本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 在擷取期間轉換日誌 透過日誌轉換和擴充,您可以在擷取至 CloudWatch Logs 時,以一致且內容豐富的格式將所有日誌標準化。您可以使用 AWS WAF 和 Amazon Route 53 等常見 AWS 服務的預先設定範本,或使用 [Grok](CloudWatch-Logs-Transformation-Configurable.md#CloudWatch-Logs-Transformation-Grok) 等原生剖析器建置自訂轉換器,將結構新增至日誌。您也可以重新命名現有的屬性,並將其他中繼資料新增至您的日誌,例如帳戶 ID 和區域。 日誌轉換有助於簡化和縮短跨應用程式的日誌查詢,並有助於簡化在日誌上建立提醒。此功能使用 VPC Flow 日誌、Route 53 和 等主要日誌來源out-of-the-box轉換範本,為常見的 AWS 日誌類型提供轉換 Amazon RDS for PostgreSQL。您可以使用預先設定的轉換範本,或建立自訂轉換器以符合您的需求。 日誌轉換可協助您管理從各種來源發出的日誌,這些來源的格式和屬性名稱差異很大。 建立轉換器之後,擷取的日誌事件會以標準格式轉換和儲存。您可以使用下列功能,利用這些轉換的日誌來加速分析體驗: + [欄位索引](CloudWatchLogs-Field-Indexing.md) + [CloudWatch Logs Insights 探索的欄位](CWL_AnalyzeLogData-discoverable-fields.md) + 使用[指標篩選條件](MonitoringLogData.md)警示的彈性 + 透過[訂閱篩選條件](Subscriptions.md)轉送 + 使用 [ Contributor Insights](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/ContributorInsights.html) 從日誌事件建立指標資料,您可以選擇讓 Contributor Insights 規則在日誌事件轉換之前或之後評估日誌事件。 轉換只會在日誌擷取期間發生。您無法轉換已擷取的日誌事件。轉換無法還原。原始日誌和轉換日誌都存放在具有相同保留政策的 CloudWatch Logs 中。日誌轉換和擴充功能包含在現有的標準日誌類別擷取價格中。日誌儲存成本將根據轉換後的日誌大小而定,這可能超過原始日誌磁碟區。 **重要** 日誌事件轉換後,您必須使用 CloudWatch Logs Insights 查詢來檢視日誌的轉換版本。[ GetLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_GetLogEvents.html) 和 [ FilterLogEvents](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_FilterLogEvents.html) 動作只會在轉換日誌事件之前傳回原始版本的日誌事件。 **重要** 雖然 PutLogEvents 中允許最多 1MB 的單一日誌事件,但日誌轉換只能處理大小小於 512kb 的日誌事件。任何大於 512kb 的日誌事件都會在轉換中失敗並發出錯誤。PutLogEvents 的總大小仍然可以超過 512kb。 除了轉換為不同的格式之外,您還可以使用帳戶 ID、區域和關鍵字等其他內容來豐富您的日誌。這些是從日誌群組名稱和靜態關鍵字擷取。 日誌轉換可協助您處理從各種來源發出的日誌,這些來源的格式和屬性名稱差異很大。 只有標準日誌類別中的日誌群組才支援日誌轉換和擴充。 您可以為個別日誌群組建立轉換器,也可以建立套用至您帳戶中所有或多個日誌群組的帳戶層級轉換器。如果日誌群組具有日誌群組層級轉換器,則該轉換器會覆寫任何帳戶層級轉換器,否則會套用至該日誌群組。 **Topics** + [建立和管理日誌轉換器](CloudWatch-Logs-Transformation-Create.md) + [可設定的剖析器類型處理器](CloudWatch-Logs-Transformation-Configurable.md) + [適用於 AWS 付費日誌的內建處理器](CloudWatch-Logs-Transformation-BuiltIn.md) + [字串變動處理器](CloudWatch-Logs-Transformation-StringMutate.md) + [JSON 變動處理器](CloudWatch-Logs-Transformation-JSONMutate.md) + [資料類型轉換器處理器](CloudWatch-Logs-Transformation-Datatype.md) + [轉換指標和錯誤](Transformation-Errors-Metrics.md)