Analyzing log CloudWatch log d - Amazon CloudWatch 日志

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Analyzing log CloudWatch log d

您可以使用 CloudWatch Logs Insights,通过交互方式搜索并分析 Amazon Logs 中的 CloudWatch 日志数据。您可以执行查询以帮助您更高效地响应操作问题。如果出现问题,您可以使用 CloudWatch Logs Insights 识别潜在原因并验证已部署的修复。

CloudWatch Logs Insights 支持三种可用于查询的查询语言:

  • 一种专门构建的 L ogs Insights 查询语言(Logs Insights QL),带有一些简单但功能强大的命令。

  • (新) OpenSearch 服务管道处理语言(PPL)。 OpenSearch PPL 允许您使用一组由竖线 (|) 分隔的命令分析日志。

    使用 OpenSearch PPL,您可以使用串接在一起的命令来检索、查询和分析数据,从而更容易理解和撰写复杂的查询。该语法允许串联命令以转换和处理数据。使用 PPL,您可以筛选和聚合数据,并使用丰富的数学、字符串、日期、条件和其他函数进行分析。

  • (新) OpenSearch 服务结构化查询语言(SQL)。使用 OpenSearch SQL 查询,您可以以声明方式分析日志。你可以使用 SELECT、FROM、WHERE、GROUP BY、HAVING 等命令以及 SQL 中提供的各种其他命令和函数。您可以 JOINs 跨日志组执行,使用子查询关联日志中的数据,并使用丰富的 JSON、数学、字符串、条件和其他 SQL 函数对日志进行强大的分析。

重要

为了增强 CloudWatch Logs Insights 查询的安全性,从 2025 年 7 月 31 日起,用户必须同时使用logs:StartQuerylogs:GetQueryResults权限登录,才能在 CloudWatch控制台中运行查询。在此日期之后,没有这两种权限的用户将无法在控制台中查看查询结果,而是在尝试在控制台中查看查询结果时会看到一条横幅消息。

更改后,所需的控制台体验权限将与 SDK 和使用和的 AWS CLI 用户当前所需的权限一致 GetQueryResults APIs。 StartQuery

有关如何创建 IAM 策略或向现有策略添加权限的信息,请参阅 IAM 用户指南中的使用客户托管策略定义自定义 IAM 权限和编辑 IAM 策略

CloudWatch Logs Insights 提供以下功能,可用于任何查询语言。

  • 自动发现来自 AWS 服务(如 Amazon Route 53、和 Amazon VPC)的日志中的日志字段 AWS Lambda AWS CloudTrail,以及以 JSON 格式发出日志事件的任何应用程序或自定义日志中的日志中的日志中的日志中的日志中的日志中的日志中的日志中的日志中的日志中的日志中的日志中的日志字段。

  • 创建字段索引以降低成本并加快结果速度,特别是对于大量日志组或日志事件的查询。为日志事件中常见的字段创建字段索引后,可以在查询中使用它们。该查询会跳过已知不包含索引字段的日志事件的处理,处理的数据也更少。

    注意

    filterIndex命令仅在 Logs Insights QL 中可用。

  • 检测和分析日志事件中的模式。模式是在日志字段中重复出现的共有的文本结构。查看查询结果时,您可以选择模式选项卡来查看 CloudWatch Logs 根据结果示例找到的模式。

  • 保存查询、查看查询历史记录并重新运行已保存的查询。这可以帮助您在需要时运行复杂的查询,而无需每次要运行它们时都重新创建它们。

  • 向@@ 仪表板添加查询

  • 使用加密查询结果。 AWS Key Management Service

只有当您使用 L CloudWatch ogs Insights QL 时,才支持以下日志见解功能。

重要

CloudWatch Logs Insights 无法访问时间戳早于日志组创建时间的日志事件。

如果您登录了在 CloudWatch 跨账户可观察性中设置为监控账户的账户,则可以对与该监控账户关联的源账户中的 CloudWatch 日志组运行 Logs Insights 查询。您可以运行一个查询,查询位于不同账户中的多个日志组。有关更多信息,请参阅 CloudWatch 跨账户可观测性

当您使用 Logs Insights 创建查询时,您也可以使用自然语言创建 Logs Ins CloudWatch ights 查询。要执行此操作,请询问或描述您要查找的数据。此 AI 辅助功能可按照您的提示生成查询,并 line-by-line说明查询的工作原理。有关更多信息,请参阅使用自然语言生成与更新 L CloudWatch ogs Insights 查询

如果查询未在 60 分钟内完成,则会超时。查询结果在 7 天内可用。

CloudWatch Logs Insights 查询将根据查询的数据量收费,无论查询语言如何。有关更多信息,请参阅 Amazon CloudWatch 定价

您可以使用 Lo CloudWatch gs Insights 搜索在 2018 年 11 月 5 日或之后发送到 Logs 的 CloudWatch 日志数据。

重要

如果您的网络安全团队不允许使用 Web 套接字,则您目前无法访问 CloudWatch 控制台的 CloudWatch Logs Insights 部分。您可以通过使用 CloudWatch Logs Insights 查询功能 APIs。有关更多信息,请参阅 Amazon CloudWatch 日志 API 参考StartQuery中的。

内容