Journaux - Amazon OpenSearch Service
OpenSearch Interface utilisateur et espace de travail d'observabilitéInterrogation de vos journaux à l'aide de PPLInterrogation de vos journaux à l'aide de l'IAInterrogation de vos journaux à l'aide de SQLInterrogation de vos journaux à l'aide de DQLTableaux de bord et alertes pour les journaux

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Journaux

OpenSearch L'ingestion peut transformer les données de journal non structurées en un format structuré lors de l'ingestion. OpenSearch Ingestion fournit des processeurs qui normalisent et enrichissent vos données avant qu'elles ne soient indexées. Voici des exemples de processeurs utiles :

  • grok— Analyse et structure les données texte non structurées, telles que les journaux d'accès aux serveurs Web, dans des champs distincts.

  • date— Analyse une date à partir d'un champ de journal et la définit comme horodatage de l'événement.

  • parse_json— Analyse un champ de chaîne contenant un objet JSON.

Remarque — Pour faciliter le démarrage, nous avons créé un nouveau flux de travail Get Started pour les journaux dans la console Amazon OpenSearch Service, qui configurera un nouveau pipeline d'ingestion personnalisé pour Otel, le dirigera vers un OpenSearch cluster existant et créera une nouvelle application d' OpenSearch interface utilisateur avec un espace de travail d'observabilité créé. Tout ce que vous avez à faire est d'indiquer à vos agents Otel le nouveau paramètre d'ingestion.

OpenSearch Interface utilisateur et espace de travail d'observabilité

Une fois les données de vos journaux ingérées dans Amazon OpenSearch Service, vous utilisez les outils fournis par l'espace de travail d'observabilité d'Amazon OpenSearch Service dans l' OpenSearch interface utilisateur pour les analyser. L'espace de travail d'observabilité fournit des outils spécialisés conçus pour extraire des informations pertinentes dans Discover et Dashboards.

L'espace de travail d'observabilité inclut une nouvelle expérience Discover qui utilise un langage de traitement distribué (PPL) complété par un assistant en langage naturel développé par Amazon Q Developer for Business. L'assistance linguistique permet à quiconque de se familiariser facilement avec les langages retransmis. Après avoir affiné votre requête, créez des visualisations et des tableaux de bord directement à partir du nouveau Discover sans passer à d'autres parties de l'outil. Pour interroger vos données à l'aide de DQL ou SQL, passez à l'ancienne expérience Discover.

Interrogation de vos journaux à l'aide de PPL

Plusieurs options s'offrent à vous pour interroger vos journaux afin de recueillir des informations sur le fonctionnement de votre application ou de votre service.

Le langage PPL (Piped Processing Language) est un langage de requête dont la syntaxe est basée sur des tubes (|) pour le chaînage des commandes. Vous pouvez l'utiliser pour créer des expressions puissantes afin d'analyser vos journaux.

Remarque : pour déverrouiller la nouvelle version PPL commands/functions dans la version OpenSearch 2.19, vous devez modifier un indicateur de fonctionnalité dans les outils de OpenSearch développement à l'aide de la requête suivante (non requise pour la version OpenSearch 3.3) :

PUT /_plugins/_query/settings { "transient" : { "plugins.calcite.enabled" : true } }

Trouvez les hôtes présentant le plus d'erreurs

Cet exemple analyse vos journaux afin de déterminer les hôtes de service présentant le plus grand nombre d'erreurs.

source = my-index |
    where level = "ERROR" |
    stats count() as error_count by host |
    sort -error_count |
    head 5

Calculer la durée moyenne des demandes

Cet exemple analyse vos journaux afin de calculer le temps de demande moyen pour chaque code de statut du journal.

source = my-index |
    stats avg(request_time) by status_code

Pour plus d'informations sur le PPL, consultez le manuel de référence PPL sur opensearch.org.

Interrogation de vos journaux à l'aide de l'IA

Cet exemple analyse vos journaux pour afficher les erreurs enregistrées au cours des 5 dernières minutes.

Show me all of the error logs from the last 5 minutes

Interrogation de vos journaux à l'aide de SQL

SQL fournit une méthode familière pour interroger les données du journal.

Cet exemple analyse vos journaux pour afficher les erreurs par horodatage.

SELECT timestamp, severity_text, body, service_name
FROM opentelemetry_logs
WHERE severity_text = 'ERROR' AND service_name = 'my-service'
ORDER BY timestamp DESC;

Pour plus d'informations sur le SQL, consultez le manuel de référence SQL sur GitHub.

Interrogation de vos journaux à l'aide de DQL

DQL est idéal pour la recherche et le filtrage rapides.

Cet exemple analyse vos journaux et renvoie les erreurs et les exceptions.

error OR exception

Pour plus d'informations sur DQL, consultez le manuel de référence DQL sur opensearch.org.

Tableaux de bord et alertes pour les journaux

Dans la nouvelle expérience Discover avec PPL, vous pouvez créer des visualisations à partir de l'onglet Visualisations de Discover. Choisissez parmi 12 types de visualisation et modifiez-les à la volée avant de les ajouter à un tableau de bord. Dans l'ancienne expérience Discover, vous allez accéder à Visualize dans le menu de navigation de gauche pour créer une nouvelle visualisation et à Dashboards pour ajouter les visualisations à vos tableaux de bord.

Vous pouvez définir des moniteurs d'alertes à l'aide de PPL ou du DSL OpenSearch de requête de service pour exécuter des requêtes planifiées. Une condition de déclenchement, telle qu'un nombre spécifique de journaux d'erreurs, déclenche une alerte. Vous pouvez envoyer des notifications via des canaux tels qu'Amazon Simple Notification Service ou des webhooks.

Pour plus d'informations sur les alertes, consultez la documentation relative aux alertes sur opensearch.org.