Créer une règle Contributor Insights dans CloudWatch - Amazon CloudWatch

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Créer une règle Contributor Insights dans CloudWatch

Vous pouvez créer des règles pour analyser les données du journal. Tous les journaux au format JSON ou CLF (Common Log Format) peuvent être évalués. Cela inclut vos journaux personnalisés qui suivent l’un de ces formats, et les journaux des services AWS tels que les journaux de flux Amazon VPC, les journaux de requêtes DNS Amazon Route 53, les journaux de conteneur Amazon ECS et les journaux AWS CloudTrail, Amazon SageMaker AI, Amazon RDS, AWS AppSync et API Gateway.

Dans une règle, lorsque vous spécifiez des noms ou des valeurs de champ, toutes les correspondances sont sensibles à la casse.

Vous pouvez utiliser des exemples de règles intégrés lorsque vous créez une règle ou vous pouvez créer votre propre règle à partir de zéro. Contributor Insights inclut des exemples de règles pour les types de journaux suivants :

  • Journaux Amazon API Gateway

  • Journaux de requêtes DNS publics Amazon Route 53

  • Journaux de requête Amazon Route 53 Resolver

  • Journaux CloudWatch Container Insights

  • Journaux de flux VPC

Si vous êtes connecté à un compte qui est configuré comme un compte de surveillance dans l'observabilité inter-comptes de CloudWatch, vous pouvez créer des règles Contributor Insights pour les groupes de journaux dans les comptes sources liés à ce compte de surveillance, en plus de créer des règles pour les groupes de journaux dans le compte de surveillance. Vous pouvez également configurer une règle unique qui surveille les groupes de journaux dans différents comptes. Pour de plus amples informations, consultez CloudWatch observabilité entre comptes.

Important

Lorsque vous accordez à un utilisateur l'autorisation cloudwatch:PutInsightRule, cet utilisateur peut créer par défaut une règle qui évalue tout groupe de journaux dans CloudWatch Logs. Vous pouvez ajouter des conditions de politique IAM qui limitent ces autorisations pour qu'un utilisateur inclue et exclue des groupes de journaux spécifiques. Pour de plus amples informations, consultez Utilisation de clés de condition pour limiter l'accès des utilisateurs Contributor Insights aux groupes de journaux.

Pour créer une règle à l'aide d'un exemple de règle intégré

  1. Ouvrez la console CloudWatch à l’adresse https://console.aws.amazon.com/cloudwatch/.

  2. Dans le volet de navigation, sélectionnez Journaux, Contributor Insights.

  3. Choisissez Créer une règle.

  4. Pour Select log group(s) (Sélectionner le(s) groupe(s) de journaux), sélectionnez le ou les groupes de journaux que la règle doit surveiller. Vous pouvez sélectionner jusqu'à 20 groupes de journaux. Si vous êtes connecté à un compte de surveillance qui est configuré pour l'observabilité inter-comptes de CloudWatch, vous pouvez sélectionner des groupes de journaux dans des comptes sources, et vous pouvez également configurer une règle unique pour analyser des groupes de journaux dans différents comptes.

    1. (Facultatif) Pour sélectionner tous les groupes de journaux dont le nom commence par une chaîne spécifique, choisissez Select by prefix match (Sélectionner par correspondance du préfixe) dans la liste déroulante, puis saisissez le préfixe. S'il s'agit d'un compte de surveillance, vous pouvez éventuellement sélectionner les comptes dans lesquels effectuer la recherche, sinon tous les comptes sont sélectionnés.

    Note

    Vous encourez des frais pour chaque événement de journal correspondant à votre règle. Si vous choisissez le Select by prefix match (Sélectionner par correspondance du préfixe) dans la liste déroulante, soyez attentif au nombre de groupes de journaux auxquels le préfixe peut correspondre. Si vous recherchez accidentellement plus de groupes de journaux que vous ne le souhaitez, des frais inattendus peuvent vous être facturés. Pour en savoir plus, consultez Tarification Amazon CloudWatch.

  5. Pour Rule type (Type de règle), choisissez Sample rule (Exemple de règle). Ensuite, choisissez Select sample rule (Sélectionner un exemple de règle) et sélectionnez la règle.

  6. Pour Format du journal, sélectionnez le format des journaux que la règle évaluera.

  7. Pour Transformateurs, sélectionnez Activer Contributor Insights sur les transformateurs afin que la règle évalue les événements du journal après leur transformation par la transformation des journaux CloudWatch Logs. Si vous choisissez d’activer cette option :

    • Si la règle évalue des groupes de journaux qui ont des transformateurs, elle est appliquée aux versions transformées des journaux.

    • Si la règle évalue des groupes de journaux qui n’ont pas de transformateurs, elle est appliquée aux versions originales des journaux.

    Si vous ne sélectionnez pas cette option, l’évaluation s’effectue sur les événements du journal originaux dans tous les groupes de journaux, même ceux qui utilisent le transformeur.

    Note

    Si un groupe de journaux dispose d’un transformateur et que la transformation échoue pour certains événements du journal, ces événements ne seront pas évalués par Contributor Insights. Pour plus d’informations sur l’analyse des échecs de transformation des journaux, consultez Métriques et erreurs de transformation.

  8. La règle d’exemple que vous avez choisie a rempli les champs Format du journal, Contribution, Filtres et Agrégation. Vous pouvez ajuster ces valeurs, si vous le souhaitez.

  9. Choisissez Suivant.

  10. Pour Rule name (Nom de la règle), entrez un nom. Les caractères valides sont A-Z, a-z, 0-9, (trait d'union), (trait de soulignement) et (point).

  11. Indiquez si vous souhaitez créer la règle dans un état désactivé ou activé. Si vous choisissez de l'activer, la règle commence immédiatement à analyser vos données. Vous encourez des frais lorsque vous exécutez des règles activées. Pour en savoir plus, consultez Tarification Amazon CloudWatch.

    Contributor Insights analyse uniquement les nouveaux événements de journal après la création d'une règle. Une règle ne peut pas traiter les événements journaux précédemment traités par CloudWatch Logs.

  12. (Facultatif) Pour Tags (Balises), ajoutez une ou plusieurs paires clé/valeur comme balises pour cette règle. Les étiquettes peuvent vous aider à identifier et à organiser vos ressources AWS et à suivre vos coûts AWS. Pour de plus amples informations, consultez Étiquette de vos ressources Amazon CloudWatch.

  13. Choisissez Créer.

Pour créer une règle à partir de zéro

  1. Ouvrez la console CloudWatch à l’adresse https://console.aws.amazon.com/cloudwatch/.

  2. Dans le volet de navigation, sélectionnez Journaux, Contributor Insights.

  3. Choisissez Créer une règle.

  4. Pour Select log group(s) (Sélectionner le(s) groupe(s) de journaux), sélectionnez le ou les groupes de journaux que la règle doit surveiller. Vous pouvez sélectionner jusqu'à 20 groupes de journaux. Si vous êtes connecté à un compte de surveillance qui est configuré pour l'observabilité inter-comptes de CloudWatch, vous pouvez sélectionner des groupes de journaux dans des comptes sources, et vous pouvez également configurer une règle unique pour analyser des groupes de journaux dans différents comptes.

    1. (Facultatif) Pour sélectionner tous les groupes de journaux dont le nom commence par une chaîne spécifique, choisissez Select by prefix match (Sélectionner par correspondance du préfixe) dans la liste déroulante, puis saisissez le préfixe.

    Note

    Vous encourez des frais pour chaque événement de journal correspondant à votre règle. Si vous choisissez le Select by prefix match (Sélectionner par correspondance du préfixe) dans la liste déroulante, soyez attentif au nombre de groupes de journaux auxquels le préfixe peut correspondre. Si vous recherchez accidentellement plus de groupes de journaux que vous ne le souhaitez, des frais inattendus peuvent vous être facturés. Pour en savoir plus, consultez Tarification Amazon CloudWatch.

  5. Pour Rule type (Type de règle), choisissez Custom rule (Règle personnalisée).

  6. Pour le Format de journal, choisissez JSON ou CLF.

  7. Pour Transformateurs, sélectionnez Activer Contributor Insights sur les transformateurs afin que la règle évalue les événements du journal après leur transformation par la transformation des journaux CloudWatch Logs. Si vous choisissez d’activer cette option :

    • Si la règle évalue des groupes de journaux qui ont des transformateurs, elle est appliquée aux versions transformées des journaux.

    • Si la règle évalue des groupes de journaux qui n’ont pas de transformateurs, elle est appliquée aux versions originales des journaux.

    Si vous ne sélectionnez pas cette option, l’évaluation s’effectue sur les événements du journal originaux dans tous les groupes de journaux, même ceux qui utilisent le transformeur.

    Note

    Si un groupe de journaux dispose d’un transformateur et que la transformation échoue pour certains événements du journal, ces événements ne seront pas évalués par Contributor Insights. Pour plus d’informations sur l’analyse des échecs de transformation des journaux, consultez Métriques et erreurs de transformation.

  8. Vous pouvez terminer la création de la règle à l'aide de l'Assistant ou en choisissant l'onglet Syntaxe et en spécifiant manuellement la syntaxe de la règle.

    Pour continuer à utiliser l'Assistant, procédez comme suit :

    1. Pour Contribution, Clé, entrez un type de contributeur sur lequel vous souhaitez créer un rapport. Le rapport affiche les valeurs top-N pour ce type de contributeur.

      Les entrées valides sont tout champ de journal qui a des valeurs. Exemples : requestId, sourceIPaddress et containerID.

      Pour obtenir des informations sur la recherche des noms de champs de journal pour les journaux d'un groupe de journaux spécifique, consultez la rubrique Recherche de champs de journal.

      Les clés supérieures à 1 Ko sont tronquées à 1 Ko.

    2. (Facultatif) Choisissez Add new key (Ajouter une nouvelle clé) pour ajouter d'autres clés. Vous pouvez inclure jusqu'à quatre clés dans une règle. Si vous entrez plusieurs clés, les contributeurs du rapport sont définis par des combinaisons de valeurs uniques des clés. Par exemple, si vous spécifiez trois clés, chaque combinaison unique de valeurs pour les trois clés est comptée comme un contributeur unique.

    3. (Facultatif) Si vous souhaitez ajouter un filtre qui réduit la portée de vos résultats, choisissez Add filter (Ajouter un filtre). Pour Match (Correspondance), saisissez nom du champ de journal que vous souhaitez filtrer. Pour Condition, choisissez un opérateur de comparaison et saisissez une valeur que vous souhaitez filtrer.

      Vous pouvez ajouter jusqu'à quatre filtres dans une règle. Plusieurs filtres sont joints par la logique AND, de sorte que seuls les événements de journal qui correspondent à tous ces filtres sont évalués.

      Note

      Les tableaux qui suivent des opérateurs de comparaison, tels que In, NotIn, ou StartsWith, peuvent inclure jusqu'à 10 valeurs de chaîne. Pour plus d'informations sur la syntaxe des règles de Contributor Insights, veuillez consulter Syntaxe des règles Contributor Insights dans CloudWatch.

    4. Pour Aggregate on (Regrouper dans), choisissez Count (Nombre) ou Sum (Somme). Si vous choisissez Count (Nombre), le classement des contributeurs est basé sur le nombre d'occurrences. Si vous choisissez Sum (Somme), le classement est basé sur la somme agrégée des valeurs du champ que vous spécifiez pour Contribution, Value (Valeur).

  9. Pour entrer votre règle en tant qu'objet JSON au lieu d'utiliser l'assistant, procédez comme suit :

    1. Choisissez l'onglet Syntaxe.

    2. Dans Corps de la règle, entrez l'objet JSON de votre règle. Pour de plus amples informations sur la syntaxe des règles, veuillez consulter Syntaxe des règles Contributor Insights dans CloudWatch.

  10. Choisissez Suivant.

  11. Pour Rule name (Nom de la règle), entrez un nom. Les caractères valides sont A-Z, a-z, 0-9, « - », « _ » et « . ».

  12. Indiquez si vous souhaitez créer la règle dans un état désactivé ou activé. Si vous choisissez de l'activer, la règle commence immédiatement à analyser vos données. Vous encourez des frais lorsque vous exécutez des règles activées. Pour en savoir plus, consultez Tarification Amazon CloudWatch.

    Contributor Insights analyse uniquement les nouveaux événements de journal après la création d'une règle. Une règle ne peut pas traiter les événements journaux précédemment traités par CloudWatch Logs.

  13. (Facultatif) Pour Tags (Balises), ajoutez une ou plusieurs paires clé/valeur comme balises pour cette règle. Les étiquettes peuvent vous aider à identifier et à organiser vos ressources AWS et à suivre vos coûts AWS. Pour de plus amples informations, consultez Étiquette de vos ressources Amazon CloudWatch.

  14. Choisissez Suivant.

  15. Confirmez les paramètres que vous avez saisis, puis sélectionnez Create rule (Créer la règle).

Vous pouvez désactiver, activer ou supprimer les règles que vous avez créées.

Pour activer, désactiver ou supprimer une règle dans Contributor Insights

  1. Ouvrez la console CloudWatch à l’adresse https://console.aws.amazon.com/cloudwatch/.

  2. Dans le volet de navigation, sélectionnez Journaux, Contributor Insights.

  3. Dans la liste des règles, cochez la case en regard d'une règle unique.

    Les règles intégrées sont créées par les services AWS et ne peuvent pas être modifiées, désactivées ou supprimées.

  4. Choisissez Actions, puis choisissez l'option souhaitée.

Recherche de champs de journal

Lorsque vous créez une règle, vous devez connaître les noms des champs dans les entrées de journal d'un groupe de journaux.

Pour rechercher les champs de journal dans un groupe de journaux

  1. Ouvrez la console CloudWatch à l’adresse https://console.aws.amazon.com/cloudwatch/.

  2. Dans le volet de navigation, sous Logs (Journaux), choisissez Insights.

  3. Sélectionnez un ou plusieurs groupes de journaux à interroger, au-dessus de l'éditeur de requête.

    Lorsque vous sélectionnez un groupe de journaux, CloudWatch Logs Insights détecte automatiquement les champs dans les données du groupe de journaux et les affiche dans le volet droit, dans Discovered fields (Champs détectés).