本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 对日志组启用异常检测 使用以下步骤使用 CloudWatch 控制台创建日志异常检测器,用于扫描日志组中是否存在异常。 您还可以以编程方式创建异常检测器。有关更多信息,请参阅 [CreateLogAnomalyDetector](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLogAnomalyDetector.html)。 **创建日志异常检测器** 1. 打开 CloudWatch 控制台,网址为[https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)。 1. 选择**日志**、**日志异常**。 1. 选择**创建异常检测器**。 1. 选择要为其创建此异常检测器的日志组。 1. 在**异常检测器名称**中输入检测器的名称。 1. (可选)将**评估频率**从默认 5 分钟更改为其他频率。根据日志组接收新日志的频率设置此值。例如,如果日志组每 10 分钟批量接收新的日志事件,则将评估频率设置为 15 分钟可能合适。 1. (可选)要将异常检测器配置为仅在包含特定单词或字符串的日志事件中查找异常,请选择**筛选模式**。 然后,在**异常检测筛选模式**中输入模式。有关模式语法的更多信息,请参阅 [指标筛选条件、订阅筛选条件、筛选日志事件和 Live Tail 的筛选条件模式语法](FilterAndPatternSyntax.md)。 (可选)要测试筛选模式,请在**日志事件消息**中输入一些日志消息,然后选择**测试模式**。 1. (可选)要将异常可见性周期更改为默认值或将 AWS KMS 密钥与此异常检测器相关联,请选择**高级**配置。 1. 要更改默认异常可见性期限,请在**最长异常可见性期限(天)**中输入一个新值。 1. 要将 AWS KMS 密钥与此异常检测器关联,请在 KMS **密钥 ARN 中**输入 ARN。如果您分配了一个密钥,则此检测器发现的异常信息将使用该密钥进行静态加密。用户必须拥有此密钥的权限以及异常检测器检索其发现的异常相关信息的权限。 您还必须确保 CloudWatch 日志服务主体有权使用该密钥。有关更多信息,请参阅 [使用对异常检测器及其结果进行加密 AWS KMS](LogsAnomalyDetection-KMS.md)。 1. 选择**启用异常检测**。 根据日志组正在提取的日志事件,将创建异常检测器并开始训练其模型。大约 15 分钟后,异常检测开始启动并开始查找和发现异常。