使用 “日志见解” 分析 CloudWatch 日志数据 - Amazon CloudWatch 日志

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 “日志见解” 分析 CloudWatch 日志数据

借助 CloudWatch Logs Insights,您可以在 Amazon Logs 中以交互方式搜索和分析您的 CloudWatch 日志数据。您可以执行查询以帮助您更高效地响应操作问题。除了使用日志组进行查询外,您还可以使用分面、数据源和数据类型进行查询。如果出现问题,您可以使用 CloudWatch Logs Insights 来识别潜在原因并验证已部署的修复程序。每个账户仅限 100 个并发 Lo CloudWatch gs Insights QL,包括添加到仪表板的查询。此外,您可以为 OpenSearch 服务 PPL 或 OpenSearch 服务 SQL 运行 15 个并发查询。

CloudWatch Logs Insights 支持三种可用于查询的查询语言:

  • 一种专门构建的 Logs Insights 查询语言(Logs Insights QL),包含一些简单但功能强大的命令。

  • OpenSearch 服务管道处理语言 (PPL)。 OpenSearch PPL 允许您使用一组由竖线 (|) 分隔的命令来分析日志。

    使用 OpenSearch PPL,您可以使用串接在一起的命令来检索、查询和分析数据,从而更容易理解和撰写复杂的查询。该语法使命令链能够转换和处理数据。使用 PPL,您可以对数据进行筛选和聚合,并使用一组丰富的数学、字符串、日期、条件和其他函数进行分析。

  • OpenSearch 服务结构化查询语言 (SQL)。使用 OpenSearch SQL 查询,您可以以声明方式分析日志。您可以使用 SELECT、FROM、WHERE、GROUP BY、HAVING 等命令,以及 SQL 中提供的各种其他命令和函数。您可以 JOINs 跨日志组执行,使用子查询关联日志中的数据,并使用丰富的 JSON、数学、字符串、条件和其他 SQL 函数对日志进行强大的分析。

    使用 SQL 或 PPL 命令时,请务必用反引号将包含特殊字符(非字母和非数字)的字段括起来,才能成功查询。例如,对 @messageOperation.ExportTest::Field 使用反引号。纯字母名称的字段无需使用反引号。

CloudWatch Logs Insights 提供以下功能,可用于任何查询语言。

只有当您使用 L CloudWatch ogs Insights QL 时,才支持以下日志见解功能。

  • 比较查询,将日志组中的日志事件与先前时间段的日志事件进行比较。

重要

CloudWatch Logs Insights 无法访问时间戳早于日志组创建时间的日志事件。

如果您登录的账户设置为 CloudWatch 跨账户可观察性监控账户,则可以对与该监控账户关联的源账户中的 CloudWatch 日志组运行 Logs Insights 查询。您可以运行一个查询,查询位于不同账户中的多个日志组。有关更多信息,请参阅 CloudWatch 跨账户可观测性

使用 Logs Insights QL 创建查询时,也可以使用自然语言创建 Logs Ins CloudWatch ights 查询。要执行此操作,请询问或描述您要查找的数据。这种 AI 辅助功能会根据你的提示生成查询,并 line-by-line解释查询的工作原理。有关更多信息,请参阅使用自然语言生成和更新 L CloudWatch ogs Insights 查询

如果使用任何支持的查询语言的查询尚未完成,则会在 60 分钟后超时。查询结果的有效期为七天。

CloudWatch 无论查询语言如何,Logs Insights 查询都会根据查询的数据量收取费用。有关更多信息,请参阅 Amazon CloudWatch 定价

您可以使用 Lo CloudWatch gs Insights 搜索在 2018 年 11 月 5 日或之后发送到 Logs 的 CloudWatch 日志数据。

重要

如果您的网络安全团队不允许使用 Web 套接字,则您目前无法访问 CloudWatch 控制台的 CloudWatch Logs Insights 部分。您可以通过使用 CloudWatch 日志见解查询功能 APIs。有关更多信息,请参阅 Amazon CloudWatch 日志 API 参考StartQuery中的。

内容