OpenSearch Service での Amazon CloudWatch Logs データのダイレクトクエリ

このセクションでは、Amazon OpenSearch Service でデータソース統合を作成および設定するプロセスについて説明します。これにより、CloudWatch Logs に保存されているデータを効率的にクエリおよび分析できます。

以下のページでは、CloudWatch Logs のダイレクトクエリ用データソースをセットアップ方法、必要な前提条件の確認方法、 AWS マネジメントコンソールを使用する手順をステップごとに説明します。

トピック

料金

Amazon OpenSearch Service は、CloudWatch Logs の直接クエリに対して OpenSearch Compute Unit (OCU) の料金を提供します。直接クエリを実行すると、1 時間あたりの OCUs の料金が発生し、請求には DirectQuery OCU の使用タイプとして表示されます。また、Amazon CloudWatch Logs とは別の料金が発生します。

ダイレクトクエリには、インタラクティブビュークエリとインデックス付きビュークエリの 2 つのタイプがあります。

インタラクティブクエリは、データセレクタに入力し、CloudWatch Logs のデータに対して分析を実行するために使用されます。OpenSearch Service は、拡張セッションを維持せずに、個別の事前ウォームされたジョブで各クエリを処理します。
インデックス付きビュークエリは、コンピューティングを使用して OpenSearch Service のインデックス付きビューを維持します。これらのクエリは通常、名前付きインデックスに取り込むデータ量が一定でないため、処理に時間がかかります。CloudWatch Logs に接続されたデータソースの場合、インデックス化されたデータは OpenSearch Serverless コレクションに保存され、インデックス化されたデータ (IndexingOCU)、検索されたデータ (SearchOCU)、GB で保存されたデータに対して課金されます。

詳細については、「Amazon OpenSearch Service の料金」の「ダイレクトクエリとサーバーレス」セクションを参照してください。

制限事項

CloudWatch Logs の直接クエリには、次の制限が適用されます。

CloudWatch Logs とのダイレクトクエリ統合は、OpenSearch Service コレクションと OpenSearch ユーザーインターフェイスでのみ使用できます。
OpenSearch Serverless コレクションには、100 MiB のネットワークペイロード制限があります。
CloudWatch Logs は、コンソールからインストールされた VPC フロー、CloudTrail、 AWS WAF ダッシュボード統合をサポートします。
AWS CloudFormation テンプレートはまだサポートされていません。
OpenSearch SQL ステートメントと OpenSearch PPL ステートメントは、OpenSearch インデックスを使用する場合とダイレクトクエリを使用する場合とでは制限が異なります。ダイレクトクエリでは、JOIN、サブクエリ、ルックアップなどの高度なコマンドがサポートされていますが、OpenSearch インデックスでのこれらのコマンドのサポートは制限されているか、存在していません。詳細については、「サポートされている SQL コマンドと PPL コマンド」を参照してください。

推奨事項

CloudWatch Logs で直接クエリを使用する場合は、次のことをお勧めします。

1 つのクエリで複数のロググループを検索する場合は、適切な構文を使用します。詳細については、「マルチロググループ関数」を参照してください。
SQL コマンドまたは PPL コマンドを使用する場合は、特定のフィールドをバッククオートで囲んでクエリを正常に実行します。特殊文字 (アルファベットや数字でないもの) を含むフィールドにはバッククオートが必要です。例えば、@message、Operation.Export,、Test::Field をバッククオートで囲みます。列名がアルファベットのみの場合はバッククオートで囲む必要はありません。

シンプルなフィールドを含むクエリの例:
```
SELECT SessionToken, Operation, StartTime  FROM `LogGroup-A`
LIMIT 1000;
```
バッククオートが付け足された類似のクエリ:
```
SELECT `@SessionToken`, `@Operation`, `@StartTime` FROM `LogGroup-A`
LIMIT 1000;
```
クエリの制限を使用して、データが多すぎないようにします。
フィールド名が同一であるが、大文字や小文字のみが異なる (field1 および FIELD1 など) クエリはサポートされていません。

例として、以下のクエリはサポートされていません。
```
Select AWSAccountId, AwsAccountId from LogGroup
Select a.@LogStream, b.@logStream from Table A INNER Join Table B ona.id = b.id
```
ただし、このフィールド名 (@logStream) は両方のロググループで同一であるため、次のクエリがサポートされています。
```
Select a.@logStream, b.@logStream from Table A INNER Join Table B on a.id = b.id
```
関数と式はフィールド名に対して操作し、FROM 句で指定されたロググループを持つ SELECT ステートメントの一部である必要があります。

例として、次のクエリはサポートされていません。
```
SELECT cos(10) FROM LogGroup
```
次のクエリはサポートされています。
```
SELECT cos(field1) FROM LogGroup
```

クォータ

注記

CloudWatch Logs Insights を使用してダイレクトクエリを実行する場合は、必ず「OpenSearch SQL を使用する CloudWatch Logs Insights ユーザーの追加情報」を参照してください。

説明	値	ソフト制限?	注意事項
ダイレクトクエリ API 全体のアカウントレベルの TPS 制限	3 TPS	はい
データソースの最大数	20	はい	制限はごとです AWS アカウント。
自動更新インデックスまたはマテリアライズドビューの最大数	30	はい	制限はデータソースごとに適用されます。
最大同時クエリ数	30	はい	制限はデータソースごとであり、保留中または実行中状態のクエリに適用されます。インタラクティブクエリ ( などのデータ取り出しコマンドなど`SELECT`) とインデックスクエリ (`CREATE`/ などのオペレーションなど) が含まれます`ALTER`。
1 クエリあたりの最大同時 OCU	512	はい	OpenSearch コンピューティングユニット (OCU) 15 個のエグゼキューターと 1 個のドライバーに基づいて制限します。各ドライバーには 16 個の vCPU と 32 GB のメモリがあります。同時処理能力を表します。
最大クエリ実行時間 (分)	60	いいえ	制限は、CloudWatch Logs Insights の OpenSearch PPL/SQL クエリに適用されます。
古いクエリ ID を削除する期間	90 日間	はい	これは、OpenSearch Service が古いエントリのクエリメタデータを消去するまでの期間です。例えば、90 日以上経過したクエリでは、GetDirectQuery または GetDirectQueryResult の呼び出しは失敗します。

サポートされる AWS リージョン

CloudWatch Logs の直接クエリでは、以下 AWS リージョンがサポートされています。

アジアパシフィック (ムンバイ)
アジアパシフィック (香港)
アジアパシフィック (大阪)
アジアパシフィック (ソウル)
アジアパシフィック (シンガポール)
アジアパシフィック (シドニー)
アジアパシフィック (東京)
カナダ (中部)
欧州 (フランクフルト)
欧州 (アイルランド)
欧州 (ストックホルム)
欧州 (ミラノ)
欧州 (スペイン)
米国東部 (バージニア北部)
米国東部 (オハイオ)
米国西部 (オレゴン)
米国西部 (北カリフォルニア)
欧州 (パリ)
欧州 (ロンドン)
南米（サンパウロ）

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

S3 データソースの設定

CloudWatch Logs データソースの作成