本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 日誌管理
<a name="LogManagement"></a>

CloudWatch Logs 提供進階日誌管理功能，可協助您更有效地組織、轉換和分析日誌資料。這些功能包括[跨帳戶和跨區域資料集中化](CloudWatchLogs_Centralization.md)、[自動資料探索和結構描述管理、](data-source-discovery-management.md)[擷取期間的日誌轉換](CloudWatch-Logs-Transformation.md)，以及[使用面向進行互動式日誌探索的增強型分析](CloudWatchLogs-Facets.md)。

**Topics**
+ [資料來源探索和管理](data-source-discovery-management.md)
+ [資料來源啟用的功能](features-enabled-by-data-sources.md)
+ [AWS 服務 支援資料來源](supported-aws-services-data-sources.md)
+ [資料來源支援的第三方來源](supported-third-party-sources-data-sources.md)

# 資料來源探索和管理
<a name="data-source-discovery-management"></a>

CloudWatch Logs 會根據資料來源和類型自動探索和分類您的日誌資料，讓您更輕鬆地大規模了解和管理日誌。此功能為 AWS Amazon VPC Flow Logs、CloudTrail 和 Route 53 等付費來源，以及第三方安全工具提供結構描述探索。

Logs Management 主控台提供依資料來源和類型整理的日誌的高階檢視，而不只是日誌群組。此組織可協助您：
+ 檢視依 AWS 服務、第三方來源 （例如 Okta 或 CrowdStrike) 和自訂來源分類的日誌
+ 自動了解日誌資料的結構描述和結構
+ 根據探索到的結構描述欄位建立欄位索引政策
+ 更有效率地管理不同資料來源的日誌
+ 依不同資料來源查詢日誌

當您[為支援 AWS 的服務啟用 CloudWatch Logs 記錄](AWS-logs-and-resource-policy.md)時，CloudWatch Logs 會自動將適當的結構描述套用至您的日誌。此自動結構描述應用程式有助於維持一致性，並提供日誌結構的即時洞見。

## 什麼是 CloudWatch Logs 資料來源？
<a name="what-is-cloudwatch-data-sources"></a>

CloudWatch Logs 資料來源是一項功能，提供根據產生日誌的來源組織和分類日誌資料的新方法。雖然 CloudWatch Logs 傳統上會使用日誌群組來組織日誌，但資料來源提供額外的組織層，依其原始服務和日誌類型將日誌分組。

### 資料來源的運作方式
<a name="how-data-sources-work"></a>

資料來源提供以服務為基礎的日誌組織，並簡化整個 AWS 基礎設施的探索。您可以輕鬆從特定服務找到日誌，並依日誌類型進行篩選，而不需要知道個別日誌群組名稱或結構。

對於第三方來源和選用的應用程式日誌來源，資料來源使用 CloudWatch 管道來分類您的日誌。當您設定管道以擷取和轉換日誌時，您可以指定資料來源名稱和類型。然後CloudWatch Logs 會自動分類管道處理的所有日誌。如需詳細資訊，請參閱《Amazon [CloudWatch 使用者指南》中的 CloudWatch 管道](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/cloudwatch-pipelines.html)。 *Amazon CloudWatch *

 資料來源使用兩個金鑰識別符來分類日誌：
+ **資料來源名稱**：產生日誌 AWS 的服務、第三方來源或應用程式 （例如 Route 53、Amazon VPC、CloudTrail、Okta SSO 或 CrowdStrike Falcon)。
+ **資料來源類型**：該服務產生的特定日誌類型。

結構描述會定義日誌資料的結構，包括有哪些欄位存在，以及如何組織資訊。單一資料來源可以產生具有不同結構描述和用途的多種日誌類型。例如， AWS CloudTrail 資料來源有兩種類型：管理事件 （追蹤控制平面操作，例如建立或刪除資源） 和資料事件 （追蹤資料平面操作，例如 S3 物件存取）。每種類型都有不同的結構描述，因為它們會擷取不同類型的資訊。

## 如何開始
<a name="how-to-get-started-data-sources"></a>

CloudWatch Logs 會根據日誌的原始伺服器，將日誌分類為資料來源。方法取決於您正在使用的日誌類型：

### AWS 服務 日誌
<a name="aws-service-logs"></a>

來自[支援的 AWS 服務](supported-aws-services-data-sources.md)日誌會依資料來源自動分組，而不需要任何組態。CloudWatch Logs 會辨識這些日誌，並根據原始服務套用適當的資料來源名稱和類型。

### 第三方日誌
<a name="third-party-logs"></a>

第三方日誌需要用於資料來源分類的管道。當您設定管道從支援的第三方來源擷取日誌時，例如 Microsoft Office 365、Okta、CrowdStrike 或 Palo Alto Networks，您可以在管道組態中指定[資料來源名稱和類型](supported-third-party-sources-data-sources.md)。CloudWatch Logs 會自動分類管道使用這些識別符處理的所有日誌。

管道可以選擇性地將第三方日誌轉換為開放網路安全結構描述架構 (OCSF) 格式，以進行標準化安全事件分析。啟用 OCSF 轉換時，資料來源名稱和類型會根據 OCSF 結構描述映射自動決定。如果沒有 OCSF 轉換，您可以指定資料來源名稱，並在管道組態中輸入 。

### 應用程式記錄
<a name="application-logs"></a>

對於自訂應用程式日誌，您可以使用下列其中一種方法來依資料來源進行分類：
+ **日誌群組標籤** - 使用 金鑰將標籤新增至日誌群組`cw:datasource:type`，`cw:datasource:name`並分別指定日誌群組中擷取之所有日誌的資料來源名稱和類型。標籤值最多可達 64 個字元，且只能包含小寫字母、數字和底線。它們必須以字母或數字開頭，而且不能包含雙底線 (\$1\$1)。
+ **管道組態** - 在擷取應用程式日誌時，透過日誌處理管道設定資料來源資訊。

**注意**  
資料來源名稱不能以「aws」或「amazon」開頭，以避免 AWS 與服務日誌衝突。

## 系統欄位
<a name="system-fields"></a>

CloudWatch Logs 會自動將三個系統欄位新增至依資料來源分類的日誌。這些欄位做為預設面向：
+ `@data_source_name` - 包含資料來源的名稱，如果未確定則為「未知」
+ `@data_source_type` - 包含資料來源的類型，如果未確定則為「未知」
+ `@data_format` - 指出日誌資料的格式

當無法判斷資料來源名稱或類型時，這些欄位會設定為「未知」。在主控台的「日誌管理」下，具有「未知」值的資料來源仍然可見於構面和資料來源資料表中，可讓您識別未分類的日誌及其來源的日誌群組。

`@data_format` 欄位可包含下列其中一個值：
+ `Default` - 在不修改的情況下擷取的日誌。
+ `Custom` - 透過管道處理器處理的日誌，或擷取至具有資料來源名稱/類型標籤的日誌群組的日誌。
+ `OCSF-<version>` - 在管道中使用 OCSF （開放式網路安全結構描述架構） 處理器處理的日誌。
+ `AWS-OTEL-LOG-V<version>` - 透過 CloudWatch OTLP 端點擷取的 OpenTelemetry 日誌。
+ `AWS-OTEL-TRACE-V<version>` - 透過 CloudWatch OTLP 端點擷取的 OpenTelemetry 追蹤。

這些系統欄位可讓您根據日誌的來源和格式篩選和查詢日誌，讓您更輕鬆地使用來自不同原始伺服器和處理管道的日誌。

## 存取資料來源
<a name="accessing-data-sources"></a>

### 主控台
<a name="console-access"></a>

在 CloudWatch Logs 主控台中，您可以使用**日誌管理**索引標籤來存取資料來源。CloudWatch Logs 會根據資料來源和類型自動合併您的日誌資料，持續探索新擷取的資料。從資料來源清單中，您可以建立管道、定義欄位索引和面向。

### AWS CLI
<a name="aws-cli-access"></a>

使用下列命令列出帳戶中不同的資料來源和日誌類型：

```
aws logs list-aggregate-log-group-summaries --group-by DATA_SOURCE_NAME_AND_TYPE
```

## 與日誌群組的關係
<a name="relationship-to-log-groups"></a>

資料來源補充而不是取代日誌群組。您的日誌會繼續像以前一樣存放在日誌群組中，但現在它們也會自動標記資料來源資訊。此雙組織可讓您：
+ 使用日誌群組進行精細存取控制和保留政策
+ 使用資料來源進行服務型日誌探索和分析
+ 根據您的需求，使用任一組織方法查詢日誌

資料來源可讓您更輕鬆地大規模使用日誌，方法是在整個 AWS 基礎設施中提供以服務為中心的日誌資料檢視。

# 資料來源啟用的功能
<a name="features-enabled-by-data-sources"></a>

資料來源可透過欄位探索和一致的資料結構來啟用進階日誌處理和分析功能。
+ **面向**：面向是索引日誌欄位，提供互動式篩選和分析，無需撰寫查詢。CloudWatch Logs 會自動建立資料來源名稱和類型的面向，您可以在探索到的欄位上建立面向政策，以加速故障診斷。面向會在 CloudWatch Logs Insights 中顯示值分佈和計數，以便透過point-and-click探索輕鬆識別模式。
+ **管道**：建立適用於特定資料來源名稱和類型之所有日誌的轉換管道。這可讓您為來自相同來源的日誌定義一致的處理規則。
+ **欄位探索**：CloudWatch Logs 會根據管道處理器，自動探索每個資料來源名稱和類型組合的欄位及其資料類型。對於 AWS 受管日誌，會預先定義欄位結構。對於應用程式日誌，我們建議您維持一致的日誌格式，以最大限度地提高與分析工具的相容性，例如需要明確定義欄位結構的 Amazon S3 資料表。

您可以使用 `GetLogFields` API 檢視任何資料來源的欄位及其類型的完整清單：

```
aws logs get-log-fields --data-source-name <name>  --data-source-type <type>
```

此欄位探索和一致性可啟用進階分析和整合，因為外部工具在處理日誌資料時可以使用可預測的欄位結構。

# AWS 服務 支援資料來源
<a name="supported-aws-services-data-sources"></a>

下表列出由 CloudWatch Logs AWS 服務 自動分類為資料來源的 ：


| 資料來源名稱 (@data\$1source\$1name 欄位） | 資料來源類型 (@data\$1source\$1type 欄位） | 
| --- | --- | 
| amazon\$1api\$1gateway | access | 
| amazon\$1bedrock\$1agentcore | browser\$1usage | 
| amazon\$1bedrock\$1agentcore | code\$1interpreter\$1application | 
| amazon\$1bedrock\$1agentcore | code\$1interpreter\$1usage | 
| amazon\$1bedrock\$1agentcore | gateway\$1application | 
| amazon\$1bedrock\$1agentcore | identity\$1workload\$1application | 
| amazon\$1bedrock\$1agentcore | memory\$1application | 
| amazon\$1bedrock\$1agentcore | online\$1evaluation\$1config | 
| amazon\$1bedrock\$1agentcore | runtime\$1application | 
| amazon\$1bedrock\$1agentcore | runtime\$1usage | 
| amazon\$1bedrock\$1agents | application | 
| amazon\$1bedrock\$1agents | event | 
| amazon\$1bedrock\$1knowledge\$1bases | application | 
| amazon\$1cloudfront | access | 
| amazon\$1cloudfront | connection | 
| amazon\$1cloudwatch | rum\$1app\$1monitor | 
| amazon\$1cognito | user\$1pool | 
| amazon\$1ec2 | verified\$1access | 
| amazon\$1eks | api\$1server | 
| amazon\$1eks | audit | 
| amazon\$1eks | authenticator | 
| amazon\$1eks | controller\$1manager | 
| amazon\$1eks | scheduler | 
| amazon\$1elasticache | cluster | 
| amazon\$1eventbridge | eventbus\$1error | 
| amazon\$1eventbridge | eventbus\$1info | 
| amazon\$1eventbridge | pipes\$1execution | 
| amazon\$1interactive\$1video\$1service | chat | 
| amazon\$1managed\$1prometheus | scraper | 
| amazon\$1managed\$1prometheus | workspace | 
| amazon\$1msk | broker | 
| amazon\$1msk | connect | 
| amazon\$1opensearch\$1service | pipeline | 
| amazon\$1q\$1business | events | 
| amazon\$1q\$1business | sync\$1job | 
| amazon\$1q\$1connect | events | 
| amazon\$1route53 | global\$1resolver\$1query | 
| amazon\$1route53 | hosted\$1zones | 
| amazon\$1route53 | profiles\$1resolver\$1query | 
| amazon\$1route53 | resolver\$1query | 
| amazon\$1sagemaker | workteam\$1activity | 
| amazon\$1ses | ingress\$1endpoints | 
| amazon\$1ses | rule\$1sets | 
| amazon\$1ses | traffic\$1policy | 
| amazon\$1vpc | flow | 
| amazon\$1vpc | route\$1server\$1peer | 
| amazon\$1vpc\$1lattice | access | 
| amazon\$1vpc\$1lattice | resource\$1access | 
| amazon\$1workmail | access\$1control | 
| amazon\$1workmail | authentication | 
| amazon\$1workmail | personal\$1access | 
| amazon\$1workmail | workmail\$1access | 
| amazon\$1workmail | workmail\$1availability | 
| aws\$1b2b\$1data\$1interchange | execution | 
| aws\$1backup | data\$1access | 
| aws\$1backup | hypervisor | 
| aws\$1clean\$1rooms | analysis | 
| aws\$1client\$1vpn | connection | 
| aws\$1client\$1vpn | event | 
| aws\$1cloudtrail | data | 
| aws\$1cloudtrail | management | 
| aws\$1elemental\$1mediapackage | egress\$1access | 
| aws\$1elemental\$1mediapackage | ingress\$1access | 
| aws\$1elemental\$1mediatailor | ad\$1decision | 
| aws\$1elemental\$1mediatailor | manifest | 
| aws\$1elemental\$1mediatailor | transcode | 
| aws\$1entity\$1resolution | id\$1mapping\$1workflow | 
| aws\$1entity\$1resolution | matching\$1workflow | 
| aws\$1iot\$1fleetwise | error | 
| aws\$1mainframe\$1modernization | batch\$1job | 
| aws\$1mainframe\$1modernization | config | 
| aws\$1mainframe\$1modernization | console | 
| aws\$1mainframe\$1modernization | dataset\$1import | 
| aws\$1network\$1firewall | alert | 
| aws\$1network\$1firewall | flow | 
| aws\$1network\$1firewall | tls | 
| aws\$1nlb | access | 
| aws\$1pcs | job\$1completion | 
| aws\$1pcs | scheduler | 
| aws\$1security\$1hub\$1cspm | asff\$1finding | 
| aws\$1shield | protection\$1flow | 
| aws\$1step\$1functions | express | 
| aws\$1step\$1functions | standard | 
| aws\$1transfer\$1family | server | 
| aws\$1waf | access | 

# 資料來源支援的第三方來源
<a name="supported-third-party-sources-data-sources"></a>

下表列出透過管道擷取時，CloudWatch Logs 自動分類為資料來源的第三方來源：


| 資料來源名稱 (@data\$1source\$1name 欄位） | 資料來源類型 (@data\$1source\$1type 欄位） | 
| --- | --- | 
| crowdstrike\$1falcon | detection\$1finding | 
| crowdstrike\$1falcon | process\$1activity | 
| github\$1auditlogs | account\$1change | 
| github\$1auditlogs | api\$1activity | 
| github\$1auditlogs | entity\$1management | 
| microsoft\$1entraid | account\$1change | 
| microsoft\$1entraid | authentication | 
| microsoft\$1entraid | entity\$1management | 
| microsoft\$1entraid | user\$1access\$1management | 
| microsoft\$1office365 | account\$1change | 
| microsoft\$1office365 | application\$1lifecycle | 
| microsoft\$1office365 | authentication | 
| microsoft\$1office365 | compliance\$1finding | 
| microsoft\$1office365 | detection\$1finding | 
| microsoft\$1office365 | email\$1activity | 
| microsoft\$1office365 | file\$1hosting\$1activity | 
| microsoft\$1office365 | group\$1management | 
| microsoft\$1office365 | incident\$1finding | 
| microsoft\$1office365 | user\$1access\$1management | 
| microsoft\$1office365 | vulnerability\$1finding | 
| microsoft\$1office365 | web\$1resources\$1activity | 
| microsoft\$1windows | account\$1change | 
| microsoft\$1windows | authentication | 
| microsoft\$1windows | entity\$1management | 
| microsoft\$1windows | event\$1log\$1activity | 
| microsoft\$1windows | file\$1system\$1activity | 
| microsoft\$1windows | group\$1management | 
| microsoft\$1windows | kernel\$1activity | 
| okta\$1auth0 | api\$1activity | 
| okta\$1auth0 | authentication | 
| okta\$1sso | api\$1activity | 
| okta\$1sso | authentication | 
| okta\$1sso | detection\$1finding | 
| okta\$1sso | entity\$1management | 
| paloaltonetworks\$1nextgenerationfirewall | authentication | 
| paloaltonetworks\$1nextgenerationfirewall | detection\$1finding | 
| paloaltonetworks\$1nextgenerationfirewall | network\$1activity | 
| paloaltonetworks\$1nextgenerationfirewall | process\$1activity | 
| sentinelone\$1endpointsecurity | dns\$1activity | 
| sentinelone\$1endpointsecurity | file\$1system\$1activity | 
| sentinelone\$1endpointsecurity | http\$1activity | 
| sentinelone\$1endpointsecurity | process\$1activity | 
| servicenow\$1cmdb | api\$1activity | 
| servicenow\$1cmdb | datastore\$1activity | 
| servicenow\$1cmdb | entity\$1management | 
| wiz\$1cnapp | api\$1activity | 
| wiz\$1cnapp | authentication | 
| wiz\$1cnapp | compliance\$1finding | 
| wiz\$1cnapp | detection\$1finding | 
| wiz\$1cnapp | vulnerability\$1finding | 
| zscaler\$1internetaccess | authentication | 
| zscaler\$1internetaccess | dns\$1activity | 
| zscaler\$1internetaccess | http\$1activity | 
| zscaler\$1internetaccess | network\$1activity |