ファセットを使用してログをグループ化および探索する - Amazon CloudWatch Logs
ファセットベースのクエリを実行するにはファセットベースのクエリを保存するにはアカウントレベルのファセットを作成するにはAPIsを使用したファセット管理

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ファセットを使用してログをグループ化および探索する

ファセットは、クエリを実行せずにデータをインタラクティブにフィルタリングおよびグループ化できるため、ログの分析に役立ちます。ファセットは、ロググループ間のフィルタリング、集約、分析を可能にするログ内のフィールド ( ServiceNameや などStatusCode) です。CloudWatch Logs Insights コンソールでファセットフィールドのリストと、選択した時間範囲に基づく各ファセット値のログイベントの数を表示できます。さまざまなファセットと値を選択すると、ファセット値とカウントがリアルタイムで更新されるため、ログをインタラクティブに探索できます。

各ファセットには、選択した時間範囲とクエリスコープに基づいてログ内のフィールドから自動的に抽出され、30 日間保持される使用可能な値とカウントが表示されます。表示されるファセット数は概算です。データソース名やデータソースタイプなどのデフォルトのファセットを使用してログを調べたり、ログの任意のフィールドにカスタムファセットを作成したりできます。データソース名はログを生成する AWS のサービスまたはアプリケーション (Route 53、Amazon VPC、CloudTrail など) であり、データソースタイプはそのサービスによって生成される特定のタイプのログです。デフォルトのファセットは CloudWatch によって作成され@aws.region、、@data_source_name@data_source_type、および が含まれます@data_format。詳細については、「ログ管理」を参照してください。ファセットは、アカウントに取り込まれたログでのみ使用できます。クロスアカウントオブザーバビリティを設定している場合、モニタリングアカウントはソースアカウントのログに基づいてファセットを表示できません。

追加のファセットを作成するには、トラブルシューティングに関連するログのフィールドを選択し、インデックスポリシーを使用してファセットを設定します。カスタムファセットの場合、低カーディナリティフィールド (Status や ApplicationName など、1 日あたり 100 個未満の一意の値を持つフィールド) にファセットを作成することをお勧めします。1 日あたり 100 個を超える一意の値を持つファセットは高濃度に分類され、これらのファセットの値は表示されません。1 つ以上のファセットを選択し、 をクリックしてログ全体でクエリを実行します。

CloudWatch Logs Insights でファセットの使用を開始するには:

  1. CloudWatch コンソールの https://console.aws.amazon.com/cloudwatch/ を開いてください。

  2. ナビゲーションペインで、[ログ][Logs Insights] を選択します。

  3. (オプション) 時間範囲セレクタを使用して、分析する期間を選択します。選択した時間範囲について、使用可能なファセットと値がパネルに表示されます。

  4. ファセットを選択してデータを探索し、ファセット間の値分布をリアルタイムで更新します。

    100 個を超える一意の値を持つファセットは表示されません。特定の値をクエリするには、代わりにクエリでフィルターを使用します。

ファセットベースのクエリを実行するには

  1. ファセット間で 1 つ以上の値を選択します。

  2. イベント数は、選択したファセットと値に基づいて更新されます。

  3. ファセット値を選択すると、クエリスコープが更新されて選択が反映されます。

  4. ファセット値を選択したら、実行をクリックしてクエリを実行します。

  5. ファセットごとにサポートされる一意の値の最大数は 100 です。たとえば、ファセットの値が 100 を超える場合、すべてのカウントは「-」と表示され、値が不明であることを示します。

ファセットベースのクエリを保存するには

  1. 1 つ以上のファセット値を使用してクエリを作成します。

  2. 残りのステップは、Logs Insights クエリの保存と同じです。CloudWatch Logs Insights クエリの保存」を参照してください。

  3. 保存済みクエリは、保存済みクエリセクションで使用できます。保存されたクエリを取得すると、クエリに使用されるファセットと値が自動的に含まれるため、ログの分析が容易になります。

アカウントレベルのファセットを作成するには

  1. ファセットを作成するには、まずフィールドをインデックスとして作成し、ファセットとして設定する必要があります。ナビゲーションペインで、設定ログアカウントレベルのインデックスポリシーを選択します。または、ファセットパネルでファセットの管理を選択することもできます。

  2. 新しいインデックスポリシーの作成 を選択します。インデックスポリシーの作成の詳細については、「」を参照してくださいアカウントレベルのフィールドインデックスポリシーを作成する

  3. ファセットを作成するには、インデックスポリシーの作成ページで、選択したフィールドのファセットとして設定 を確認します。

APIsを使用したファセット管理

ファセット管理は、フィールドインデックスポリシーを使用して実行できます。詳細については、field indexAPIs」を参照してください。

フィールドインデックス APIs
いいえ。 Name 説明
1 PutIndexPolicy 特定のロググループのフィールドインデックスポリシーを作成または更新します
2 PutAccountPolicy アカウント内のすべてのロググループまたはロググループのサブセットに適用されるアカウントレベルのデータ保護ポリシー、サブスクリプションフィルターポリシー、フィールドインデックスポリシー、トランスフォーマーポリシー、またはメトリクス抽出ポリシーを作成します。
3 DeleteIndexPolicy 1 つのロググループに適用されたロググループレベルのフィールドインデックスポリシーを削除します。
4 DeleteAccountPolicy CloudWatch Logs アカウントポリシーを削除します