Registros y campos detectados compatibles

CloudWatch Logs Insights admite diferentes tipos de registro. Por cada registro que se envía a un grupo de CloudWatch registros de clase estándar en Amazon Logs, CloudWatch Logs Insights genera automáticamente cinco campos del sistema:

@message contiene el evento de registro sin analizar ni procesar. Es el equivalente al message campo de InputLogevent.
@timestamp contiene la marca temporal del evento incluida en el campo timestamp del evento de registro. Es el equivalente al timestamp campo de InputLogevent.
@ingestionTimecontiene la hora en que CloudWatch Logs recibió el evento de registro.
@logStream contiene el nombre del flujo de registros al que se añadió el evento de registro. Las transmisiones de registro agrupan los registros a través del mismo proceso que los generó.
@log es un identificador de grupo de registro con el formato account-id:log-group-name. Puede ser útil en consultas de varios grupos de registro para identificar a qué grupo de registro pertenece un evento determinado.

@entitycontiene un código JSON aplanado relacionado con entidades para la función de telemetría relacionada con Explore.

Por ejemplo, este JSON puede representar una entidad.


{
  "Entity": {
    "KeyAttributes": {
      "Type": "Service",
      "Name": "PetClinic"
    },
    "Attributes": {
      "PlatformType": "AWS::EC2",
      "EC2.InstanceId": "i-1234567890123"
    }
  }
}

Para esta entidad, los campos del sistema extraídos serían los siguientes:


@entity.KeyAttributes.Type = Service
@entity.KeyAttributes.Name = PetClinic
@entity.Attributes.PlatformType = AWS::EC2
@entity.Attributes.EC2.InstanceId = i-1234567890123

nota

La detección de campos solo se admite para los grupos de registro de la clase de registro Estándar. Para obtener más información acerca de las clases de registros, consulte Clases de registro.

CloudWatch Logs Insights inserta el símbolo @ al principio de los campos que genera.

En muchos tipos de CloudWatch registros, Logs también descubre automáticamente los campos de registro contenidos en los registros. Estos campos de detección automática se muestran en la siguiente tabla.

Para otros tipos de registros con campos que CloudWatch Logs Insights no descubre automáticamente, puede usar el parse comando para extraer y crear campos extraídos para usarlos en esa consulta. Para obtener más información, consulte CloudWatch Registra la sintaxis de consulta del idioma Insights.

Si el nombre de un campo de registro descubierto comienza por el @ carácter, CloudWatch Logs Insights lo muestra con un @ elemento adicional añadido al principio. Por ejemplo, si un nombre de campo de registro es @example.com, este nombre de campo se muestra como @@example.com.

nota

A excepción de @message@timestamp, o@log, puede crear índices de campos para los campos descubiertos. Para obtener más información sobre los índices de campos, consulte. Cree índices de campos para mejorar el rendimiento de las consultas y reducir el volumen de digitalización

Tipo de registro	Campos de registro detectados
Registros de flujo de Amazon VPC	`@timestamp`, `@logStream`, `@message`, `accountId`, `endTime`, `interfaceId`, `logStatus`, `startTime`, `version`, `action`, `bytes`, `dstAddr`, `dstPort`, `packets`, `protocol`, `srcAddr`, `srcPort`
Registros de Route 53	`@timestamp`, `@logStream`, `@message`, `edgeLocation`, `ednsClientSubnet`, `hostZoneId`, `protocol`, `queryName`, `queryTimestamp`, `queryType`, `resolverIp`, `responseCode`, `version`
Registros de Lambda	`@timestamp`, `@logStream`, `@message`, `@requestId`, `@duration,` `@billedDuration`, `@type`, `@maxMemoryUsed`, `@memorySize` Si una línea de registro de Lambda contiene un ID de seguimiento de X-Ray, también incluye los siguientes campos: `@xrayTraceId` y `@xraySegmentId`. CloudWatch Logs Insights descubre automáticamente los campos de registro en los registros Lambda, pero solo para el primer fragmento de JSON incrustado en cada evento de registro. Si un evento de registro de Lambda contiene varios fragmentos JSON, puede analizar y extraer los campos de registro con el comando `parse`. Para obtener más información, consulte Campos de registros JSON.
CloudTrail registros Registros en formato JSON	Para obtener más información, consulte Campos de registros JSON.
Otros tipos de registros	`@timestamp`, `@ingestionTime`, `@logStream`, `@message`, `@log`.

Campos de registros JSON

Con CloudWatch Logs Insights, se utiliza la notación de puntos para representar los campos JSON. Esta sección contiene un ejemplo de evento JSON y fragmento de código que muestra cómo acceder a los campos JSON mediante la notación de puntos.

Ejemplo de evento JSON


{
    "eventVersion": "1.0",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EX_PRINCIPAL_ID",
        "arn": "arn: aws: iam: : 123456789012: user/Alice",
        "accessKeyId": "EXAMPLE_KEY_ID",
        "accountId": "123456789012",
        "userName": "Alice"
    },
    "eventTime": "2014-03-06T21: 22: 54Z",
    "eventSource": "ec2.amazonaws.com",
    "eventName": "StartInstances",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "192.0.2.255",
    "userAgent": "ec2-api-tools1.6.12.2",
    "requestParameters": {
        "instancesSet": {
            "items": [
                {
                    "instanceId": "i-abcde123"
                }
            ]
        }
    },
    "responseElements": {
        "instancesSet": {
            "items": [
                {
                    "instanceId": "i-abcde123",
                    "currentState": {
                        "code": 0,
                        "name": "pending"
                    },
                    "previousState": {
                        "code": 80,
                        "name": "stopped"
                    }
                }
            ]
        }
    }
}

El evento JSON de ejemplo contiene un objeto denominado userIdentity. userIdentitycontiene un campo que se llama type. Para representar el valor de type usando una notación de puntos, use userIdentity.type.

El evento JSON de ejemplo contiene matrices que se aplanan en listas de nombres y valores de campo anidados. Para representar el valor de instanceId para el primer elemento de requestParameters.instancesSet, utilice requestParameters.instancesSet.items.0.instanceId. El número 0 que se coloca antes del campo instanceID hace referencia a la posición de los valores para el campo items. El siguiente ejemplo contiene un fragmento de código que muestra cómo puede acceder a los campos JSON anidados en un evento de registro JSON.

Ejemplo: consulta


fields @timestamp, @message
| filter requestParameters.instancesSet.items.0.instanceId="i-abcde123"
| sort @timestamp desc

El fragmento de código muestra una consulta que utiliza la notación de puntos con el comando filter para acceder al valor del campo JSON anidado instanceId. La consulta se filtra en los mensajes donde el valor de instanceId es igual a "i-abcde123" y devuelve todos los eventos de registro que contienen el valor especificado.

nota

CloudWatch Logs Insights puede extraer un máximo de 200 campos de eventos de registro de un registro JSON. Para campos adicionales que no se extraen, puede utilizar el comando parse para extraer estos campos desde el evento de registro sin analizar en el campo de mensaje. Para obtener más información sobre el parse comando, consulte Sintaxis de consultas en la Guía del CloudWatch usuario de Amazon.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

OpenSearch Lenguaje SQL

Cree índices de campos para mejorar el rendimiento de las consultas y reducir el volumen de digitalización