本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 CloudWatch Logs Insights 分析日誌資料
使用 CloudWatch Logs Insights,您可以在 Amazon CloudWatch Logs 中以互動方式搜尋和分析日誌資料。您可以執行查詢,協助您有效率地回應操作問題。如果發生問題,您可以使用 CloudWatch Logs 來識別可能的原因並驗證已部署的修正。
CloudWatch Logs Insights 支援三種查詢語言,可用於查詢:
-
專用 Logs Insights 查詢語言 (Logs Insights QL),具有幾個簡單但強大的命令。
-
OpenSearch Service 管道處理語言 (PPL)。OpenSearch PPL 可讓您使用一組以管道 (|) 分隔的命令來分析日誌。
使用 OpenSearch PPL,您可以使用一起輸送的命令來擷取、查詢和分析資料,讓您更輕鬆地了解和編寫複雜的查詢。語法可讓命令鏈結轉換和處理資料。透過 PPL,您可以篩選和彙總資料,並使用一組豐富的數學、字串、日期、條件式和其他函數進行分析。
-
OpenSearch Service 結構化查詢語言 (SQL)。使用 OpenSearch SQL 查詢,您可以宣告方式分析日誌。您可以使用 SELECT、 FROM、WHERE、GROUP BY、HAVING 等命令,以及 SQL 中可用的各種其他命令和函數。您可以跨日誌群組執行 JOINs、使用子查詢關聯日誌之間的資料,並使用一組豐富的 JSON、數學、字串、條件式和其他 SQL 函數對日誌執行強大的分析。
當您使用 SQL 或 PPL 命令時,請務必在反引號中以特殊字元 (非字母和非數字) 括住欄位,以成功查詢它們。例如,將
@message、Operation.Export和 括在反引號Test::Field中。您不需要在反引號中以純字母名稱括住欄位。
重要
若要增強 CloudWatch Logs Insights 查詢的安全性,從 2025 年 7 月 31 日開始,使用者必須使用 logs:StartQuery和 logs:GetQueryResults許可登入,才能在 CloudWatch 主控台中執行查詢。在此日期之後,沒有這兩個許可的使用者將無法在主控台中檢視查詢結果,而是會在嘗試在主控台中檢視查詢結果時看到橫幅訊息。
變更後,所需的主控台體驗許可將與 SDK 和使用 StartQuery 和 GetQueryResults APIs AWS CLI 的使用者目前所需的許可一致。
如需如何建立 IAM 政策或將許可新增至現有政策的詳細資訊,請參閱《IAM 使用者指南》中的使用客戶受管政策定義自訂 IAM 許可和編輯 IAM 政策。
CloudWatch Logs Insights 提供下列功能,可與任何查詢語言搭配使用。
-
從 Amazon Route 53 AWS Lambda AWS CloudTrail、 和 Amazon VPC 等服務自動探索日誌中的日誌欄位,以及以 JSON 形式發出日誌事件的任何應用程式或自訂日誌。 AWS
-
建立欄位索引以降低成本和加速結果,特別是針對大量日誌群組或日誌事件的查詢。在建立日誌事件中常見欄位的欄位索引之後,您可以在查詢中使用它們。查詢會略過處理已知不包含索引欄位的日誌事件,並處理較少的資料。
注意
此
filterIndex命令僅適用於 Logs Insights QL。 -
偵測和分析日誌事件中的模式。模式是在您的日誌欄位之間重複出現的共用文字結構。當您檢視查詢的結果時,您可以選擇模式索引標籤,以查看 CloudWatch Logs 根據結果範例找到的模式。
-
儲存查詢、查看您的查詢歷史記錄,以及重新執行已儲存的查詢。這麼做可幫助您在需要時執行複雜的查詢,而不需要在每次執行時都重新建立查詢。
只有在您使用 Logs Insights QL 時,才支援下列 CloudWatch Logs Insights 功能。
-
比較查詢,將日誌群組中的日誌事件與上一個時段的日誌事件進行比較。
-
filterIndex 命令,強制查詢嘗試僅掃描包含您指定之欄位索引的日誌事件。
重要
CloudWatch Logs Insights 無法存取時間戳記早於日誌群組建立時間的日誌事件。
如果您登入的帳戶設定為 CloudWatch 跨帳戶觀察功能中的監控帳戶,則可以對連結至此監控帳戶之來源帳戶中的日誌群組執行 CloudWatch Logs Insights 查詢。您可以查詢位於不同帳戶中的多個日誌群組。如需詳細資訊,請參閱 CloudWatch 跨帳戶觀察功能。
當您使用 Logs Insights QL 建立查詢時,您也可以使用自然語言來建立 CloudWatch Logs Insights 查詢。因此,請提出問題或描述您正在尋找的資料。此 AI 輔助功能會根據您的提示產生查詢,並逐行說明查詢的運作方式。如需詳細資訊,請參閱使用自然語言來產生和更新 CloudWatch Logs Insights 查詢。
使用任何支援查詢語言的查詢,如果尚未完成,會在 60 分鐘後逾時。查詢結果可使用七天。
無論查詢語言為何,CloudWatch Logs Insights 查詢都會根據查詢的資料量產生費用。如需詳細資訊,請參閱 Amazon CloudWatch 定價
您可以使用 CloudWatch Logs Insights 來搜尋在 2018 年 11 月 5 日或之後傳送至 CloudWatch Logs 的日誌資料。
重要
如果您的網路安全團隊不允許使用 web 通訊端,則您目前無法存取 CloudWatch 主控台的 CloudWatch Logs Insights 部分。您可以透過 API 來使用 CloudWatch Logs Insights 查詢功能。如需詳細資訊,請參閱《Amazon CloudWatch Logs API 參考》中的 StartQuery。
目錄
