Creación de índices de campo para mejorar el rendimiento de las consultas y reducir el volumen de análisis - Amazon CloudWatch Logs

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Creación de índices de campo para mejorar el rendimiento de las consultas y reducir el volumen de análisis

Se pueden crear índices de campo de los campos de los eventos de registro para realizar búsquedas eficientes y basadas en la igualdad. Cuando, a continuación, utilizas un índice de campos en una consulta de CloudWatch Logs Insights, la consulta intenta omitir el procesamiento de los eventos de registro que se sabe que no incluyen el campo indexado. Esto reduce el volumen de análisis de las consultas que emplean índices de campo, lo que permite devolver resultados con mayor rapidez. Esto puede ayudar a buscar rápidamente petabytes del total de registros en miles de grupos de registros y a centrarse más rápidamente en los registros pertinentes. Los campos adecuados para indexar son aquellos que se necesitan consultar con frecuencia. Los campos que tienen una alta cardinalidad de valores también son buenos candidatos para los índices de campo, ya que una consulta que utilice estos índices de campo se completará más rápido, dado que limita los eventos de registro que coinciden con el valor objetivo.

Supongamos que se ha creado un índice de campo para requestId. Luego, cualquier consulta de CloudWatch Logs Insights sobre ese grupo de registros que incluya requestId = value o requestId IN [value, value, ...] intente procesar solo los eventos de registro que se sabe que contienen ese campo indexado y el valor consultado, y que CloudWatch Logs haya detectado un valor para ese campo en el pasado.

También se pueden aprovechar los índices de campos para crear consultas eficientes de un mayor número de grupos de registros. Si utiliza el comando filterIndex en la consulta en lugar del comando filter, la consulta se ejecutará en grupos de registros seleccionados en los eventos de registro que tengan índices de campo. Estas consultas pueden analizar hasta 10 000 grupos de registros, que se eligen al especificar hasta cinco prefijos de nombre de grupos de registros. Si se trata de una cuenta de monitorización mediante la observación CloudWatch multicuenta, puede elegir todas las cuentas de origen o especificar cuentas de origen individuales para seleccionar los grupos de registros».

Los campos indexados distinguen entre mayúsculas y minúsculas. Por ejemplo, un índice de campo de RequestId no coincidirá con un evento de registro que contenga requestId.

Los índices de campos solo se admiten para los formatos de registro estructurado de JSON y los registros de servicio.

CloudWatch Los registros proporcionan índices de campo predeterminados para todos los grupos de registros de la clase de registros estándar. Los índices de campo predeterminados están disponibles automáticamente para los siguientes campos:

  • @logStream

  • @aws.region

  • @aws.account

  • @source.log

  • @data_source_name

  • @data_source_type

  • @data_format

  • traceId

  • severityText

  • attributes.session.id

CloudWatch Los registros también proporcionan índices de campo predeterminados para determinadas combinaciones de nombres y tipos de fuentes de datos. Los índices de campo predeterminados están disponibles automáticamente para las siguientes combinaciones de nombre y tipo de fuente de datos:

Nombre y tipo de fuente de datos Índices de campo predeterminados

amazon_vpc.flow

action

logStatus

region

flowDirection

type

amazon_route53.resolver_query

query_type

transport

rcode

aws_waf.access

action

httpRequest.country

aws_cloudtrail.data

aws_cloudtrail.management

eventSource

eventName

awsRegion

userAgent

errorCode

eventType

managementEvent

readOnly

eventCategory

requestId

Los índices de campos predeterminados se suman a cualquier índice de campo personalizado que defina en su política. Los índices de campo predeterminados no se incluyen en la cuota de índices de campo.

CloudWatch Los registros indexan solo los eventos de registro ingeridos después de crear una política de indexación. No indexa los eventos de registro ingeridos antes de que se creara la política. Tras crear un índice de campos, cada evento de registro coincidente permanece indexado durante 30 días a partir del momento de la ingesta del evento de registro.

nota

Si se crea una política de indexación de campos en una cuenta de supervisión, esa política no se utilizará para los grupos de registros de las cuentas de origen vinculadas. Una política de índice de campos solo se aplica a la cuenta en la que se creó.

En el resto de los temas de esta sección se explica cómo crear índices de campo. Para obtener información sobre cómo hacer referencia a los índices de campo en las consultas, consulte filterIndex y filter.

Temas