Tutorial: executar e modificar um exemplo de consulta - Amazon CloudWatch Logs
Executar um exemplo de consultaModificar o exemplo de consultaAdicionar um comando de filtro ao exemplo de consulta

Tutorial: executar e modificar um exemplo de consulta

O tutorial a seguir ajuda você nos conceitos básicos do CloudWatch Logs Insights. Você executa uma consulta de amostra no Logs Insights QL e vê como modificá-la e voltar a executá-la.

Para executar uma consulta, é necessário já ter logs armazenados no CloudWatch Logs. Se já estiver usando o CloudWatch Logs e tiver grupos de logs e fluxos de logs configurados, você estará pronto para começar. Você pode já ter logs caso use serviços como o AWS CloudTrail, o Amazon Route 53 ou a Amazon VPC e tenha configurado logs nesses serviços para acessar o CloudWatch Logs. Para obter mais informações sobre enviar logs ao CloudWatch Logs, consulte Introdução ao CloudWatch Logs.

As consultas no CloudWatch Logs Insights retornam um conjunto de campos de eventos de log, o resultado de uma agregação matemática ou outra operação realizada em eventos de log. Este tutorial demonstra uma consulta que retorna uma lista de eventos de log.

Executar um exemplo de consulta

Para executar um exemplo de consulta do CloudWatch Logs Insights

  1. Abra o console do CloudWatch em https://console.aws.amazon.com/cloudwatch/.

  2. No painel de navegação à esquerda, escolha Logs e, em seguida, escolha Log Insights(Insights de log).

    Na página Logs Insights (Insights de log), o editor de consultas contém uma consulta padrão no Logs Insights QL que retorna os 20 eventos de logs mais recentes.

  3. No menu suspenso Select log group(s) (Selecione grupo(s) de logs), escolha um ou mais grupos de logs a serem consultados.

    Se esta for uma conta de monitoramento na observabilidade entre contas do CloudWatch, você pode selecionar grupos de logs nas contas de origem, bem como na conta de monitoramento. Uma única consulta pode consultar logs de diferentes contas ao mesmo tempo.

    Você pode filtrar os grupos de log por nome de grupo de log, ID de conta ou rótulo de conta.

    Quando você seleciona um grupo de logs da classe Padrão, o CloudWatch Logs Insights automaticamente detecta os campos de dados do grupo. Para ver esses campos descobertos, selecione o menu Fields (Campos) próximo ao canto superior direito da página.

    nota

    A descoberta de campos só é compatível com os grupos de logs da classe de logs Padrão. Para obter mais informações sobre classes de logs, consulte Classes de logs.

  4. (Opcional) Use o seletor de tempo para selecionar o período que você deseja consultar.

    Você pode escolher intervalos de 5 a 30 minutos, intervalos de 1, 3 e 12 horas ou um período personalizado.

  5. Selecione Run (Executar) para visualizar os resultados.

    Para este tutorial, os resultados incluem os 20 eventos de log adicionados mais recentemente.

    O CloudWatch Logs exibe um gráfico de barras de eventos de log no grupo de logs ao longo do tempo. O gráfico de barras mostra não apenas os eventos na tabela. mas também a distribuição de eventos no grupo de logs correspondente à consulta e ao intervalo de tempo.

  6. Para ver todos os campos de um evento de log retornado, escolha o ícone suspenso triangular à esquerda do evento numerado.

Modificar o exemplo de consulta

Neste tutorial, você modifica a consulta de amostra para mostrar os 50 eventos de log mais recentes.

Se você ainda não tiver executado o tutorial anterior, faça isso agora. Este tutorial começa onde esse tutorial anterior termina.

nota

Algumas consultas de amostra fornecidas com o CloudWatch Logs Insights usam os comandos head ou tail em vez de limit. Esses comandos estão defasados e foram substituídos por limit. Use limit em vez de head ou tail em todas as consultas que você gravar.

Para modificar um exemplo de consulta do CloudWatch Logs Insights

  1. No editor de consultas, altere 20 para 50, e escolha Executar.

    Os resultados da nova consulta são exibidos. Pressupondo-se que haja dados suficientes no grupo de logs no intervalo de tempo padrão, agora há 50 eventos de log listados.

  2. (Opcional) Você pode salvar consultas que você criou. Para salvar essa consulta, escolha Salvar. Para obter mais informações, consulte Salvar e executar consultas novamente do CloudWatch Logs Insights.

Adicionar um comando de filtro ao exemplo de consulta

Este tutorial mostra como fazer uma alteração mais eficiente na consulta no editor. Neste tutorial, filtre os resultados da consulta anterior com base em um campo nos eventos de log recuperados.

Se você ainda não tiver executado os tutoriais anteriores, faça isso agora. Este tutorial começa onde esse tutorial anterior termina.

Para adicionar um comando de filtro à consulta anterior

  1. Decida um campo a ser filtrado. Para ver os campos mais comuns que o CloudWatch Logs detectou nos eventos de log contidos nos grupos de log selecionados nos últimos 15 minutos e a porcentagem desses eventos de log nos quais cada campo aparece, selecione Fields (Campos) do lado direito da página.

    Para ver os campos contidos em um determinado evento de log, escolha o ícone à esquerda dessa linha.

    O campo awsRegion pode ser exibido no evento de log, dependendo de quais eventos estão nos logs. No restante deste tutorial, usamos awsRegion como o campo de filtro, mas você pode usar um campo diferente caso esse campo não esteja disponível.

  2. Na caixa do editor de consultas, coloque o cursor após 50 e pressione Enter.

  3. Na nova linha, digite primeiro | (o caractere de barra vertical) e um espaço. Os comandos em uma consulta do CloudWatch Logs Insights devem ser separados pelo caractere de barra vertical.

  4. Insira filter awsRegion="us-east-1".

  5. Escolha Executar.

    A consulta é reexecutada e agora exibe os 50 resultados mais recentes correspondentes ao novo filtro.

    Se tiver filtrado em um campo diferente e obtido um resultado de erro, você poderá precisar inserir caracteres de escape no nome do campo. Se o nome do campo incluir caracteres não alfanuméricos, você deverá inserir caracteres de apóstrofo (`) antes e depois do nome do campo (por exemplo, `error-code`="102").

    Você deve usar os caracteres de apóstrofo para nomes de campo que contenham caracteres não alfanuméricos, mas não para valores. Os valores estão sempre entre aspas (").

O Logs Insights QL contém recursos de consulta eficientes, inclusive vários comandos e suporte para expressões regulares, além de operações matemáticas e estatísticas. Para obter mais informações, consulte Sintaxe de consulta da linguagem do CloudWatch Logs Insights.