Registros y campos detectados admitidos

CloudWatch Logs Insights es compatible con todo tipo de registros. Para cada sesión enviada a CloudWatch Logs, se generan automáticamente cinco campos del sistema:

@message contiene el evento de registro sin analizar ni procesar. Esto equivale al message campo en InputLogevent .
@timestamp contiene la marca de tiempo del evento incluida en el campo timestamp del evento de registro. Esto equivale al timestamp campo en InputLogevent .
@ingestionTime contiene la hora a la que recibió el evento de CloudWatch Logsregistro.
@logStream contiene el nombre del flujo de registros al que se añadió el evento de registro. Las secuencias de registro se utilizan para agrupar registros por el mismo proceso que los generó.
@log es un identificador de grupo de registros con el formato account-id:log-group-name. Esto puede resultar útil en consultas de varios grupos de registros, para identificar a qué grupo de registros pertenece un evento determinado.

CloudWatch Logs Insights inserta el símbolo @ al principio de los campos que genera.

Para muchos tipos de registro, CloudWatch Logs también detecta automáticamente los campos de registro contenidos en los registros. Estos campos de detección automática se muestran en la siguiente tabla.

Para otros tipos de registros con campos que CloudWatch Logs Insights no detecte automáticamente, puede utilizar el comando parse para extraer y crear campos efímeros para su uso en esa consulta. Para obtener más información, consulte CloudWatch Logs InsightsSintaxis de las consultas de

Si el nombre de un campo de registro detectado comienza con el carácter @, CloudWatch Logs Insights lo muestra con un @ adicional añadido al principio. Por ejemplo, si un nombre de campo de registro es @example.com, este nombre de campo se muestra como @@example.com.

Tipo de registro	Campos de registro detectados
Amazon VPCRegistros de flujo de	`@timestamp`, `@logStream`, `@message`, `accountId`, `endTime`, `interfaceId`, `logStatus`, `startTime`, `version`, `action`, `bytes`, `dstAddr`, `dstPort`, `packets`, `protocol`, `srcAddr`, `srcPort`
Route 53Registros de	`@timestamp`, `@logStream`, `@message`, `edgeLocation`, `hostZoneId`, `protocol`, `queryName`, `queryTimestamp`, `queryType`, `resolverIp`, `responseCode`, `version`
LambdaRegistros de	`@timestamp`, `@logStream`, `@message`, `@requestId`, `@duration,` `@billedDuration`, `@type`, `@maxMemoryUsed`, `@memorySize` Si una línea de registro de Lambda contiene un ID de seguimiento de X-Ray, también incluye los campos siguientes: `@xrayTraceId` y `@xraySegmentId`. CloudWatch Logs Insights descubre automáticamente los campos de registro en registros de Lambda, pero solo para el primer fragmento JSON integrado en cada evento de registro. Si un evento de registro de Lambda contiene varios fragmentos JSON, puede analizar y extraer los campos de registro con el comando `parse` Para obtener más información, consulte Campos de registros JSON.
CloudTrailRegistros de Registros en formato JSON	Para obtener más información, consulte Campos de registros JSON.
Otros tipos de registros	`@timestamp`, `@ingestionTime`, `@logStream`, `@message`, `@log`.

Campos de registros JSON

CloudWatch Logs Insights representa los campos JSON anidados que utilizan la notación de puntos. En el siguiente ejemplo de evento JSON, el campo type del objeto JSON userIdentity se representa como userIdentity.type.

Las matrices JSON se aplanan en una lista de nombres de campos y valores. Por ejemplo, para especificar el valor de instanceId para que el primer elemento requestParameters.instancesSet, utilice requestParameters.instancesSet.items.0.instanceId.

CloudWatch Logs Insights puede extraer un máximo de 100 campos de eventos de registro de un registro JSON. Para los campos adicionales que no se extraen, puede utilizar el comando parse para analizar estos campos desde el evento de registro sin analizar en el campo de mensaje.


{ "eventVersion": "1.0",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EX_PRINCIPAL_ID",
        "arn": "arn: aws: iam: : 123456789012: user/Alice",
        "accessKeyId": "EXAMPLE_KEY_ID",
        "accountId": "123456789012",
        "userName": "Alice"
    },
    "eventTime": "2014-03-06T21: 22: 54Z",
    "eventSource": "ec2.amazonaws.com",
    "eventName": "StartInstances",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "205.251.233.176",
    "userAgent": "ec2-api-tools1.6.12.2",
    "requestParameters": {
        "instancesSet": {
            "items": [
                {
                    "instanceId": "i-abcde123"
                }
            ]
        }
    },
    "responseElements": {
        "instancesSet": {
            "items": [
                {
                    "instanceId": "i-abcde123",
                    "currentState": {
                        "code": 0,
                        "name": "pending"
                    },
                    "previousState": {
                        "code": 80,
                        "name": "stopped"
                    }
                }
            ]
        }
    }

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Análisis de datos de registro con CloudWatch Logs Insights

Tutorial: ejecutar y modificar una consulta de muestra