本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
在擷取期間轉換日誌
透過日誌轉換和擴充,您可以在擷取至 CloudWatch Logs 時,以一致且內容豐富的格式將所有日誌標準化。您可以使用 AWS WAF 和 Amazon Route 53 等常見 AWS 服務的預先設定範本,或使用 Grok 等原生剖析器建置自訂轉換器,將結構新增至日誌。您也可以重新命名現有的屬性,並將其他中繼資料新增至您的日誌,例如帳戶 ID 和區域。
日誌轉換有助於簡化和縮短跨應用程式的日誌查詢,並有助於簡化在日誌上建立提醒。此功能使用 VPC Flow 日誌、Route 53 和 等主要日誌來源out-of-the-box轉換範本,為常見的 AWS 日誌類型提供轉換 Amazon RDS for PostgreSQL。您可以使用預先設定的轉換範本,或建立自訂轉換器以符合您的需求。
日誌轉換可協助您管理從各種來源發出的日誌,這些來源的格式和屬性名稱差異很大。
建立轉換器之後,擷取的日誌事件會以標準格式轉換和儲存。您可以使用下列功能,利用這些轉換的日誌來加速分析體驗:
使用指標篩選條件警示的彈性
透過訂閱篩選條件轉送
使用 Contributor Insights 從日誌事件建立指標資料,您可以選擇讓 Contributor Insights 規則在日誌事件轉換之前或之後評估日誌事件。
轉換只會在日誌擷取期間發生。您無法轉換已擷取的日誌事件。轉換無法還原。原始日誌和轉換日誌都存放在具有相同保留政策的 CloudWatch Logs 中。日誌轉換和擴充功能包含在現有的標準日誌類別擷取價格中。日誌儲存成本將根據轉換後的日誌大小而定,這可能超過原始日誌磁碟區。
重要
轉換日誌事件之後,您必須使用 CloudWatch Logs Insights 查詢來檢視日誌的轉換版本。 GetLogEvents 和 FilterLogEvents 動作只會傳回原始版本的日誌事件,然後再進行轉換。
除了轉換為不同的格式之外,您還可以使用帳戶 ID、區域和關鍵字等其他內容來豐富您的日誌。這些是從日誌群組名稱和靜態關鍵字擷取。
日誌轉換可協助您處理從各種來源發出的日誌,這些來源的格式和屬性名稱差異很大。
只有標準日誌類別中的日誌群組才支援日誌轉換和擴充。
您可以為個別日誌群組建立轉換器,也可以建立套用至您帳戶中所有或多個日誌群組的帳戶層級轉換器。如果日誌群組具有日誌群組層級轉換器,則該轉換器會覆寫任何帳戶層級轉換器,否則會套用至該日誌群組。
