本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用篩選條件從日誌事件建立指標
您可以建立一個或多個*指標篩選條件*,以搜尋並篩選進入 CloudWatch Logs 的日誌資料。指標篩選條件可定義要在傳送至 CloudWatch Logs 的日誌資料中尋找的詞彙和模式。CloudWatch Logs 使用這些指標篩選條件將日誌資料轉換為數值 CloudWatch 指標,供您繪製圖形或設定警示。
當您從記錄篩選條件建立指標時,您也可以選擇指派指標的維度和單位。如果您指定單位,請務必在建立篩選條件時指定正確的單位。後來再變更篩選條件的單位沒有作用。
如果您已設定 AWS Organizations 並正在使用成員帳戶,您可以使用日誌集中,從來源帳戶收集日誌資料到中央監控帳戶。
使用集中式日誌群組時,您可以在建立指標篩選條件時使用這些系統欄位維度。
+ `@aws.account` - 此維度代表日誌事件來源 AWS 的帳戶 ID。
+ `@aws.region` - 此維度代表產生日誌事件 AWS 的區域。
這些維度有助於識別日誌資料來源,以便更精細地篩選和分析衍生自集中式日誌的指標。如需詳細資訊,請參閱[跨帳戶跨區域日誌集中化](CloudWatchLogs_Centralization.md)。
如果具有訂閱的日誌群組使用日誌轉換,則篩選條件模式會套用至日誌事件的轉換版本。如需詳細資訊,請參閱[在擷取期間轉換日誌](CloudWatch-Logs-Transformation.md)。
**注意**
僅標準日誌類別中的日誌群組支援指標篩選條件。如需日誌類別的詳細資訊,請參閱 [日誌類別](CloudWatch_Logs_Log_Classes.md)。
當檢視這些指標或設定警示時,您可以使用任何類型的 CloudWatch 統計數字,包括百分位數統計數字。
**注意**
只有在指標值全都不是負數時,才會支援百分位數統計資料。如果您設定指標篩選條件,使其可以回報負數,百分位數統計資料在擁有負數的值時將無法用於該指標。如需詳細資訊,請參閱[百分位數](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch_concepts.html#Percentiles)。
篩選條件不追溯篩選條件資料。篩選條件只針對篩選條件建立後發生的事件發佈指標資料點。測試篩選條件模式時,**篩選條件結果**預覽最多會顯示前 50 個相符的日誌行,以供驗證之用。如果篩選結果上的時間戳記早於指標建立時間,則不會顯示日誌。
**Topics**
+ [概念](#search-filter-concepts)
+ [指標篩選條件的篩選條件模式語法](FilterAndPatternSyntaxForMetricFilters.md)
+ [建立指標篩選條件](MonitoringPolicyExamples.md)
+ [列出指標篩選條件](ListingMetricFilters.md)
+ [刪除指標篩選條件](DeletingMetricFilter.md)
## 概念
每個指標篩選條件是由下列關鍵元素組成:
**預設值**
值會在日誌被擷取但沒有發現相符日誌的時間段內,回報至指標篩選條件。將此設定為 0,可確保每個時間段都會回報資料,以免某些時間段沒有相符的資料,而產生起伏不定的指標。不過,如果在 1 分鐘的時間段內沒有擷取任何日誌事件,則不會回報任何值。
如果您將維度指派給由指標篩選條件建立的指標,則無法為該指標指派預設值。
**維度**
維度是進一步定義指標的鍵值組。您可以將維度指派給從指標篩選條件建立的指標。由於維度是指標唯一識別符的一部分,每當您從日誌擷取唯一名稱/值組時,就是在建立該指標的新變化。
**篩選條件模式**
象徵性描述 CloudWatch Logs 應如何解譯每個日誌事件中的資料。例如,日誌項目可能包含時間戳記、IP 地址、字串,以此類推。您可以使用模式以指定要在日誌檔中尋找的項目。
**指標名稱**
受監控日誌資訊應發佈至其中的 CloudWatch 指標名稱。例如,您可能發佈到名為 ErrorCount 的指標。
**指標命名空間**
新 CloudWatch 指標的目的地命名空間。
**指標值**
每次找到相符日誌時要發佈到指標的數值。例如,如果您是計數特定詞彙 (像是 "Error") 的出現次數,每個出現次數的值將為 "1"。如果您是計數傳出的位元組,您可以透過日誌事件中找到的實際位元組數來遞增計數。