Registros y campos detectados compatibles - Amazon CloudWatch Logs
Campos de registros JSON

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Registros y campos detectados compatibles

CloudWatch Logs Insights admite distintos tipos de registro. Por cada registro que se envía a Amazon CloudWatch Logs, CloudWatch Logs Insights genera automáticamente cinco campos de sistema:

  • @message contiene el evento de registro sin analizar ni procesar. Es el equivalente al message campo de InputLogevent.

  • @timestamp contiene la marca temporal del evento incluida en el campo timestamp del evento de registro. Es el equivalente al timestamp campo de InputLogevent.

  • @ingestionTimecontiene la hora en que CloudWatch Logs recibió el evento de registro.

  • @logStream contiene el nombre del flujo de registros al que se añadió el evento de registro. Las transmisiones de registro agrupan los registros a través del mismo proceso que los generó.

  • @log es un identificador de grupo de registro con el formato account-id:log-group-name. Puede ser útil en consultas de varios grupos de registro para identificar a qué grupo de registro pertenece un evento determinado.

CloudWatch Logs Insights inserta el símbolo @ al principio de los campos que genera.

En muchos tipos de CloudWatch registros, Logs también descubre automáticamente los campos de registro contenidos en los registros. Estos campos de detección automática se muestran en la siguiente tabla.

Para otros tipos de registros con campos que CloudWatch Logs Insights no descubre automáticamente, puede usar el parse comando para extraer y crear campos extraídos para usarlos en esa consulta. Para obtener más información, consulte CloudWatch Sintaxis de consultas de Logs Insights.

Si el nombre de un campo de registro descubierto comienza por el @ carácter, CloudWatch Logs Insights lo muestra con un @ elemento adicional añadido al principio. Por ejemplo, si un nombre de campo de registro es @example.com, este nombre de campo se muestra como @@example.com.

Tipo de registro Campos de registro detectados

Registros de flujo de Amazon VPC

@timestamp, @logStream, @message, accountId, endTime, interfaceId, logStatus, startTime, version, action, bytes, dstAddr, dstPort, packets, protocol, srcAddr, srcPort

Registros de Route 53

@timestamp, @logStream, @message, edgeLocation, ednsClientSubnet, hostZoneId, protocol, queryName, queryTimestamp, queryType, resolverIp, responseCode, version

Registros de Lambda

@timestamp, @logStream, @message, @requestId, @duration, @billedDuration, @type, @maxMemoryUsed, @memorySize

Si una línea de registro de Lambda contiene un ID de seguimiento de X-Ray, también incluye los siguientes campos: @xrayTraceId y @xraySegmentId.

CloudWatch Logs Insights descubre automáticamente los campos de registro en los registros Lambda, pero solo para el primer fragmento de JSON incrustado en cada evento de registro. Si un evento de registro de Lambda contiene varios fragmentos JSON, puede analizar y extraer los campos de registro con el comando parse. Para obtener más información, consulte Campos de registros JSON.

CloudTrail registros

Registros en formato JSON

Para obtener más información, consulte Campos de registros JSON.

Otros tipos de registros

@timestamp, @ingestionTime, @logStream, @message, @log.

Campos de registros JSON

Con CloudWatch Logs Insights, se utiliza la notación de puntos para representar los campos JSON. Esta sección contiene un ejemplo de evento JSON y fragmento de código que muestra cómo acceder a los campos JSON mediante la notación de puntos.

Ejemplo de evento JSON

{
    "eventVersion": "1.0",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EX_PRINCIPAL_ID",
        "arn": "arn: aws: iam: : 123456789012: user/Alice",
        "accessKeyId": "EXAMPLE_KEY_ID",
        "accountId": "123456789012",
        "userName": "Alice"
    },
    "eventTime": "2014-03-06T21: 22: 54Z",
    "eventSource": "ec2.amazonaws.com",
    "eventName": "StartInstances",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "192.0.2.255",
    "userAgent": "ec2-api-tools1.6.12.2",
    "requestParameters": {
        "instancesSet": {
            "items": [
                {
                    "instanceId": "i-abcde123"
                }
            ]
        }
    },
    "responseElements": {
        "instancesSet": {
            "items": [
                {
                    "instanceId": "i-abcde123",
                    "currentState": {
                        "code": 0,
                        "name": "pending"
                    },
                    "previousState": {
                        "code": 80,
                        "name": "stopped"
                    }
                }
            ]
        }
    }
}

El evento JSON de ejemplo contiene un objeto denominado userIdentity. userIdentitycontiene un campo que se llama type. Para representar el valor de type usando una notación de puntos, use userIdentity.type.

El evento JSON de ejemplo contiene matrices que se aplanan en listas de nombres y valores de campo anidados. Para representar el valor de instanceId para el primer elemento de requestParameters.instancesSet, utilice requestParameters.instancesSet.items.0.instanceId. El número 0 que se coloca antes del campo instanceID hace referencia a la posición de los valores para el campo items. El siguiente ejemplo contiene un fragmento de código que muestra cómo puede acceder a los campos JSON anidados en un evento de registro JSON.

Ejemplo: consulta

fields @timestamp, @message
| filter requestParameters.instancesSet.items.0.instanceId="i-abcde123"
| sort @timestamp desc

El fragmento de código muestra una consulta que utiliza la notación de puntos con el comando filter para acceder al valor del campo JSON anidado instanceId. La consulta se filtra en los mensajes donde el valor de instanceId es igual a "i-abcde123" y devuelve todos los eventos de registro que contienen el valor especificado.

nota

CloudWatch Logs Insights puede extraer un máximo de 200 campos de eventos de registro de un registro JSON. Para campos adicionales que no se extraen, puede utilizar el comando parse para extraer estos campos desde el evento de registro sin analizar en el campo de mensaje. Para obtener más información sobre el parse comando, consulte Sintaxis de consultas en la Guía del CloudWatch usuario de Amazon.