Creazione di una regola di Contributor Insights in CloudWatch - Amazon CloudWatch

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creazione di una regola di Contributor Insights in CloudWatch

Puoi creare regole per analizzare i dati di log. Possono essere valutati eventuali log in formato JSON o CLF (Common Log Format). Sono inclusi i log personalizzati che seguono uno di questi formati e i log da servizi AWS come flussi di log Amazon VPC, i log delle query DNS di Amazon Route 53, i log dei container Amazon ECS e i log di AWS CloudTrail, Amazon SageMaker AI, Amazon RDS, AWS AppSync e API Gateway.

In una regola, quando specifichi i nomi dei campi o i valori, tutte le corrispondenze fanno distinzione tra maiuscole e minuscole.

Puoi utilizzare le regole di esempio incorporate quando crei una regola oppure puoi creare una regola personalizzata da zero. Contributor Insights include regole di esempio per i seguenti tipi di log:

  • Log di Amazon API Gateway

  • Log di query DNS pubblici di Amazon Route 53

  • Log di query di Amazon Route 53 Resolver

  • Log di CloudWatch Container Insights

  • Log di flusso VPC

Se hai effettuato l'accesso a un account configurato come account di monitoraggio nell'osservabilità tra account di CloudWatch, puoi creare regole di Approfondimenti sulle contribuzioni per i gruppi di log negli account di origine collegati a questo account di monitoraggio, oltre a creare regole per i gruppi di log nell'account di monitoraggio. Puoi anche configurare una singola regola per monitorare i gruppi di log in diversi account. Per ulteriori informazioni, consulta CloudWatch osservabilità tra più account.

Importante

Quando si concede a un utente l'autorizzazione cloudwatch:PutInsightRule, per impostazione predefinita l'utente può creare una regola che valuta qualsiasi gruppo di log in CloudWatch Logs. È possibile aggiungere condizioni di policy IAM che limitano queste autorizzazioni affinché un utente includa ed escluda gruppi di log specifici. Per ulteriori informazioni, consulta la pagina Utilizzo delle chiavi di condizione per limitare l'accesso degli utenti di Contributor Insights ai gruppi di log.

Per creare una regola usando una regola di esempio incorporata

  1. Apri la console CloudWatch all'indirizzo https://console.aws.amazon.com/cloudwatch/.

  2. Nel pannello di navigazione, scegli Log, quindi Contributor Insights.

  3. Scegli Crea regola.

  4. Per Select log group(s) (Seleziona uno o più i gruppi di log), seleziona i gruppi di log che devono essere monitorati dalla regola. È possibile selezionare fino a 20 gruppi di log. Se hai effettuato l'accesso a un account configurato per l'osservabilità tra account di CloudWatch, puoi selezionare i gruppi di log negli account di origine e puoi anche impostare una singola regola per analizzare i gruppi di log in account diversi.

    1. (Facoltativo) Per selezionare tutti i gruppi di log che hanno nomi che iniziano con una stringa specifica, scegli dal menu a discesa Seleziona per corrispondenza prefisso, quindi inserire il prefisso. Se si tratta di un account di monitoraggio, puoi selezionare facoltativamente gli account in cui eseguire la ricerca. In caso contrario, vengono selezionati tutti gli account.

    Nota

    Vengono addebitati i costi per ogni evento di log corrispondente a una regola. Se si sceglie dal menu a discesa Seleziona per corrispondenza prefisso, tenere presente a quanti gruppi di log può corrispondere il prefisso. Se si esegue una ricerca in più gruppi di log di quelli desiderati, è possibile che vengano addebitati costi imprevisti. Per ulteriori informazioni, consulta la pagina Prezzi di Amazon CloudWatch.

  5. In Rule type (Tipo di regola), scegli Sample rule (Regola di esempio). Quindi scegli Select sample rule (Seleziona regola di esempio) e seleziona la regola.

  6. Per Formato log, seleziona il formato dei log che verrà valutato dalla regola.

  7. Per Trasformatori, seleziona Abilita Contributor Insights sui trasformatori per fare in modo che la regola valuti gli eventi di log dopo che sono stati trasformati dalla trasformazione dei log di CloudWatch Logs. Se scegli di abilitare questa opzione:

    • Se la regola valuta gruppi di log che dispongono di trasformatori, viene applicata alle versioni trasformate dei log.

    • Se la regola valuta gruppi di log che non dispongono di trasformatori, viene applicata alle versioni originali dei log.

    Se non si seleziona questa opzione, la valutazione viene eseguita sugli eventi di log originali in tutti i gruppi di log, anche quelli che utilizzano la trasformazione dei log.

    Nota

    Se un gruppo di log dispone di un trasformatore e la trasformazione fallisce per alcuni eventi di log, tali eventi di log non verranno valutati da Contributor Insights. Per informazioni sull'analisi degli errori di trasformazione dei log, consulta Transformation metrics and errors.

  8. Nella regola di esempio sono compilati i campi Formato del log, Contributo, Filtri e Aggregazione. È possibile modificare questi valori, se necessario.

  9. Scegli Next (Successivo).

  10. In Rule name (Nome regola) immetti un nome. I caratteri validi sono A-Z, a-z, 0-9, trattino, trattino basso e punto.

  11. Scegli se crei la regola in uno stato disabilitato o abilitato. Se si sceglie di abilitarla, l'analisi dei dati viene avviata immediatamente dalla regola. Vengono addebitati i costi quando si eseguono regole abilitate. Per ulteriori informazioni, consulta la pagina Prezzi di Amazon CloudWatch.

    Contributor Insights analizza nuovi eventi di log solo dopo che una regola è stata creata. Una regola non può elaborare eventi di log precedentemente elaborati da CloudWatch Logs.

  12. (Facoltativo) In Tags (Tag), aggiungi una o più coppie chiave-valore come tag per questa regola. I tag possono aiutarti a identificare e organizzare le risorse AWS e a tenere traccia dei tuoi costi AWS. Per ulteriori informazioni, consulta Assegnazione di tag alle risorse Amazon CloudWatch.

  13. Scegli Create (Crea).

Per creare una regola da zero

  1. Apri la console CloudWatch all'indirizzo https://console.aws.amazon.com/cloudwatch/.

  2. Nel pannello di navigazione, scegli Log, quindi Contributor Insights.

  3. Scegli Crea regola.

  4. Per Select log group(s) (Seleziona uno o più i gruppi di log), seleziona i gruppi di log che devono essere monitorati dalla regola. È possibile selezionare fino a 20 gruppi di log. Se hai effettuato l'accesso a un account configurato per l'osservabilità tra account di CloudWatch, puoi selezionare i gruppi di log negli account di origine e puoi anche impostare una singola regola per analizzare i gruppi di log in account diversi.

    1. (Facoltativo) Per selezionare tutti i gruppi di log che hanno nomi che iniziano con una stringa specifica, scegli dal menu a discesa Seleziona per corrispondenza prefisso, quindi inserire il prefisso.

    Nota

    Vengono addebitati i costi per ogni evento di log corrispondente a una regola. Se si sceglie dal menu a discesa Seleziona per corrispondenza prefisso, tenere presente a quanti gruppi di log può corrispondere il prefisso. Se si esegue una ricerca in più gruppi di log di quelli desiderati, è possibile che vengano addebitati costi imprevisti. Per ulteriori informazioni, consulta la pagina Prezzi di Amazon CloudWatch.

  5. In Rule type (Tipo di regola), scegli Custom rule (Regola personalizzata).

  6. Per Log format (Formato log), scegli JSON o CLF.

  7. Per Trasformatori, seleziona Abilita Contributor Insights sui trasformatori per fare in modo che la regola valuti gli eventi di log dopo che sono stati trasformati dalla trasformazione dei log di CloudWatch Logs. Se scegli di abilitare questa opzione:

    • Se la regola valuta gruppi di log che dispongono di trasformatori, viene applicata alle versioni trasformate dei log.

    • Se la regola valuta gruppi di log che non dispongono di trasformatori, viene applicata alle versioni originali dei log.

    Se non si seleziona questa opzione, la valutazione viene eseguita sugli eventi di log originali in tutti i gruppi di log, anche quelli che utilizzano la trasformazione dei log.

    Nota

    Se un gruppo di log dispone di un trasformatore e la trasformazione fallisce per alcuni eventi di log, tali eventi di log non verranno valutati da Contributor Insights. Per informazioni sull'analisi degli errori di trasformazione dei log, consulta Transformation metrics and errors.

  8. Puoi terminare la creazione della regola utilizzando la procedura guidata oppure scegliendo la scheda Syntax (Sintassi) e specificando manualmente la sintassi della regola.

    Per continuare a utilizzare la procedura guidata, procedere nel modo seguente:

    1. In Contribution (Collaborazione), Key (Chiave), immetti un tipo di collaboratore per il quale creare un report. Nel report verranno visualizzati i primi N valori per questo tipo di collaboratore.

      Le voci valide sono qualsiasi campo di log con valori. Esempi includono requestId, sourceIPaddress e containerID.

      Per informazioni sulla ricerca dei nomi dei campi di log per i log in un determinato gruppo di log, consulta Ricerca dei campi di log.

      Le chiavi più grandi di 1 KB vengono troncate a 1 KB.

    2. (Facoltativo) Scegli Add new key (Aggiungi nuova chiave) per aggiungere altre chiavi. È possibile includere fino a quattro chiavi in una regola. Se si immettono più chiavi, i collaboratori nel report vengono definiti da combinazioni di valori univoche delle chiavi. Ad esempio, se si specificano tre chiavi, ogni combinazione univoca di valori per le tre chiavi viene conteggiata come un collaboratore univoco.

    3. (Facoltativo) Se si desidera aggiungere un filtro che restringa l'ambito dei risultati, scegli Add filter (Aggiungi filtro). Per Match (Corrispondenza), inserisci il campo di log in base al quale desideri filtrare. Per Condition (Condizione), scegli un operatore di confronto e immetti un valore per il quale desideri filtrare questo campo.

      È possibile aggiungere fino a quattro filtri in una regola. Più filtri vengono uniti mediante logica AND, quindi vengono valutati solo gli eventi di log che corrispondono a tutti i filtri.

      Nota

      Matrici che seguono gli operatori di confronto, ad·esempio In, NotIn o StartsWith, possono includere fino a dieci valori di stringa. Per ulteriori informazioni sulla sintassi delle regole di Contributor Insights, consulta Sintassi delle regole di Contributor Insights in CloudWatch.

    4. Per Aggregate on (Aggrega su), scegli Count o Sum. Se si sceglie Count, la classificazione contributori sarà basata sul numero di occorrenze. Se si sceglie Sum, la classificazione sarà basata sulla somma aggregata dei valori del campo specificato per Contribution (Contributo), Value (Valore).

  9. Per immettere la regola come un oggetto JSON anziché utilizzando la procedura guidata, procedere nel modo seguente:

    1. Scegli la scheda Syntax (Sintassi) .

    2. In Rule body (Corpo della regola), immetti l'oggetto JSON per la regola. Per informazioni sulla sintassi della regola, consulta Sintassi delle regole di Contributor Insights in CloudWatch.

  10. Scegli Next (Successivo).

  11. In Rule name (Nome regola) immetti un nome. I caratteri validi sono A-Z, a-z, 0-9, "-", "_' e ".".

  12. Scegli se crei la regola in uno stato disabilitato o abilitato. Se si sceglie di abilitarla, l'analisi dei dati viene avviata immediatamente dalla regola. Vengono addebitati i costi quando si eseguono regole abilitate. Per ulteriori informazioni, consulta la pagina Prezzi di Amazon CloudWatch.

    Contributor Insights analizza nuovi eventi di log solo dopo che una regola è stata creata. Una regola non può elaborare eventi di log precedentemente elaborati da CloudWatch Logs.

  13. (Facoltativo) In Tags (Tag), aggiungi una o più coppie chiave-valore come tag per questa regola. I tag possono aiutarti a identificare e organizzare le risorse AWS e a tenere traccia dei tuoi costi AWS. Per ulteriori informazioni, consulta Assegnazione di tag alle risorse Amazon CloudWatch.

  14. Scegli Next (Successivo).

  15. Conferma le impostazioni che hai inserito e scegli Create rule (Crea regola).

Le regole create possono essere disabilitate, abilitate o eliminate.

Per abilitare, disabilitare o eliminare una regola in Contributor Insights

  1. Apri la console CloudWatch all'indirizzo https://console.aws.amazon.com/cloudwatch/.

  2. Nel pannello di navigazione, scegli Log, quindi Contributor Insights.

  3. Nell'elenco di regole, seleziona la casella di controllo accanto a una singola regola.

    Le regole integrate vengono create dai servizi AWS e non possono essere modificate, disattivate o eliminate.

  4. Scegli Actions (Operazioni) e seleziona l'opzione desiderata.

Ricerca di campi di log

Quando si crea una regola, è necessario conoscere i nomi dei campi nelle voci di log in un gruppo di log.

Per trovare i campi di log in un gruppo di log

  1. Apri la console CloudWatch all'indirizzo https://console.aws.amazon.com/cloudwatch/.

  2. Nel riquadro di navigazione, in Logs, (Log), scegli Insights.

  3. Sopra l'editor della query, seleziona uno o più gruppi di log su cui eseguire query.

    Quando selezioni un gruppo di log, CloudWatch Logs Insights rileva automaticamente i campi nei dati nel gruppo di log e li visualizza nel riquadro a destra in Discovered fields (Campi rilevati).