View a markdown version of this page

直接查询 Amazon CloudWatch Logs OpenSearch 服务中的数据 - 亚马逊 OpenSearch 服务
定价限制建议配额支持的 AWS 区域

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

直接查询 Amazon CloudWatch Logs OpenSearch 服务中的数据

本节将引导您完成在 Amazon Ser OpenSearch vice 中创建和配置数据源集成的过程,使您能够高效地查询和分析存储在 CloudWatch 日志中的数据。

在接下来的页面中,您将学习如何设置 CloudWatch Logs 直接查询数据源、浏览必要的先决条件以及如何使用执行 step-by-step程序。 AWS 管理控制台

主题

定价

亚马逊 OpenSearch 服务为 CloudWatch 日志直接查询提供 OpenSearch 计算单位 (OCU) 定价。当你运行直接查询时,你会产生 OCUs 每小时的费用,这些费用列为账单上的 DirectQuery OCU 使用类型。您还将单独收取 Amazon L CloudWatch ogs 费用。

直接查询分为两种类型:交互式查询和索引视图查询。

  • 交互式查询用于填充数据选择器并对 CloudWatch 日志中的数据进行分析。 OpenSearch Service 使用单独的预热任务处理每个查询,而无需维护延长的会话。

  • 索引视图查询使用计算来维护服务中的索引视图。 OpenSearch 此类查询通常耗时更长,因为其将不同数量的数据量摄取到指定索引中。对于与 CloudWatch Logs 连接的数据源,索引数据存储在 OpenSearch 无服务器集合中,您需要按索引数据 (IndexingOCU)、搜索的数据 (SearchOCU) 和以 GB 为单位存储的数据付费。

有关更多信息,请参阅 Amazon OpenSearch 服务定价中的 “直接查询” 和 “无服务器” 部分。

限制

以下限制适用于 CloudWatch 日志中的直接查询:

  • 与 CloudWatch 日志的直接查询集成仅在 OpenSearch 服务集合和 OpenSearch 用户界面上可用。

  • OpenSearch 无服务器集合的网络有效载荷限制为 100 MiB。

  • CloudWatch 日志支持 VPC Flow CloudTrail,以及从控制台安装的 AWS WAF 仪表板集成。

  • AWS CloudFormation 尚不支持模板。

  • OpenSearch 与使用直接查询相比,SQ OpenSearch L 和 PPL 语句在使用 OpenSearch 索引时有不同的限制。直接查询支持子查询和查找等 JOINs高级命令,而 OpenSearch 索引上对这些命令的支持有限或根本不存在。有关更多信息,请参阅 支持的 SQL 和 PPL 命令

建议

在 CloudWatch 日志中使用直接查询时,我们建议采取以下措施:

  • 在单个查询中搜索多个日志组时,请使用相应的语法。有关更多信息,请参阅 多日志组函数

  • 使用 SQL 或 PPL 命令时,需将特定字段用反引号括起来才能成功查询。包含特殊字符(非字母和非数字)的字段需要使用反引号。例如,对 @messageOperation.Export,Test::Field 使用反引号。纯字母名称的列无需使用反引号。

    包含简单字段的查询示例:

    SELECT SessionToken, Operation, StartTime  FROM `LogGroup-A`
LIMIT 1000;

    附加反引号的类似查询:

    SELECT `@SessionToken`, `@Operation`, `@StartTime` FROM `LogGroup-A`
LIMIT 1000;

  • 对查询设置限制,确保不会提取太多数据。

  • 不支持包含仅大小写不同的相同字段名(例如 field1FIELD1)的查询。

    例如,不支持以下查询:

    Select AWSAccountId, AwsAccountId from LogGroup
Select a.@LogStream, b.@logStream from Table A INNER Join Table B ona.id = b.id

    然而,由于两个日志组中的字段名(@logStream)完全相同,因此支持以下查询:

    Select a.@logStream, b.@logStream from Table A INNER Join Table B on a.id = b.id

  • 函数和表达式必须对字段名进行操作,并作为包含在 FROM 子句中指定日志组的 SELECT 语句的一部分。

    例如,不支持此查询:

    SELECT cos(10) FROM LogGroup

    支持此查询:

    SELECT cos(field1) FROM LogGroup

配额

注意

如果您想使用 L CloudWatch ogs Insights 进行直接查询,请务必参考为使用 OpenSearch SQL 的 “ CloudWatch 日志见解” 用户提供的更多信息

说明 软限制? 注意
跨直接查询的账户级 TPS 限制 APIs 3 TPS
最大数据来源数 20 限额为每个 AWS 账户。
最大自动刷新索引或实体化视图数 30 限额按数据来源计算。
最大并发查询数 30

限制以每个数据源为单位,适用于处于待处理或运行状态的查询。

包括交互式查询(例如,像这样的数据检索命令SELECT)和索引查询(例如,像 CREATE /这样的操作ALTER)。
每次查询的最大并发 OCU 数 512

OpenSearch 计算单位 (OCU)。限制基于 15 个执行器和 1 个驱动程序,每个执行器配备 16 个 vCPU 和 32 GB 内存。表示并发处理能力。
最大查询执行时间,以分钟为单位 60 限制适用于 Logs Insights 中的 OpenSearch PPL/SQL 查询。 CloudWatch
清除陈旧查询的期限 IDs 90 天 这是 OpenSearch 服务清除较旧条目的查询元数据的时间段。例如,对于超过 90 天的查询,调用 GetDirectQuery 或 GetDirectQueryResult 失败。

支持的 AWS 区域

CloudWatch 日志中的直接查询支持以下内容 AWS 区域 :

  • 亚太地区(孟买)

  • 亚太地区(香港)

  • 亚太地区(大阪)

  • 亚太地区(首尔)

  • 亚太地区(新加坡)

  • 亚太地区(悉尼)

  • 亚太地区(东京)

  • 加拿大(中部)

  • 欧洲地区(法兰克福)

  • 欧洲地区(爱尔兰)

  • 欧洲地区(斯德哥尔摩)

  • 欧洲地区(米兰)

  • 欧洲(西班牙)

  • 美国东部(弗吉尼亚州北部)

  • 美国东部(俄亥俄州)

  • 美国西部(俄勒冈州)

  • 美国西部(北加利福尼亚)

  • 欧洲地区(巴黎)

  • 欧洲地区(伦敦)

  • 南美洲(圣保罗)