Análisis de datos de registro con CloudWatch Logs Insights

Con CloudWatch Logs Insights, puede buscar y analizar de forma interactiva sus datos de registro en Amazon CloudWatch Logs. Puede realizar consultas que le ayuden a responder de forma más eficaz a los problemas de funcionamiento. Si se produce un problema, puede utilizar CloudWatch Logs Insights para identificar las posibles causas y validar las soluciones implementadas.

CloudWatch Logs Insights admite tres lenguajes de consulta que puede utilizar para sus consultas:

• Un lenguaje de consultas de Logs Insights (Logs Insights QL) diseñado específicamente con unos pocos comandos simples pero potentes.

• Lenguaje de procesamiento por canalización ( OpenSearch PPL) (nuevo) de Service Piped Processing Language. OpenSearch El PPL le permite analizar sus registros mediante un conjunto de comandos delimitados por canalizaciones (|).

  Con OpenSearch PPL, puede recuperar, consultar y analizar datos mediante comandos que se agrupan entre sí, lo que facilita la comprensión y la redacción de consultas complejas. La sintaxis permite encadenar comandos para transformar y procesar datos. Con PPL, puede filtrar y agregar datos y utilizar un amplio conjunto de funciones matemáticas, de cadenas, de fecha, condicionales y de otro tipo para el análisis.

• Lenguaje de consulta estructurado OpenSearch de servicios (SQL) (nuevo). Con las consultas OpenSearch SQL, puede analizar sus registros de forma declarativa. Puede usar comandos como SELECT, FROM, WHERE, GROUP BY, HAVING y varios otros comandos y funciones disponibles en SQL. Puede ejecutar JOINs en varios grupos de registros, correlacionar los datos de los registros mediante subconsultas y utilizar el amplio conjunto de funciones de JSON, matemáticas, cadenas, condicionales y otras funciones de SQL para realizar análisis eficaces de los registros.

importante

Para mejorar la seguridad de las consultas de CloudWatch Logs Insights, a partir del 31 de julio de 2025, los usuarios deberán iniciar sesión con logs:GetQueryResults los permisos necesarios para poder ejecutar consultas en la CloudWatch consola. logs:StartQuery Después de esta fecha, los usuarios que no tengan ambos permisos no podrán ver los resultados de las consultas en la consola y, en su lugar, verán un mensaje de encabezado cuando intenten ver los resultados de las consultas en la consola.

Tras el cambio, los permisos de experiencia en la consola necesarios coincidirán con los permisos que se exigen actualmente para el SDK y para AWS CLI los usuarios que utilizan StartQuery y GetQueryResults APIs.

Para obtener información sobre cómo crear políticas de IAM o añadir permisos a las políticas existentes, consulte Definir permisos de IAM personalizados con políticas administradas por el cliente y Editar políticas de IAM en la Guía del usuario de IAM.

CloudWatch Logs Insights ofrece las siguientes funciones que están disponibles para su uso con cualquiera de los lenguajes de consulta.

• Descubrimiento automático de campos de registro en registros de AWS servicios como Amazon Route 53 y Amazon VPC AWS Lambda AWS CloudTrail, y de cualquier aplicación o registro personalizado que emita eventos de registro como JSON.

• Cree índices de campos para reducir los costos y acelerar los resultados, especialmente para consultas de un gran número de grupos de registros o eventos de registro. Tras crear índices de campo de los campos que son comunes en sus eventos de registro, puede utilizarlos en una consulta. La consulta omite el procesamiento de los eventos de registro que se sabe que no incluyen el campo indexado y procesa menos datos.

  nota

  El filterIndex comando solo está disponible en Logs Insights QL.

• Detección y análisis de patrones en sus eventos de registro. Un patrón es una estructura de texto compartida que se repite entre los campos de registro. Al ver los resultados de una consulta, puede seleccionar la pestaña Patrones para ver los patrones que los CloudWatch registros encontraron a partir de una muestra de sus resultados.

• Guardar consultas, ver el historial de consultas y volver a ejecutar las consultas guardadas. Esto puede ayudarle a ejecutar consultas complejas cuando lo necesite, sin tener que volver a crearlas cada vez que desee ejecutarlas.

• Añadir consultas a los paneles.

• Cifrar los resultados de las consultas con. AWS Key Management Service

Las siguientes funciones de CloudWatch Logs Insights solo se admiten cuando se utiliza Logs Insights QL.

• Generación de consultas mediante lenguaje natural.

• Consulta de registros en la clase de registros de acceso poco frecuente.

• Consultas de comparación que comparan los eventos de registro de un grupo de registros con los eventos de registro de un período de tiempo anterior.

• El filterIndexcomando, que obliga a la consulta a intentar analizar únicamente los eventos de registro que contengan un índice de campo que usted especifique.

importante

CloudWatch Logs Insights no puede acceder a los eventos de registro con marcas de tiempo anteriores a la hora de creación del grupo de registros.

Si ha iniciado sesión en una cuenta configurada como una cuenta de monitoreo en el marco de la observabilidad CloudWatch multicuenta, puede ejecutar consultas de CloudWatch Logs Insights en grupos de registros de las cuentas de origen vinculadas a esta cuenta de monitoreo. Puede ejecutar una consulta que se ejecute en varios grupos de registro ubicados en diferentes cuentas. Para obtener más información, consulte Observabilidad entre cuentas de CloudWatch .

Al crear consultas con Logs Insights QL, también puede usar un lenguaje natural para crear consultas de CloudWatch Logs Insights. Para ello, pregunte o describa los datos que busca. Esta función asistida por IA genera una consulta en función de su solicitud y proporciona una line-by-line explicación de cómo funciona la consulta. Para obtener más información, consulte Usar un lenguaje natural para generar y actualizar las consultas de CloudWatch Logs Insights.

Las consultas que utilizan cualquiera de los lenguajes de consulta compatibles caducan después de 60 minutos si no se han completado. Los resultados de las consultas están disponibles durante siete días.

CloudWatch Las consultas de Logs Insights se cobran en función de la cantidad de datos consultados, independientemente del idioma de la consulta. Para obtener más información, consulta los CloudWatch precios de Amazon.

Puedes usar CloudWatch Logs Insights para buscar los datos de registro que se enviaron a CloudWatch Logs el 5 de noviembre de 2018 o después.

importante

Si su equipo de seguridad de red no permite el uso de sockets web, actualmente no puede acceder a la parte de la CloudWatch consola de CloudWatch Logs Insights. Puede utilizar las funciones de consulta de CloudWatch Logs Insights utilizando APIs. Para obtener más información, consulta StartQueryla referencia de la API CloudWatch de Amazon Logs.

Contenido

• Idiomas de consulta compatibles

• Registros y campos detectados compatibles

• Cree índices de campos para mejorar el rendimiento de las consultas y reducir el volumen de digitalización

• Análisis del patrón

• Guarde y vuelva a ejecutar CloudWatch las consultas de Logs Insights

• Agregar consulta al panel o exportar resultados de consultas

• Ver consultas en marcha o historial de consultas

• Cifre los resultados de la consulta con AWS Key Management Service