lookup - Amazon CloudWatch Logs
조회 테이블 생성 및 관리조회를 위한 쿼리 구문

기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.

lookup

lookup를 사용하여 조회 테이블의 참조 데이터로 쿼리 결과를 보강합니다. 조회 테이블에는 Amazon CloudWatch Logs에 업로드하는 CSV 데이터가 포함되어 있습니다. 쿼리가 실행되면 lookup 명령은 로그 이벤트의 필드를 조회 테이블의 필드와 일치시키고 지정된 출력 필드를 결과에 추가합니다.

사용자 IDs를 사용자 세부 정보에 매핑하거나, 제품 코드를 제품 정보에 매핑하거나, 오류 코드를 오류 설명에 매핑하는 등의 데이터 보강 시나리오에는 조회 테이블을 사용합니다.

조회 테이블 생성 및 관리

쿼리에서 lookup 명령을 사용하려면 먼저 조회 테이블을 생성해야 합니다. CloudWatch 콘솔에서 또는 Amazon CloudWatch Logs API를 사용하여 조회 테이블을 생성하고 관리할 수 있습니다.

조회 테이블을 생성하려면(콘솔)

  1. https://console.aws.amazon.com/cloudwatch/에서 CloudWatch 콘솔을 엽니다.

  2. 탐색 창에서 설정을 선택한 다음 로그 탭을 선택합니다.

  3. 조회 테이블로 스크롤하고 관리를 선택합니다.

  4. 조회 테이블 생성을 선택합니다.

  5. 조회 테이블의 이름을 입력합니다. 이름은 영숫자 문자, 하이픈 및 밑줄만 포함할 수 있습니다.

  6. (선택 사항) 설명을 입력합니다.

  7. CSV 파일을 업로드합니다. 파일에는 열 이름이 있는 헤더 행이 포함되어야 하며 UTF-8 인코딩을 사용하고 10MB를 초과하지 않아야 합니다.

  8. (선택 사항) 테이블 데이터를 암호화할 AWS KMS 키를 지정합니다.

  9. 생성(Create)을 선택합니다.

조회 테이블을 생성한 후 CloudWatch Logs Insights 쿼리 편집기에서 조회 테이블을 볼 수 있습니다. 테이블 조회 탭을 선택하여 사용 가능한 테이블과 해당 필드를 찾습니다.

조회 테이블을 업데이트하려면 테이블을 선택하고 작업, 업데이트를 선택합니다. 기존 콘텐츠를 모두 바꾸려면 새 CSV 파일을 업로드합니다. 조회 테이블을 삭제하려면 작업, 삭제를 선택합니다.

참고

당 계정당 최대 100개의 조회 테이블을 생성할 수 있습니다 AWS 리전. CSV 파일은 최대 10MB일 수 있습니다. Amazon CloudWatch Logs API를 사용하여 조회 테이블을 관리할 수도 있습니다. 자세한 내용은 Amazon CloudWatch Logs API 참조의 CreateLookupTable을 참조하세요. Amazon CloudWatch

조회를 위한 쿼리 구문

명령 구조

다음은이 명령의 형식을 보여줍니다.

lookup table lookup-field as log-field [,...] output-mode output-field[,...]

명령은 다음 인수를 사용합니다.

  • table - 사용할 조회 테이블의 이름입니다.

  • lookup-field - 일치하는 조회 테이블의 필드입니다.

  • log-field - 일치하는 로그 이벤트의 필드입니다. 일치는 정확하고 대/소문자를 구분합니다.

  • output-mode - 결과에 출력 필드를 OUTPUT 추가하려면를 지정합니다. 동일한 이름의 필드가 로그 이벤트에 이미 있는 경우 덮어씁니다.

  • output-field - 조회 테이블에서 결과에 추가할 하나 이상의 필드입니다.

예: 사용자 세부 정보로 로그 이벤트 강화

id 필드가 포함된 이벤트가 있는 로그 그룹과 id, , name email및 열이 user_data 있는 이름이 인 조회 테이블이 있다고 가정해 보겠습니다department. 다음 쿼리는 조회 테이블의 사용자 이름, 이메일 및 부서로 각 로그 이벤트를 보강합니다.

fields action, status, name, email, department
| lookup user_data id OUTPUT name, email, department
예: 집계와 함께 조회 사용

집계 함수와 함께 조회 출력 필드를 사용할 수 있습니다. 다음 쿼리는 사용자 세부 정보로 로그 이벤트를 보강한 다음 이메일 주소별로 그룹화된 이벤트를 계산합니다.

fields user_id, action, username, email, department
| lookup user_data user_id OUTPUT username, email, department
| stats count(*) by email
예: 필터와 함께 조회 사용

조회에서 반환된 필드를 기준으로 결과를 필터링할 수 있습니다. 다음 쿼리는 로그 이벤트를 보강한 다음 특정 부서의 이벤트만 표시하도록 필터링합니다.

fields user_id, action
| lookup user_data user_id OUTPUT username, email, department
| filter department = "Engineering"