本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 使用 “日志见解” 分析 CloudWatch 日志数据 借助 CloudWatch Logs Insights,您可以在 Amazon Logs 中以交互方式搜索和分析您的 CloudWatch 日志数据。您可以执行查询以帮助您更高效地响应操作问题。除了使用日志组进行查询外,您还可以使用分面、数据源和数据类型进行查询。如果出现问题,您可以使用 CloudWatch Logs Insights 来识别潜在原因并验证已部署的修复程序。每个账户仅限 100 个并发 Lo CloudWatch gs Insights QL,包括添加到仪表板的查询。此外,您可以为 OpenSearch 服务 PPL 或 OpenSearch 服务 SQL 运行 15 个并发查询。 CloudWatch Logs Insights 支持三种可用于查询的查询语言: + 一种专门构建的 **Logs Insights 查询语言(Logs Insights QL)**,包含一些简单但功能强大的命令。 + **OpenSearch 服务管道处理语言 (PPL**)。 OpenSearch PPL 允许您使用一组由竖线 (\$1) 分隔的命令来分析日志。 使用 OpenSearch PPL,您可以使用串接在一起的命令来检索、查询和分析数据,从而更容易理解和撰写复杂的查询。该语法使命令链能够转换和处理数据。使用 PPL,您可以对数据进行筛选和聚合,并使用一组丰富的数学、字符串、日期、条件和其他函数进行分析。 + **OpenSearch 服务结构化查询语言 (SQL)**。使用 OpenSearch SQL 查询,您可以以声明方式分析日志。您可以使用 SELECT、FROM、WHERE、GROUP BY、HAVING 等命令,以及 SQL 中提供的各种其他命令和函数。您可以 JOINs 跨日志组执行,使用子查询关联日志中的数据,并使用丰富的 JSON、数学、字符串、条件和其他 SQL 函数对日志进行强大的分析。 使用 SQL 或 PPL 命令时,请务必用反引号将包含特殊字符(非字母和非数字)的字段括起来,才能成功查询。例如,对 `@message`、`Operation.Export` 和 `Test::Field` 使用反引号。纯字母名称的字段无需使用反引号。 CloudWatch Logs Insights 提供以下功能,可用于任何查询语言。 + 自动[*发现 Amazon Route 53、 AWS Lambda AWS CloudTrail、和 Amazon VPC 等 AWS 服务的日志中的日志字段*](CWL_AnalyzeLogData-discoverable-fields.md),以及任何以 JSON 形式发送日志事件的应用程序或自定义日志。 + 创建[*字段索引*](CloudWatchLogs-Field-Indexing.md)可以降低成本并加快查询速度,尤其适用于处理大量日志组或日志事件的查询。在为日志事件中常见的字段创建字段索引后,即可在查询中使用这些索引。查询会跳过处理已知不包含索引字段的日志事件,并处理较少的数据。 **注意** `filterIndex` 命令仅在 Logs Insights QL 中可用。 + [*检测和分析日志事件中的模式*](CWL_AnalyzeLogData_Patterns.md)。模式是在日志字段中重复出现的共有的文本结构。查看查询结果时,可以选择 “**模式**” 选项卡,查看 CloudWatch Logs 根据结果样本找到的模式。 + [*保存查询*](CWL_Insights-Saving-Queries.md)、查看查询历史记录、重新运行保存的查询,以及[使用带参数的已保存查询](CWL_Insights-Saving-Queries.md#CWL_Insights-Parameterized-Queries)。 + [*向控制面板添加查询*](CWL_ExportQueryResults.md)。 + [*使用加密查询结果。 AWS Key Management Service*](CloudWatchLogs-Insights-Query-Encrypt.md) + 使用自然语言@@ [生成查询允许您使用自然语言](CloudWatchLogs-Insights-Query-Assist.md)创建 Logs Ins CloudWatch ights 查询。您可以询问或描述您要查找的数据,然后 AI 会根据您的提示生成查询并 line-by-line解释查询的工作原理。 + [使用分面对日志进行分组、筛选和交互式浏览](CloudWatchLogs-Facets.md)。 只有当您使用 L CloudWatch ogs Insights QL 时,才支持以下日志见解功能。 + [比较查询](CWL_AnalyzeLogData_Compare.md),将日志组中的日志事件与先前时间段的日志事件进行比较。 **重要** CloudWatch Logs Insights 无法访问时间戳早于日志组创建时间的日志事件。 如果您登录的账户设置为 CloudWatch 跨账户可观察性监控账户,则可以对与该监控账户关联的源账户中的 CloudWatch 日志组运行 Logs Insights 查询。您可以运行一个查询,查询位于不同账户中的多个日志组。有关更多信息,请参阅 [CloudWatch 跨账户可观测性](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html)。 使用 Logs Insights QL 创建查询时,也可以使用自然语言创建 Logs Ins CloudWatch ights 查询。要执行此操作,请询问或描述您要查找的数据。这种 AI 辅助功能会根据你的提示生成查询,并 line-by-line解释查询的工作原理。有关更多信息,请参阅[使用自然语言生成和更新 L CloudWatch ogs Insights 查询](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatchLogs-Insights-Query-Assist.html)。 如果使用任何支持的查询语言的查询尚未完成,则会在 60 分钟后超时。查询结果的有效期为七天。 CloudWatch 无论查询语言如何,Logs Insights 查询都会根据查询的数据量收取费用。有关更多信息,请参阅 [Amazon CloudWatch 定价](https://aws.amazon.com/cloudwatch/pricing/)。 您可以使用 Lo CloudWatch gs Insights 搜索在 2018 年 11 月 5 日或之后发送到 Logs 的 CloudWatch 日志数据。 **重要** 如果您的网络安全团队不允许使用 Web 套接字,则您目前无法访问 CloudWatch 控制台的 CloudWatch Logs Insights 部分。您可以通过使用 CloudWatch 日志见解查询功能 APIs。有关更多信息,请参阅 *Amazon CloudWatch 日志 API 参考[StartQuery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_StartQuery.html)*中的。 **Topics** + [支持的查询语言](CWL_AnalyzeLogData_Languages.md) + [使用自然语言生成和更新 L CloudWatch ogs Insights 查询](CloudWatchLogs-Insights-Query-Assist.md) + [支持的日志和发现的字段](CWL_AnalyzeLogData-discoverable-fields.md) + [创建字段索引以提高查询性能并减少扫描量](CloudWatchLogs-Field-Indexing.md) + [使用分面对日志进行分组和浏览](CloudWatchLogs-Facets.md) + [模式分析](CWL_AnalyzeLogData_Patterns.md) + [保存并重新运行 Logs Insig CloudWatch hts 查询](CWL_Insights-Saving-Queries.md) + [将查询添加到控制面板或导出查询结果](CWL_ExportQueryResults.md) + [查看正在运行的查询或查询历史记录](CloudWatchLogs-Insights-Query-History.md) + [使用加密查询结果 AWS Key Management Service](CloudWatchLogs-Insights-Query-Encrypt.md) + [根据 Lo CloudWatch gs Insights 查询结果生成自然语言摘要](CloudWatchLogs-Insights-Query-Results-Summary.md)