本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 CloudWatch Logs Live Tail 進行故障診斷
CloudWatch Logs Live Tail 可在擷取時檢視新日誌事件的串流清單,協助您快速進行事件疑難排解。可以近乎即時地檢視、篩選和反白顯示擷取的日誌,協助您快速偵測並解決問題。可以根據指定的詞彙篩選日誌,並反白顯示包含指定詞彙的日誌,以協助您快速找到查詢內容。
Live Tail 工作階段會按工作階段使用時間 (每分鐘) 產生費用。如需定價的詳細資訊,請參閱 **Amazon CloudWatch 定價**中的[日誌](https://aws.amazon.com/cloudwatch/pricing/)索引標籤。
僅標準日誌類別中的日誌群組支援 Live Tail。如需日誌類別的詳細資訊,請參閱 [日誌類別](CloudWatch_Logs_Log_Classes.md)。
下列各節說明如何在 主控台和 中使用 Live Tail AWS CLI。您也可以以程式設計方式啟動 Live Tail 工作階段。如需詳細資訊,請參閱 [StartLiveTail](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_StartLiveTail.html)。如需 SDK 範例,請參閱[使用 AWS SDK 啟動 Live Tail 工作階段](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/example_cloudwatch-logs_StartLiveTail_section.html)。
您也可以在 中使用 Live Tail AWS Toolkit for Visual Studio Code。若要從 VS Code Command Palette 啟動 Live Tail 工作階段,請參閱 AWS Toolkit for Visual Studio Code 《 使用者指南》中的 [Amazon CloudWatch Logs Live Tail 一節](https://docs.aws.amazon.com/toolkit-for-vscode/latest/userguide/cloudwatch-livetail.html)。
Live Tail 功能適用於所有 commercial AWS [Regions](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#region)。它不適用於中國區域或 AWS GovCloud (US) 區域。
**注意**
`StartLiveTail` API 會使用 SDK 主機字首注入來路由請求。2026 年 4 月 1 日之前發行的 SDK 版本會路由至 `streaming-logs.Region.amazonaws.com`,這不支援 VPC 端點。2026 年 4 月 1 日當天或之後發行的 SDK 版本會路由至 `stream-logs.Region.amazonaws.com`,以支援 VPC 端點。若要為此 API 設定 VPC 端點,請參閱[為 CloudWatch Logs 建立 VPC 端點](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/cloudwatch-logs-and-interface-VPC.html#create-VPC-endpoint-for-CloudWatchLogs)。
## 使用 啟動 Live Tail 工作階段 AWS CLI
`start-live-tail` AWS CLI 命令會啟動終端機中一或多個日誌群組的 Live Tail 串流工作階段。Live Tail 工作階段最多可持續三個小時。如果每秒超過 500 個日誌事件符合篩選條件,則顯示的日誌事件是總日誌事件的範例,以提供即時結尾體驗。如需 `start-live-tail`命令的詳細資訊,請參閱 [start-live-tail](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/logs/start-live-tail.html)
您可以在`start-live-tail`兩種模式中使用 :
+ **僅限列印** – 這是預設模式
+ **互動式**
### 僅列印
在 `print-only`模式下,日誌事件會在終端機上串流。每秒會在底部新增新事件,建立與 Linux `tail -f`上類似的近乎即時結尾體驗。
若要以僅列印模式啟動 Live Tail 工作階段,請輸入下列命令。
```
aws logs start-live-tail --log-group-identifiers arn:aws:logs:us-east-1:111111222222:log-group:my-logs
```
當您使用僅限列印模式時,也可以將其與其他 Linux 命令進行管道傳輸,以提高其分析功能。下列範例會使用 `error`關鍵字篩選日誌事件,並列印這些事件的第二欄和第四欄,以協助您擷取特定資訊。
```
aws logs start-live-tail --log-group-identifiers arn:aws:logs:us-east-1:111111222222:log-group:my-logs --mode print-only | grep "error" | awk '{print $2, $4}'
```
### 互動
在 `interactive`模式中,您可以反白詞彙,並在 JSON 和純文字之間切換輸出日誌事件的格式。互動式模式也會顯示 Live Tail 工作階段的相關資訊,例如工作階段持續時間、工作階段是否正在取樣,以及目前反白顯示的詞彙,以及遇到的次數。
若要以互動式模式啟動 Live Tail 工作階段,請輸入下列命令。
```
aws logs start-live-tail --log-group-identifiers arn:aws:logs:us-east-1:111111222222:log-group:my-logs --mode interactive
```
Live Tail 工作階段開始。下列影片顯示範例工作階段的一部分。
![\[顯示 Live Tail 工作階段期間出現在畫面上的日誌事件的簡短影片。\]](http://docs.aws.amazon.com/zh_tw/AmazonCloudWatch/latest/logs/images/LiveTailCLIStartVideo.gif)
若要在串流日誌中反白詞彙,請按 **h**,然後輸入詞彙。以下顯示`latency`已反白顯示詞彙後的畫面。
若要清除反白詞彙,請按 **c**,然後輸入代表您要停止反白詞彙的數字。
您可以按 **t** 在 JSON 和純文字之間切換傳入事件的顯示格式。此切換功能會盡最大努力,只有在日誌事件格式相容時才會發生。
您可以使用向上和向下箭頭鍵來捲動,並使用 `CTRL+u`和 `CTRL+d` 來更快速地捲動。
下圖顯示 Live Tail 工作階段期間`latency`詞彙的反白。
![\[互動式 Live Tail 工作階段的螢幕擷取畫面,其中日誌事件會列在畫面上,而且每次出現「延遲」都會反白顯示。\]](http://docs.aws.amazon.com/zh_tw/AmazonCloudWatch/latest/logs/images/LiveTailCLIHighlighted.jpg)
## 在主控台中啟動 Live Tail 工作階段
您可以使用 CloudWatch 主控台來啟動 Live Tail 工作階段。下列程序說明如何使用左側導覽窗格中的 **Live tail** 選項來啟動 Live Tail 工作階段。您也可以從「日誌群組」頁面或 CloudWatch Logs Insights 頁面啟動 Live Tail 工作階段。
如果您使用資料保護政策來遮罩透過 Live Tail 檢視之日誌群組中的敏感資料,則敏感資料在 Live Tail 工作階段中顯示為遮罩狀態。如需有關遮罩日誌群組敏感資料的詳細資訊,請參閱 [使用遮罩功能協助保護敏感日誌資料](mask-sensitive-log-data.md)。
**重要**
如果您的網路安全團隊不允許使用 Web 通訊端,您目前無法存取 CloudWatch 主控台的 Live Tail 部分。您可以使用 Live Tail 搭配 AWS CLI 或 APIs。如需詳細資訊,請參閱 [使用 啟動 Live Tail 工作階段 AWS CLI](#CloudWatchLogs_LiveTail_session_CLI)和 [StartLiveTail](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_StartLiveTail.html)。
**開始 Live Tail 工作階段**
1. 透過 [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/) 開啟 CloudWatch 主控台。
1. 在導覽窗格中,選擇**日誌**,然後選擇 **Live tail**。
1. 針對**選取日誌群組**,在 Live Tail 工作階段中,選取您要從中檢視事件的日誌群組。您最多可以選取 10 個日誌群組。
1. (選用) 如果您只選取一個日誌群組,則可以選取一個或多個日誌串流來檢視日誌事件,從而進一步篩選 Live Tail 工作階段。若要這樣做,請在**選取日誌串流**下,從下拉式清單中選取日誌串流的名稱。或者,您也可以使用**選取日誌串流**下的第二個方塊輸入日誌串流名稱字首,然後選取名稱與該字首相符的所有日誌串流。
1. (選用) 若要僅顯示包含特定字詞或其他字串的日誌事件,請在 `Add filter patterns` 中輸入字詞或字串。
例如,若僅顯示包含 `Warning` 字詞的日誌事件,請輸入 **Warning**。篩選條件欄位區分大小寫。可以在此欄位中包含多個詞彙和模式運算子。
+ **error 404** 僅顯示包含 `error` 和 `404` 的日誌事件
+ **?Error ?error** 顯示包含 `Error` 或 `error` 的日誌事件
+ **-INFO** 顯示不包含 `INFO` 的所有日誌事件
+ **\$1 \$1.eventType = "UpdateTrail" \$1** 顯示事件類型欄位值為 `UpdateTrail` 的所有 JSON 日誌事件
您也可以使用規則表達式 (regex) 來篩選:
+ **%ERROR%** 使用 regex 顯示包含 **ERROR** 關鍵字的所有日誌事件
+ **\$1 \$1.names = %Steve% \$1** 使用 regex 顯示 **Steve** 為 `"name"` 屬性中的 JSON 日誌事件
+ **[ w1 = %abc%, w2 ]** 使用 regex 顯示以空格分隔且第一個單詞為 **abc** 的日誌事件
如需有關模式語法的詳細資訊,請參閱[篩選條件模式語法](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html)。
1. (選用) 若要反白顯示某些顯示的日誌事件,請輸入要搜尋的詞彙,並在 **Live Tail** 下反白顯示。一次輸入一個反白顯示詞彙。如果新增多個詞彙進行反白顯示,則會指派不同的顏色來代表每個詞彙。反白顯示指示器會顯示在任何包含指定詞彙的日誌事件的左側,當您展開主視窗中的日誌事件以檢視完整日誌事件時,也會出現在詞彙本身下方。
您可以使用篩選功能以及反白顯示來快速疑難排解問題。例如,您可以篩選事件以僅顯示包含 `Error` 的事件,然後反白顯示包含 `404` 的事件。
1. 若要啟動工作階段,請選擇**套用篩選條件**
相符的日誌事件開始出現在視窗中。也會顯示下列資訊:
+ 計時器會顯示 Live Tail 工作階段已啟用的時間長度。
+ **事件數/秒**會顯示每秒有多少個擷取的日誌事件與您設定的篩選條件相符。
+ 由於許多事件與篩選條件相符,為了避免工作階段捲動速度過快,CloudWatch Logs 可能只會顯示一些相符的事件。如果發生這種情況,螢幕上顯示的相符事件百分比會以 **%** 的形式顯示。
1. 若要暫停事件流程以調查目前顯示的內容,請按一下事件視窗中的任意位置。
1. 在工作階段期間,您可以使用下列項目來查看有關每個日誌事件的詳細資訊。
+ 若要在主視窗中顯示日誌事件的完整文字,請選擇該日誌事件旁邊的箭頭。
+ 若要在側視窗中顯示日誌事件的完整文字,請選擇該日誌事件旁邊的 **\$1** 放大鏡。事件流程會暫停,並顯示側視窗。
在側視窗中顯示日誌事件文字非常有用,可比較其文字與主視窗中的其他事件。
1. 若要停止 Live Tail 工作階段,請選擇**停止**。
1. 若要重新啟動工作階段,可選擇使用**篩選**面板修改篩選條件,然後選擇**套用篩選條件**。然後選擇 **Start (啟動)**。