View a markdown version of this page

Interrogation directe des données Amazon CloudWatch Logs dans Service OpenSearch - Amazon OpenSearch Service
TarificationLimitationsRecommandationsQuotasSoutenu Régions AWS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Interrogation directe des données Amazon CloudWatch Logs dans Service OpenSearch

Cette section explique le processus de création et de configuration d'une intégration de source de données dans Amazon OpenSearch Service, vous permettant ainsi d'interroger et d'analyser efficacement vos données stockées dans CloudWatch Logs.

Dans les pages suivantes, vous allez apprendre à configurer une source de données CloudWatch Logs à requête directe, à parcourir les prérequis nécessaires et à suivre les step-by-step procédures à l'aide du. AWS Management Console

Rubriques

Tarification

Amazon OpenSearch Service propose une tarification par unité de OpenSearch calcul (OCU) pour les requêtes directes de CloudWatch Logs. Lorsque vous effectuez des requêtes directes, vous devez payer des frais OCUs par heure, indiqués comme type d'utilisation de l' DirectQuery OCU sur votre facture. Amazon CloudWatch Logs vous facturera également des frais distincts.

Les requêtes directes sont de deux types : les requêtes de vue interactives et les requêtes de vue indexées.

  • Les requêtes interactives sont utilisées pour renseigner le sélecteur de données et effectuer des analyses sur vos données dans CloudWatch Logs. OpenSearch Le service gère chaque requête avec une tâche préchauffée distincte, sans maintenir de session prolongée.

  • Les requêtes de vues indexées utilisent le calcul pour maintenir les vues indexées dans OpenSearch Service. Ces requêtes prennent généralement plus de temps car elles ingèrent une quantité variable de données dans un index nommé. Pour les sources de données connectées à CloudWatch Logs, les données indexées sont stockées dans une collection OpenSearch sans serveur où vous êtes facturé pour les données indexées (IndexingOCU), les données recherchées (SearchOCU) et les données stockées en Go.

Pour plus d'informations, consultez les sections Direct Query et Serverless d'Amazon OpenSearch Service Pricing.

Limitations

Les restrictions suivantes s'appliquent aux requêtes directes dans CloudWatch les journaux :

  • L'intégration directe des requêtes avec CloudWatch Logs n'est disponible que sur les collections de OpenSearch services et sur OpenSearch l'interface utilisateur.

  • OpenSearch Les collections sans serveur ont des limites de charge utile en réseau de 100 MiB.

  • CloudWatch Logs prend en charge les intégrations de VPC Flow et AWS WAF de tableau de bord installées depuis la console. CloudTrail

  • AWS CloudFormation les modèles ne sont pas encore pris en charge.

  • OpenSearch Les instructions SQL et OpenSearch PPL présentent des limites différentes lors de l'utilisation d' OpenSearch index par rapport à l'utilisation de requêtes directes. La requête directe prend en charge les commandes avancées telles que JOINs les sous-requêtes et les recherches, tandis que la prise en charge de ces commandes sur les OpenSearch index est limitée, voire inexistante. Pour de plus amples informations, veuillez consulter Commandes SQL et PPL prises en charge.

Recommandations

Nous recommandons ce qui suit lorsque vous utilisez des requêtes directes dans CloudWatch les journaux :

  • Lorsque vous recherchez plusieurs groupes de journaux dans une seule requête, utilisez la syntaxe appropriée. Pour de plus amples informations, veuillez consulter Fonctions de groupe multilog.

  • Lorsque vous utilisez des commandes SQL ou PPL, entourez certains champs de backticks pour les interroger correctement. Les champs contenant des caractères spéciaux (non alphabétiques et non numériques) doivent être cochés. Par exemple, joignez Operation.Export, et @message insérez des Test::Field backticks. Il n'est pas nécessaire de placer des colonnes avec des noms purement alphabétiques en backticks.

    Exemple de requête avec des champs simples :

    SELECT SessionToken, Operation, StartTime  FROM `LogGroup-A`
LIMIT 1000;

    Requête similaire avec backticks ajoutés :

    SELECT `@SessionToken`, `@Operation`, `@StartTime` FROM `LogGroup-A`
LIMIT 1000;

  • Limitez vos requêtes pour vous assurer de ne pas récupérer trop de données.

  • Les requêtes contenant des noms de champs identiques mais ne différant que par des majuscules (tels que field1 etFIELD1) ne sont pas prises en charge.

    Par exemple, les requêtes suivantes ne sont pas prises en charge :

    Select AWSAccountId, AwsAccountId from LogGroup
Select a.@LogStream, b.@logStream from Table A INNER Join Table B ona.id = b.id

    Cependant, la requête suivante est prise en charge car le nom du champ (@logStream) est identique dans les deux groupes de journaux :

    Select a.@logStream, b.@logStream from Table A INNER Join Table B on a.id = b.id

  • Les fonctions et expressions doivent agir sur les noms de champs et faire partie d'une SELECT instruction avec un groupe de journaux spécifié dans la FROM clause.

    Par exemple, cette requête n'est pas prise en charge :

    SELECT cos(10) FROM LogGroup

    Cette requête est prise en charge :

    SELECT cos(field1) FROM LogGroup

Quotas

Note

Si vous souhaitez effectuer des requêtes directes à l'aide de CloudWatch Logs Insights, assurez-vous de vous référer àInformations supplémentaires pour les utilisateurs de CloudWatch Logs Insights utilisant OpenSearch SQL.

Description Value Limite souple ? Remarques
Limite TPS au niveau du compte pour les requêtes directes APIs 3 TPS Oui
Nombre maximum de sources de données 20 Oui La limite est par Compte AWS.
Nombre maximum d'index ou de vues matérialisées automatiquement actualisés 30 Oui La limite est fixée par source de données.
Nombre maximal de requêtes simultanées 30 Oui

La limite est fixée par source de données et s'applique aux requêtes en attente ou en cours d'exécution.

Inclut des requêtes interactives (par exemple, des commandes de récupération de données commeSELECT) et des requêtes d'index (par exemple, des opérations commeCREATE/ALTER).

Nombre maximal d'OCU simultanés par requête 512 Oui

OpenSearch Unités de calcul (OCU). Limite basée sur 15 exécuteurs et 1 pilote, chacun doté de 16 vCPU et de 32 Go de mémoire. Représente la puissance de traitement simultanée.
Durée maximale d'exécution des requêtes en minutes 60 Non La limite s'applique aux requêtes OpenSearch PPL/SQL dans CloudWatch Logs Insights.
Période de purge des requêtes périmées IDs 90 jours Oui Il s'agit de la période après laquelle le OpenSearch Service purge les métadonnées des requêtes pour les anciennes entrées. Par exemple, appel GetDirectQuery ou GetDirectQueryResult échec pour des requêtes datant de plus de 90 jours.

Soutenu Régions AWS

Les éléments suivants Régions AWS sont pris en charge pour les requêtes directes dans CloudWatch les journaux :

  • Asie-Pacifique (Mumbai)

  • Asie-Pacifique (Hong Kong)

  • Asie-Pacifique (Osaka)

  • Asia Pacific (Seoul)

  • Asie-Pacifique (Singapour)

  • Asie-Pacifique (Sydney)

  • Asie-Pacifique (Tokyo)

  • Canada (Centre)

  • Europe (Francfort)

  • Europe (Irlande)

  • Europe (Stockholm)

  • Europe (Milan)

  • Europe (Espagne)

  • USA Est (Virginie du Nord)

  • USA Est (Ohio)

  • USA Ouest (Oregon)

  • USA Ouest (Californie du Nord)

  • Europe (Paris)

  • Europe (Londres)

  • Amérique du Sud (Sao Paulo)