalos de 5 a 30 minutos; intervalos de 1, 3 y 12 horas; o un marco temporal personalizado.

  5. Elija Run (Ejecutar) para ver los resultados.

    En este tutorial, los resultados incluyen los 20 eventos de registro agregados más recientemente.

    Registros de CloudWatch muestra un gráfico de barras de eventos de registro en este grupo de registro con el paso del tiempo. Este gráfico de barras muestra no solo los eventos de la tabla, sino también la distribución de eventos del grupo de registro que coincide con la consulta y el intervalo de tiempo.

  6. Para ver todos los campos de un evento de registro devuelto, elija el icono desplegable triangular a la izquierda del evento numerado.

Modificar la consulta de muestra

En este tutorial, debe modificar la consulta de muestra para mostrar los 50 eventos de registro más recientes.

Si aún no ha ejecutado el tutorial anterior, hágalo ahora. Este tutorial comienza donde finaliza el tutorial anterior.

nota

Algunas consultas de muestra proporcionadas con Información de registros de CloudWatch utilizan los comandos head o tail en lugar de limit. Estos comandos están obsoletos y se han sustituido por limit. Utilice limit en lugar de head o tail en todas las consultas que escriba.

Para modificar la consulta de muestra de Información de registros de CloudWatch

  1. En el editor de consultas, cambie 20 a 50 y, a continuación, elija Ejecutar.

    Aparecen los resultados de la nueva consulta. Suponiendo que haya suficientes datos en el grupo de registro en el intervalo de tiempo predeterminado, ahora hay 50 eventos de registro en la lista.

  2. (Opcional) Puede guardar las consultas que haya creado. Para guardar esta consulta, elija Save (Guardar). Para obtener más información, consulte Guarde y vuelva a ejecutar las consultas de Información de registros de Amazon CloudWatch.

Agregar un comando de filtro a la consulta de muestra

En este tutorial se muestra cómo realizar un cambio más potente en la consulta en el editor de consultas. En este tutorial, se filtran los resultados de la consulta anterior en función de un campo de los eventos de registro recuperados.

Si aún no ha ejecutado los tutoriales anteriores, hágalo ahora. Este tutorial comienza donde finaliza el tutorial anterior.

Para añadir un comando de filtro a la consulta anterior

  1. Decida un campo que filtrar. Para ver los campos más frecuentes que Registros de CloudWatch detectó en los eventos de registro contenidos en los grupos de registro seleccionados en los últimos 15 minutos y el porcentaje de esos eventos de registro en los que aparece cada campo, seleccione Fields (Campos) en el lado derecho de la página.

    Para ver los campos contenidos en un evento de registro determinado, elija el icono que aparece a la izquierda de dicha fila.

    El campo awsRegion podría aparecer en su evento de registro, en función de los eventos que se encuentren en sus registros. En el resto de este tutorial, utilizaremos awsRegion como campo de filtro, pero puede utilizar un campo diferente si ese campo no está disponible.

  2. En el editor de consultas, coloque el cursor después de 50 y pulse Intro.

  3. En la nueva línea, introduzca | (la barra vertical) y un espacio. Los comandos de una consulta de Información de registros de CloudWatch deben ir separados por el carácter de barra.

  4. Escriba filter awsRegion="us-east-1".

  5. Seleccione Ejecutar.

    La consulta se ejecuta de nuevo, y ahora muestra el 50 resultados más recientes que coinciden con el nuevo filtro.

    Si filtra en otro campo diferente y recibe un resultado erróneo, es posible que sea necesario aplicar escape al nombre de campo. Si el nombre de campo incluye caracteres no alfanuméricos, debe volver a poner acentos graves (') antes y después del nombre de campo: por ejemplo, `error-code`="102").

    Debe utilizar los caracteres graves para los nombres de campo que contengan caracteres no alfanuméricos, pero no para los valores. Los valores siempre van entre comillas (“”).

Logs Insights QL incluye potentes capacidades de consulta, incluidos varios comandos y compatibilidad con expresiones regulares, operaciones matemáticas y operaciones estadísticas. Para obtener más información, consulte Sintaxis de consulta de la Información de registros de CloudWatch.