View a markdown version of this page

Consulta directa de los datos de Amazon CloudWatch Logs en el servicio OpenSearch - OpenSearch Servicio Amazon
PreciosLimitacionesRecomendacionesCuotasCompatible Regiones de AWS

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Consulta directa de los datos de Amazon CloudWatch Logs en el servicio OpenSearch

En esta sección, se explica el proceso de creación y configuración de la integración de una fuente de datos en Amazon OpenSearch Service, lo que le permitirá consultar y analizar de forma eficaz los datos almacenados en CloudWatch Logs.

En las siguientes páginas, aprenderá a configurar una fuente de datos de consulta directa de CloudWatch Logs, a conocer los requisitos previos necesarios y a seguir los step-by-step procedimientos utilizando el. Consola de administración de AWS

Temas

Precios

Amazon OpenSearch Service ofrece precios por unidad de OpenSearch cómputo (OCU) para las consultas directas de CloudWatch Logs. A medida que realizas consultas directas, se te cobrará OCUs por hora, que se indicará como tipo de uso de DirectQuery OCU en tu factura. También incurrirás en cargos separados de Amazon CloudWatch Logs.

Las consultas directas son de dos tipos: consultas de vista indexada e interactivas.

  • Las consultas interactivas se utilizan para rellenar el selector de datos y realizar análisis de los datos de los CloudWatch registros. OpenSearch El servicio gestiona cada consulta con un trabajo preajustado independiente, sin necesidad de mantener una sesión prolongada.

  • Las consultas de vistas indexadas utilizan el procesamiento para mantener las vistas indexadas en Service. OpenSearch Estas consultas suelen tardar más porque ingieren una cantidad de datos variable en un índice con nombre. En el caso de las fuentes de datos conectadas a CloudWatch Logs, los datos indexados se almacenan en una colección OpenSearch sin servidor, en la que se cobra por los datos indexados (indexingOCU), los datos buscados (SearchOCU) y los datos almacenados en GB.

Para obtener más información, consulta las secciones Direct Query y Serverless de Amazon OpenSearch Service Pricing.

Limitaciones

Las siguientes limitaciones se aplican a las consultas directas en CloudWatch los registros:

  • La integración de las consultas directas con CloudWatch los registros solo está disponible en las colecciones OpenSearch de servicios y en la interfaz OpenSearch de usuario.

  • OpenSearch Las colecciones sin servidor tienen limitaciones de carga útil de red de 100 MiB.

  • CloudWatch Logs admite el flujo de VPC y las integraciones de AWS WAF paneles instaladas desde la consola. CloudTrail

  • AWS CloudFormation las plantillas aún no son compatibles.

  • OpenSearch Las sentencias SQL y OpenSearch PPL tienen limitaciones diferentes cuando se trabaja con OpenSearch índices en comparación con el uso de consultas directas. Direct Query admite comandos avanzados JOINs, como subconsultas y búsquedas, mientras que la compatibilidad con estos comandos en los OpenSearch índices es limitada o inexistente. Para obtener más información, consulte Comandos SQL y PPL compatibles.

Recomendaciones

Se recomienda lo siguiente cuando se utilizan consultas directas en los registros: CloudWatch

  • Al buscar varios grupos de registros en una consulta, utilice la sintaxis adecuada. Para obtener más información, consulte Funciones de grupos de registros múltiples.

  • Cuando utilice comandos SQL o PPL, encierre determinados campos entre comillas invertidas para consultarlos correctamente. Las comillas invertidas son necesarias para los campos con caracteres especiales (no alfabéticos ni numéricos). Por ejemplo, encierre @message, Operation.Export, y Test::Field entre comillas invertidas. No es necesario incluir las columnas con nombres exclusivamente alfabéticos entre comillas invertidas.

    Ejemplo de consulta con campos sencillos:

    SELECT SessionToken, Operation, StartTime  FROM `LogGroup-A`
LIMIT 1000;

    Consulta similar con comillas invertidas agregadas:

    SELECT `@SessionToken`, `@Operation`, `@StartTime` FROM `LogGroup-A`
LIMIT 1000;

  • Aplica límites a tus consultas para asegurarte de no recuperar demasiados datos.

  • No se admiten consultas que contengan nombres de campo idénticos pero que solo difieran en mayúsculas y minúsculas (como field1 y FIELD1).

    Por ejemplo, no se admiten las siguientes consultas:

    Select AWSAccountId, AwsAccountId from LogGroup
Select a.@LogStream, b.@logStream from Table A INNER Join Table B ona.id = b.id

    Sin embargo, se admite la siguiente consulta porque el nombre del campo (@logStream) es idéntico en ambos grupos de registros:

    Select a.@logStream, b.@logStream from Table A INNER Join Table B on a.id = b.id

  • Las funciones y expresiones deben funcionar con los nombres de los campos y formar parte de una sentencia SELECT con un grupo de registros especificado en la cláusula FROM.

    Por ejemplo, no se admite esta consulta:

    SELECT cos(10) FROM LogGroup

    Se admite esta consulta:

    SELECT cos(field1) FROM LogGroup

Cuotas

nota

Si quieres realizar consultas directas con CloudWatch Logs Insights, asegúrate de consultarInformación adicional para los usuarios de CloudWatch Logs Insights que utilizan SQL OpenSearch.

Description (Descripción) Valor ¿El límite es flexible? Notas
Límite de TPS a nivel de cuenta en todas las consultas directas APIs 3 TPS
Número máximo de orígenes de datos 20 El límite es por. Cuenta de AWS
Número máximo de índices o vistas materializadas que se actualizan automáticamente 30 El límite es por origen de datos.
Máximo de consultas simultáneas 30

El límite es por fuente de datos y se aplica a las consultas en estado pendiente o en ejecución.

Incluye consultas interactivas (por ejemplo, comandos de recuperación de datosSELECT) y consultas de índice (por ejemplo, operaciones comoCREATE/ALTER).

OCU simultáneas máximas por consulta 512

OpenSearch Unidades de cómputo (OCU). El límite se basa en 15 ejecutores y 1 controlador, cada uno con 16 vCPU y 32 GB de memoria. Representa la potencia de procesamiento simultáneo.
Tiempo máximo de ejecución de consulta en minutos 60 No El límite se aplica a las consultas de OpenSearch PPL/SQL en Logs Insights. CloudWatch
Periodo para eliminar una consulta obsoleta IDs 90 días Este es el período de tiempo después del cual el OpenSearch Servicio purga los metadatos de las consultas de las entradas más antiguas. Por ejemplo, se llama GetDirectQuery o GetDirectQueryResult se produce un error en el caso de consultas de más de 90 días.

Compatible Regiones de AWS

Regiones de AWS Se admite lo siguiente para las consultas directas en CloudWatch los registros:

  • Asia-Pacífico (Mumbai)

  • Asia-Pacífico (Hong Kong)

  • Asia-Pacífico (Osaka)

  • Asia-Pacífico (Seúl)

  • Asia-Pacífico (Singapur)

  • Asia-Pacífico (Sídney)

  • Asia-Pacífico (Tokio)

  • Canadá (centro)

  • Europa (Fráncfort)

  • Europa (Irlanda)

  • Europa (Estocolmo)

  • Europa (Milán)

  • Europa (España)

  • Este de EE. UU. (Norte de Virginia)

  • Este de EE. UU. (Ohio)

  • Oeste de EE. UU. (Oregón)

  • Oeste de EE. UU. (Norte de California)

  • Europa (París)

  • Europa (Londres)

  • América del Sur (São Paulo)