使用分面对日志进行分组和浏览 - Amazon CloudWatch 日志
运行基于分面的查询保存基于分面的查询创建账户级分面分面管理使用 APIs

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用分面对日志进行分组和浏览

分面对于分析日志非常有用,因为它们允许您以交互方式筛选和分组数据,而无需运行查询。分面是日志中的一个字段(例如ServiceNameStatusCode),用于跨日志组进行筛选、聚合和分析。您可以在 Lo CloudWatch gs Insights 控制台中查看分面字段列表,以及基于所选时间范围的每个分面值的日志事件计数。当您选择不同的分面和值时,分面值和计数会实时更新,从而使您能够以交互方式浏览日志。

每个方面都显示根据所选时间范围和查询范围自动从日志字段中提取的可用值和计数,并保留 30 天。显示的刻面计数为近似值。您可以使用默认分面(例如数据源名称或数据源类型)来浏览日志,或者在日志中的任何字段上创建自定义分面。数据源名称是生成日志的 AWS 服务或应用程序(例如,Route 53、Amazon VPC 或 CloudTrail),数据源类型是该服务生成的特定日志类型。默认分面由创建 CloudWatch并包括@aws.region@data_source_name@data_source_type、和。@data_format有关更多信息,请参阅 日志管理。Facets 仅适用于在账户中提取的日志。如果您设置了跨账户可观察性,则监控账户无法根据源账户的日志查看分面。

要创建其他方面,请在日志中选择与故障排除相关的字段,然后使用索引策略对其进行配置。对于自定义分面,我们建议在低基数字段(每天具有少于 100 个唯一值的字段,例如 Status 和)上创建它们。 ApplicationName每天具有超过 100 个唯一值的刻面被归类为高基数,并且不会显示这些刻面的值。选择一个或多个方面,然后单击以在日志中运行查询。

要开始使用 “ CloudWatch 日志见解” 中的各个方面,请执行以下操作:

  1. 打开 CloudWatch 控制台,网址为https://console.aws.amazon.com/cloudwatch/

  2. 在导航窗格中,依次选择日志Logs Insights

  3. (可选)使用时间范围选择器选择要分析的时间段。在选定的时间范围内,面板中会显示可用的刻面和值。

  4. 选择分面来浏览您的数据,并查看各个方面的价值分布的实时更新。

    不显示唯一值超过 100 的刻面。要查询特定值,请改为在查询中使用过滤器。

运行基于分面的查询

  1. 跨分面选择一个或多个值。

  2. 事件计数将根据所选的方面和值进行更新。

  3. 选择分面值后,查询范围会更新以反映所选内容。

  4. 选择分面值后,单击 “运行” 以执行查询。

  5. 每个分面支持的最大唯一值数为 100。例如,如果一个刻面的值超过 100 个,则所有计数都显示为 “-”,表示这些值未知。

保存基于分面的查询

  1. 使用一个或多个分面值创建查询。

  2. 其余步骤与保存 Logs Insights 查询相同。请参阅保存 CloudWatch 日志见解查询

  3. 您保存的查询可在 “已保存的查询” 部分找到。当您检索已保存的查询时,它将自动包含用于查询的分面和值,从而可以轻松分析日志。

创建账户级分面

  1. 要创建分面,您需要先将该字段创建为索引,然后将其配置为分面。在导航窗格中,选择设置日志账户级别索引策略。或者,您可以在 “分面” 面板上选择 “管理分面”。

  2. 选择 “创建新索引策略”。有关创建索引策略的详细信息,请参阅创建账户级字段索引策略

  3. 要创建分面,请在索引策略创建页面中选中选定字段的 “设置为分面”。

分面管理使用 APIs

分面管理可以使用字段索引策略完成。有关详细信息,请参阅 field index APIs 。

字段索引 APIs
否。 Name 描述
1 PutIndexPolicy 为特定日志组创建或更新字段索引策略
2 PutAccountPolicy 创建适用于账户中所有日志组或部分日志组的账户级数据保护策略、订阅筛选策略、字段索引策略、转换器策略或指标提取策略
3 DeleteIndexPolicy 删除应用于单个日志组的日志组级别字段索引策略
4 DeleteAccountPolicy 删除 CloudWatch 日志账号策略