本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用面向來分組和探索日誌
面向有助於分析日誌,因為它們可讓您以互動方式篩選和分組資料,而無需執行查詢。面向是日誌中的欄位 (例如 ServiceName或 StatusCode),可啟用跨日誌群組的篩選、彙總和分析。您可以在 CloudWatch Logs Insights 主控台中檢視面向欄位清單,以及根據您選取的時間範圍,每個面向值的日誌事件計數。當您選取不同的面向和值時,面向值和計數會即時更新,讓您以互動方式探索日誌。
每個面向都會根據選取的時間範圍和查詢範圍,顯示日誌中欄位自動擷取的可用值和計數,並保留 30 天。顯示的面向計數為近似值。您可以使用資料來源名稱或資料來源類型等預設面向來探索日誌,或在日誌中的任何欄位上建立自訂面向。資料來源名稱是產生日誌的 AWS 服務或應用程式 (例如 Route 53、Amazon VPC 或 CloudTrail),而資料來源類型是該服務產生的特定日誌類型。預設面向是由 CloudWatch 建立,並包含 @aws.region、@data_source_type、 @data_source_name和 @data_format。如需詳細資訊,請參閱日誌管理。面向僅適用於在帳戶中導入的日誌。如果您已設定跨帳戶可觀測性,監控帳戶將無法根據來源帳戶的日誌檢視面向。
若要建立其他面向,請選取日誌中與您的故障診斷相關的欄位,並使用索引政策進行設定。對於自訂面向,我們建議在低基數欄位上建立它們 (每天小於 100 個唯一值的欄位,例如狀態和 ApplicationName)。每天有超過 100 個唯一值的構面會分類為高基數,且不會顯示這些構面的值。選取一或多個面向,然後按一下以跨日誌執行查詢。
若要開始使用 CloudWatch Logs Insights 中的面向:
-
透過 https://console.aws.amazon.com/cloudwatch/
開啟 CloudWatch 主控台。 -
在導覽窗格中,選擇日誌,然後選擇 Logs Insights。
-
(選用) 使用時間範圍選擇器來選取您要分析的時段。對於選取的時間範圍,可用的面向和值會顯示在面板中。
-
選取構面以探索您的資料,並查看各個構面中值分佈的即時更新。
不會顯示具有超過 100 個唯一值的面向。若要查詢特定值,請改為在查詢中使用篩選條件。
執行面向型查詢
-
跨面向選取一或多個值。
-
事件計數會根據選取的面向和值更新。
-
選取面向值時,查詢範圍會更新以反映選擇。
-
選取面向值後,按一下執行以執行查詢。
-
每個面向支援的唯一值數目上限為 100。例如,如果構面有 100 個以上的值,則所有計數會顯示為 "-",表示值未知。
儲存面向型查詢
-
使用一或多個面向值建立查詢。
-
其餘步驟與儲存 Logs Insights 查詢相同。請參閱儲存 CloudWatch Logs Insights 查詢。
-
您儲存的查詢可在儲存的查詢區段中使用。當您擷取已儲存的查詢時,它會自動包含用於查詢的面向和值,讓您輕鬆分析日誌。
建立帳戶層級面向
-
若要建立面向,您必須先建立 欄位做為索引,並將其設定為面向。在導覽窗格中,選擇設定、日誌、帳戶層級索引政策。或者,您可以在面向面板上選取管理面向。
-
選擇建立新的索引政策。如需建立索引政策的詳細資訊,請參閱 建立帳戶層級欄位索引政策。
-
若要建立面向,請在索引政策建立頁面中勾選將選定欄位設為面向。
使用 APIs面向管理
您可以使用欄位索引政策來完成面向管理。如需詳細資訊,請參閱 field index API。 APIs
| 否。 | 名稱 | 描述 |
|---|---|---|
| 1 | PutIndexPolicy | 建立或更新特定日誌群組的欄位索引政策 |
| 2 | PutAccountPolicy | 建立帳戶層級資料保護政策、訂閱篩選條件政策、欄位索引政策、轉換器政策或指標擷取政策,適用於帳戶中的所有日誌群組或日誌群組子集 |
| 3 | DeleteIndexPolicy | 刪除套用至單一日誌群組的日誌群組層級欄位索引政策 |
| 4 | DeleteAccountPolicy | 刪除 CloudWatch Logs 帳戶政策 |
