Declaraciones de origen - Amazon Kinesis Agent para Microsoft Windows

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Declaraciones de origen

En Amazon Kinesis Agent para Microsoft Windows,Declaraciones de origenDescriba dónde y qué datos de registro, eventos y métrica deben recopilarse. También brindan la posibilidad de especificar información que permita analizar esos datos de modo que puedan transformarse. En las secciones siguientes, se describen las configuraciones de los tipos de origen integrados que están disponibles en Kinesis Agent para Windows. Como Kinesis Agent para Windows es ampliable, se pueden agregar tipos de orígenes personalizados. Normalmente, todos los tipos de orígenes necesitan pares clave-valor específicos de los objetos de configuración que son importantes para cada tipo de origen.

Todas las declaraciones de origen deben tener al menos los siguientes pares clave-valor:

Id

Cadena única que identifica un determinado objeto de origen en el archivo de configuración.

SourceType

Nombre del tipo de origen de este objeto de origen. El tipo de origen especifica el origen de los datos del registro, el evento o la métrica que este objeto de origen recopila. También controla qué otros aspectos del origen pueden declararse.

Para ver ejemplos de archivos de configuración completos en los que se utilizan diferentes tipos de declaraciones de origen, consulte Transmisión a desde varios orígenes de Kinesis Data Streams.

Configuración de DirectorySource

Overview

El tipo de origen DirectorySource recopila registros de archivos que están almacenados en el directorio especificado. Como los archivos de registro están disponibles en muchos formatos diferentes, la declaración DirectorySource permite especificar el formato de los datos del archivo de registro. Posteriormente, el contenido del registro se puede convertir a un formato estándar, como JSON o XML, antes de transmitirlo a los diferentes servicios de AWS.

A continuación, se muestra una declaración DirectorySource de ejemplo:

{ "Id": "myLog", "SourceType": "DirectorySource", "Directory": "C:\\Program Data\\MyCompany\\MyService\\logs", "FileNameFilter": "*.log", "IncludeSubdirectories": true, "IncludeDirectoryFilter": "cpu\\cpu-1;cpu\\cpu-2;load;memory", "RecordParser": "Timestamp", "TimestampFormat": "yyyy-MM-dd HH:mm:ss.ffff", "Pattern": "\\d{4}-\\d{2}-\\d(2}", "ExtractionPattern": "", "TimeZoneKind": "UTC", "SkipLines": 0, "Encoding": "utf-16", "ExtractionRegexOptions": "Multiline" }

Todas las declaraciones DirectorySource pueden proporcionar los siguientes pares clave-valor:

SourceType

Tiene que ser la cadena literal "DirectorySource" (obligatorio).

Directory

Ruta del directorio que contiene los archivos de registro (obligatorio).

FileNameFilter

Es opcional y limita el conjunto de archivos del directorio donde se van a recopilar los datos de registro en función de un patrón de nombre de archivo con caracteres comodín. Si tiene varios patrones de nombre de archivo de registro, esta función le permite utilizar un únicoDirectorySourceComo se muestra en el ejemplo siguiente.

FileNameFilter: "*.log|*.txt"

Los administradores del sistema a veces comprimen los archivos de registro antes de archivarlos. Si especifica"*.*"inFileNameFilter, ahora se excluyen los archivos comprimidos conocidos. Esta función impide que.zip,.gz, y.bz2se transmitan accidentalmente. Si este par clave-valor no se especifica, los datos de todos los archivos del directorio se recopilan de forma predeterminada.

IncludeSubdirectories

Especifica que se supervisan los subdirectorios a una profundidad arbitraria limitada por el sistema operativo. Esta función es útil para monitorear servidores web con múltiples sitios web. También puede utilizar laIncludeDirectoryFilteratributo para supervisar sólo ciertos subdirectorios especificados en el filtro.

RecordParser

Especifica cómo el tipo de origen DirectorySource debe procesar los archivos de registro que se encuentran en el directorio especificado. Este par clave-valor es obligatorio y los valores válidos son los siguientes:

  • SingleLine— Cada línea del archivo de registro es un registro de registro.

  • SingleLineJson— Cada línea del archivo de registro es un registro de registro con formato JSON. Este analizador resulta útil si desea añadir más pares clave-valor al archivo JSON utilizando la decoración de objetos. Para obtener más información, consulte Configuración de decoraciones de receptores. Para ver un ejemplo en el que se utiliza el analizador de recursos SingleLineJson, consulte Tutorial: Transmitir archivos de registro JSON a Amazon S3 mediante Kinesis Agent para Windows.

  • Timestamp— Una o más líneas pueden incluir un registro de registro. Esta entrada de registro comienza con una marca temporal. Esta opción requiere que se especifique el par clave-valor TimestampFormat.

  • Regex— Cada registro comienza con texto que coincide con una expresión regular determinada. Esta opción requiere que se especifique el par clave-valor Pattern.

  • SysLog— Indica que el archivo de registro está escrito en el archivosyslogformato estándar. Las entradas del archivo de registro se analizan en función de dicha especificación.

  • Delimited— Una versión más simple del analizador de registros Regex donde los elementos de datos de los registros están separados por un delimitador consistente. Esta opción resulta más fácil de utilizar y se ejecuta más rápido que el analizador Regex, por lo que es la preferida cuando está disponible. Si utiliza esta opción, debe especificar el par clave-valor Delimiter.

TimestampField

Especifica qué campo JSON contiene la marca temporal del registro. Solo se utiliza con SingleLineJson RecordParser. Este par clave-valor es opcional. Si no se especifica, Kinesis Agent para Windows utiliza como marca temporal el momento en que se leyó el registro. Una ventaja de especificar este par clave-valor es que las estadísticas de latencia generadas por Kinesis Agent para Windows son más precisas.

TimestampFormat

Especifica cómo se van a analizar la fecha y la hora asociadas con el registro. El valor es la cadena epoch o una cadena con formato de fecha y hora de .NET. Si el valor es epoch, el valor temporal se analizará utilizando el sistema temporal UNIX Epoch. Para obtener más información sobre el sistema temporal UNIX Epoch, consulte Unix time (Tiempo Unix). Para obtener más información acerca las cadenas con formato de fecha y hora de .NET, consulte Cadenas con formato de fecha y hora personalizado en la documentación de Microsoft .NET. Este par clave-valor solo es obligatorio si se especifica el analizador de registros Timestamp o si se especifica el analizador de SingleLineJson registros junto con el par clave-valor TimestampField.

Pattern

Especifica una expresión regular que debe coincidir con la primera línea de una entrada que podría estar repartida en varias líneas. Este par clave-valor solo es necesario en el analizador de registros Regex.

ExtractionPattern

Especifica una expresión regular que debe utilizar grupos con nombre. El registro se analiza utilizando esta expresión regular y los grupos con nombre conforman los campos del registro analizado. Estos campos se utilizan después como base para crear objetos JSON, objetos XML o documentos que los receptores transmiten a diversos servicios de AWS. Este par clave-valor es opcional y está disponible con laRegexy el analizador de marcas de tiempo.

El nombre del grupo Timestamp se procesa de forma diferente, lo que le indica al analizador Regex cuál es el campo que contiene la fecha y la hora de cada entrada del archivo de registro.

Delimiter

Especifica el carácter o cadena que separa los elementos de cada entrada del registro. Este par clave-valor debe utilizarse (y solamente puede utilizarse) con el analizador de registros Delimited. Utilice la secuencia de dos caracteres \t para representar el carácter de tabulación.

HeaderPattern

Especifica una expresión regular que busca la línea del archivo de registro que contiene el conjunto de encabezados de la entrada del registro. Si el archivo de registro no contiene información sobre el encabezado, utilice el par clave-valor Headers para especificar los encabezados implícitos. El par clave-valor HeaderPattern es opcional y solo es válido con el analizador de registros Delimited.

nota

Si hay una entrada en una columna con un encabezado vacío (la longitud es 0), los datos de esa columna se filtrarán desde la salida final del resultado analizado de DirectorySource.

Headers

Especifica los nombres de las columnas de datos que se han analizado con el delimitador especificado. Este par clave-valor es opcional y solo es válido con el analizador de registros Delimited.

nota

Si hay una entrada en una columna con un encabezado vacío (la longitud es 0), los datos de esa columna se filtrarán desde la salida final del resultado analizado de DirectorySource.

RecordPattern

Especifica una expresión regular que identifica las líneas del archivo de registro que contienen datos de la entrada del registro. Salvo la línea de encabezado opcional identificada por HeaderPattern, las líneas que no coinciden con el valor de RecordPattern especificado no se tienen en cuenta durante el procesamiento del registro. Este par clave-valor es opcional y solo es válido con el analizador de registros Delimited. Si no se proporciona, de forma predeterminada, se considera que las líneas que no coinciden con el valor opcional de HeaderPattern o de CommentPattern son líneas que contienen datos de registro que se pueden analizar.

CommentPattern

Especifica una expresión regular que identifica las líneas del archivo de registro que deberían excluirse antes de analizar los datos del archivo de registro. Este par clave-valor es opcional y solo es válido con el analizador de registros Delimited. Si no se proporciona, de forma predeterminada, se considera que las líneas que no coinciden con el valor opcional de HeaderPattern son líneas que contienen datos de registro que se pueden analizar, a menos que se especifique RecordPattern.

TimeZoneKind

Especifica si la marca temporal del archivo de registro corresponde a la zona horaria local o a la zona horaria UTC. Este valor es opcional y su valor predeterminado es UTC. Los únicos valores válidos para este par clave-valor son Local o UTC. La marca temporal nunca se modifica si TimeZoneKind no se especifica o si el valor es UTC. La marca de tiempo se convierte a UTC cuando el parámetroTimeZoneKindValor esLocalEl receptor que recibe la marca temporal es CloudWatch Logs o el registro analizado se envía a otros receptores. Las fechas y las horas insertadas en mensajes no se convierten.

SkipLines

Cuando se especifica, controla el número de líneas que se omiten al comienzo de cada archivo de registro antes de que se realice el análisis. Es opcional y el valor predeterminado es 0.

Codificación

De forma predeterminada, Kinesis Agent para Windows puede detectar automáticamente la codificación desde bytemark. Sin embargo, es posible que la codificación automática no funcione correctamente en algunos formatos Unicode antiguos. En el ejemplo siguiente se especifica la codificación necesaria para transmitir un registro de Microsoft SQL Server.

"Encoding": "utf-16"

Para obtener una lista de los nombres de codificación, consulteLista de codificacionesen la documentación de Microsoft.NET.

ExtraccionRegexOptions

Puede usarExtractionRegexOptionsPara simplificar las expresiones regulares. Este par clave-valor es opcional. El valor predeterminado es "None".

En el siguiente ejemplo se especifica que la"."coincide con cualquier carácter, incluyendo\r\n.

"ExtractionRegexOptions" = "Multiline"

Para obtener una lista de los posibles campos de ExtractionRegexOptions, consulte laRegexOptions enumen la documentación de Microsoft.NET.

Analizador de registros Regex

Puede analizar registros de texto no estructurados utilizando el analizador de registros Regex con los pares clave-valor TimestampFormat, Pattern y ExtractionPattern. Por ejemplo, supongamos que tiene un archivo de registro similar al siguiente:

[FATAL][2017/05/03 21:31:00.534][0x00003ca8][0000059c][][ActivationSubSystem][GetActivationForSystemID][0] 'ActivationException.File: EQCASLicensingSubSystem.cpp' [FATAL][2017/05/03 21:31:00.535][0x00003ca8][0000059c][][ActivationSubSystem][GetActivationForSystemID][0] 'ActivationException.Line: 3999'

Puede especificar las siguientes expresiones regulares para que el par clave-valor Pattern le ayude a dividir el archivo de registro en varios registros distintos:

^\[\w+\]\[(?<TimeStamp>\d{4}/\d{2}/\d{2} \d{2}:\d{2}:\d{2}\.\d{3})\]

Esta expresión regular coincidirá con la siguiente secuencia:

  1. Comienzo de la cadena que se está evaluando.

  2. Uno o varios caracteres entre corchetes.

  3. Una marca temporal entre corchetes. La marca temporal encontrará coincidencias con la siguiente secuencia:

    1. Un año de cuatro dígitos

    2. Una barra inclinada

    3. Un mes de dos dígitos.

    4. Una barra inclinada

    5. Un día de dos dígitos.

    6. Un carácter de espacio

    7. Una hora de dos dígitos

    8. Un símbolo de dos puntos

    9. Un minuto de dos dígitos

    10. Un símbolo de dos puntos

    11. Un segundo de dos dígitos

    12. Un punto

    13. Un milisegundo de tres dígitos

Puede especificar el siguiente formato para que el par clave-valor TimestampFormat convierta el texto de la marca temporal en un formato de fecha y hora:

yyyy/MM/dd HH:mm:ss.fff

Puede utilizar la siguiente expresión regular para extraer los campos de la entrada de registro mediante el par clave-valor ExtractionPattern.

^\[(?<Severity>\w+)\]\[(?<TimeStamp>\d{4}/\d{2}/\d{2} \d{2}:\d{2}:\d{2}\.\d{3})\]\[[^]]*\]\[[^]]*\]\[[^]]*\]\[(?<SubSystem>\w+)\]\[(?<Module>\w+)\]\[[^]]*\] '(?<Message>.*)'$

Esta expresión regular coincidirá con los siguientes grupos en este orden:

  1. Severity: uno o varios caracteres entre corchetes.

  2. TimeStamp— Consulte la descripción anterior de la marca de tiempo.

  3. Se omiten tres secuencias de cero o más caracteres entre corchetes sin nombre.

  4. SubSystem: uno o varios caracteres entre corchetes.

  5. Module: uno o varios caracteres entre corchetes.

  6. Se omite una secuencia de cero o más caracteres entre corchetes sin nombre.

  7. Se omite un espacio sin nombre.

  8. Message— Cero o más caracteres rodeados de comillas simples.

La siguiente declaración de origen combina estas expresiones regulares y el formato de fecha y hora a fin de proporcionar instrucciones completas para que analice este tipo de archivo de registro.

{ "Id": "PrintLog", "SourceType": "DirectorySource", "Directory": "C:\\temp\\PrintLogTest", "FileNameFilter": "*.log", "RecordParser": "Regex", "TimestampFormat": "yyyy/MM/dd HH:mm:ss.fff", "Pattern": "^\\[\\w+\\]\\[(?<TimeStamp>\\d{4}/\\d{2}/\\d{2} \\d{2}:\\d{2}:\\d{2}\\.\\d{3})\\]", "ExtractionPattern": "^\\[(?<Severity>\\w+)\\]\\[(?<TimeStamp>\\d{4}/\\d{2}/\\d{2} \\d{2}:\\d{2}:\\d{2}\\.\\d{3})\\]\\[[^]]*\\]\\[[^]]*\\]\\[[^]]*\\]\\[(?<SubSystem>\\w+)\\]\\[(?<Module>\\w+)\\]\\[[^]]*\\] '(?<Message>.*)'$", "TimeZoneKind": "UTC" }
nota

Las barras diagonales invertidas de los archivos con formato JSON deben incluirse en secuencias de escape utilizando barras diagonales invertidas adicionales.

Para obtener más información sobre las expresiones regulares, consulte Lenguaje de expresiones regulares - Referencia rápida en la documentación de Microsoft .NET.

Analizador de registros Delimited

Puede utilizar el analizador de registros Delimited para analizar registros semiestructurados y archivos de datos en los que hay una secuencia de caracteres que se utiliza sistemáticamente para separar las columnas de datos de cada fila de datos. Por ejemplo, los archivos CSV utilizan una coma para separar las columnas de datos, mientras que los archivos TSV utilizan una tabulación.

Supongamos que desea analizar un archivo de registro con el formato de base de datos NPS generado por un servidor de políticas de red. Este archivo tendría un aspecto similar al siguiente:

"NPS-MASTER","IAS",03/22/2018,23:07:55,1,"user1","Domain1\user1",,,,,,,,0,"192.168.86.137","Nate - Test 1",,,,,,,1,,0,"311 1 192.168.0.213 03/15/2018 08:14:29 1",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,"Use Windows authentication for all users",1,,,, "NPS-MASTER","IAS",03/22/2018,23:07:55,3,,"Domain1\user1",,,,,,,,0,"192.168.86.137","Nate - Test 1",,,,,,,1,,16,"311 1 192.168.0.213 03/15/2018 08:14:29 1",,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,"Use Windows authentication for all users",1,,,,

El archivo de configuración appsettings.json del siguiente ejemplo contiene una declaración DirectorySource que utiliza el analizador de registros Delimited para analizar este texto en una representación de objetos. A continuación, transmite los datos con formato JSON a Kinesis Data Firehose:

{ "Sources": [ { "Id": "NPS", "SourceType": "DirectorySource", "Directory": "C:\\temp\\NPS", "FileNameFilter": "*.log", "RecordParser": "Delimited", "Delimiter": ",", "Headers": "ComputerName,ServiceName,Record-Date,Record-Time,Packet-Type,User-Name,Fully-Qualified-Distinguished-Name,Called-Station-ID,Calling-Station-ID,Callback-Number,Framed-IP-Address,NAS-Identifier,NAS-IP-Address,NAS-Port,Client-Vendor,Client-IP-Address,Client-Friendly-Name,Event-Timestamp,Port-Limit,NAS-Port-Type,Connect-Info,Framed-Protocol,Service-Type,Authentication-Type,Policy-Name,Reason-Code,Class,Session-Timeout,Idle-Timeout,Termination-Action,EAP-Friendly-Name,Acct-Status-Type,Acct-Delay-Time,Acct-Input-Octets,Acct-Output-Octets,Acct-Session-Id,Acct-Authentic,Acct-Session-Time,Acct-Input-Packets,Acct-Output-Packets,Acct-Terminate-Cause,Acct-Multi-Ssn-ID,Acct-Link-Count,Acct-Interim-Interval,Tunnel-Type,Tunnel-Medium-Type,Tunnel-Client-Endpt,Tunnel-Server-Endpt,Acct-Tunnel-Conn,Tunnel-Pvt-Group-ID,Tunnel-Assignment-ID,Tunnel-Preference,MS-Acct-Auth-Type,MS-Acct-EAP-Type,MS-RAS-Version,MS-RAS-Vendor,MS-CHAP-Error,MS-CHAP-Domain,MS-MPPE-Encryption-Types,MS-MPPE-Encryption-Policy,Proxy-Policy-Name,Provider-Type,Provider-Name,Remote-Server-Address,MS-RAS-Client-Name,MS-RAS-Client-Version", "TimestampField": "{Record-Date} {Record-Time}", "TimestampFormat": "MM/dd/yyyy HH:mm:ss" } ], "Sinks": [ { "Id": "npslogtest", "SinkType": "KinesisFirehose", "Region": "us-west-2", "StreamName": "npslogtest", "Format": "json" } ], "Pipes": [ { "Id": "W3SVCLog1ToKinesisStream", "SourceRef": "NPS", "SinkRef": "npslogtest" } ] }

Los datos con formato JSON que se transmiten a Kinesis Data Firehose tienen un aspecto similar al siguiente:

{ "ComputerName": "NPS-MASTER", "ServiceName": "IAS", "Record-Date": "03/22/2018", "Record-Time": "23:07:55", "Packet-Type": "1", "User-Name": "user1", "Fully-Qualified-Distinguished-Name": "Domain1\\user1", "Called-Station-ID": "", "Calling-Station-ID": "", "Callback-Number": "", "Framed-IP-Address": "", "NAS-Identifier": "", "NAS-IP-Address": "", "NAS-Port": "", "Client-Vendor": "0", "Client-IP-Address": "192.168.86.137", "Client-Friendly-Name": "Nate - Test 1", "Event-Timestamp": "", "Port-Limit": "", "NAS-Port-Type": "", "Connect-Info": "", "Framed-Protocol": "", "Service-Type": "", "Authentication-Type": "1", "Policy-Name": "", "Reason-Code": "0", "Class": "311 1 192.168.0.213 03/15/2018 08:14:29 1", "Session-Timeout": "", "Idle-Timeout": "", "Termination-Action": "", "EAP-Friendly-Name": "", "Acct-Status-Type": "", "Acct-Delay-Time": "", "Acct-Input-Octets": "", "Acct-Output-Octets": "", "Acct-Session-Id": "", "Acct-Authentic": "", "Acct-Session-Time": "", "Acct-Input-Packets": "", "Acct-Output-Packets": "", "Acct-Terminate-Cause": "", "Acct-Multi-Ssn-ID": "", "Acct-Link-Count": "", "Acct-Interim-Interval": "", "Tunnel-Type": "", "Tunnel-Medium-Type": "", "Tunnel-Client-Endpt": "", "Tunnel-Server-Endpt": "", "Acct-Tunnel-Conn": "", "Tunnel-Pvt-Group-ID": "", "Tunnel-Assignment-ID": "", "Tunnel-Preference": "", "MS-Acct-Auth-Type": "", "MS-Acct-EAP-Type": "", "MS-RAS-Version": "", "MS-RAS-Vendor": "", "MS-CHAP-Error": "", "MS-CHAP-Domain": "", "MS-MPPE-Encryption-Types": "", "MS-MPPE-Encryption-Policy": "", "Proxy-Policy-Name": "Use Windows authentication for all users", "Provider-Type": "1", "Provider-Name": "", "Remote-Server-Address": "", "MS-RAS-Client-Name": "", "MS-RAS-Client-Version": "" }

Analizador de registros SysLog

En el caso del analizador de registros SysLog, la salida analizada del origen contiene la siguiente información:

Atributo Tipo Descripción
SysLogTimeStamp Cadena Fecha y hora originales del archivo de registro con formato syslog.
Hostname Cadena Nombre del equipo en el que se encuentra el archivo de registro con formato syslog.
Program Cadena Nombre de la aplicación o servicio que generó el archivo de registro.
Message Cadena Mensaje de registro generado por la aplicación o servicio.
TimeStamp Cadena Fecha y hora analizadas en formato ISO 8601.

A continuación, se muestra un ejemplo de datos SysLog convertidos a formato JSON:

{ "SysLogTimeStamp": "Jun 18 01:34:56", "Hostname": "myhost1.example.mydomain.com", "Program": "mymailservice:", "Message": "Info: ICID 123456789 close", "TimeStamp": "2017-06-18T01:34.56.000" }

Summary

A continuación, se muestra un resumen de los pares clave-valor disponibles para el origen DirectorySource y los analizadores RecordParser relacionados con estos pares clave-valor.

Nombre de clave RecordParser Notas
SourceType Obligatorio en todos los casos Debe tener el valor DirectorySource
Directory Obligatorio en todos los casos
FileNameFilter Opcional en todos los casos
RecordParser Obligatorio en todos los casos
TimestampField Opcional para SingleLineJson
TimestampFormat Obligatorio para Timestamp; obligatorio para SingleLineJson si se especifica TimestampField.
Pattern Obligatorio para Regex
ExtractionPattern Opcional para Regex Obligatorio para Regex si el receptor especifica un formato json o xml.
Delimiter Obligatorio para Delimited
HeaderPattern Opcional para Delimited
Headers Opcional para Delimited
RecordPattern Opcional para Delimited
CommentPattern Opcional para Delimited
TimeZoneKind Opcional para Regex, Timestamp, SysLog y SingleLineJson cuando se identifica un campo de marca temporal.
SkipLines Opcional en todos los casos

Configuración de ExchangeLogSource

El tipo ExchangeLogSource se utiliza para recopilar registros de Microsoft Exchange. Exchange genera registros con diferentes tipos de formatos de registro. Este tipo de origen analiza todos ellos. Aunque es posible analizarlos utilizando el tipo DirectorySource con el analizador de registros Regex, resulta mucho más sencillo utilizar ExchangeLogSource, ya que no es necesario diseñar y proporcionar expresiones regulares para los formatos de los archivos de registro. A continuación, se muestra una declaración ExchangeLogSource de ejemplo:

{ "Id": "MyExchangeLog", "SourceType": "ExchangeLogSource", "Directory": "C:\\temp\\ExchangeLogTest", "FileNameFilter": "*.log" }

Todas las declaraciones de Exchange pueden proporcionar los siguientes pares clave-valor:

SourceType

Tiene que ser la cadena literal "ExchangeLogSource" (obligatorio).

Directory

Ruta del directorio que contiene los archivos de registro (obligatorio).

FileNameFilter

Es opcional y limita el conjunto de archivos del directorio donde se van a recopilar los datos de registro en función de un patrón de nombre de archivo con caracteres comodín. Si este par clave-valor no se especifica, de forma predeterminada, se recopilan los datos de registro de todos los archivos del directorio.

TimestampField

Nombre de la columna que contiene la fecha y la hora del registro. Este par clave-valor es opcional y no tiene que especificarse si el nombre de campo es date-time o DateTime. De lo contrario, es obligatorio.

Configuración de W3SVCLogSource

El tipo W3SVCLogSource se utiliza para recopilar registros de Internet Information Services (IIS) para Windows.

A continuación, se muestra una declaración W3SVCLogSource de ejemplo:

{ "Id": "MyW3SVCLog", "SourceType": "W3SVCLogSource", "Directory": "C:\\inetpub\\logs\\LogFiles\\W3SVC1", "FileNameFilter": "*.log" }

Todas las declaraciones W3SVCLogSource pueden proporcionar los siguientes pares clave-valor:

SourceType

Tiene que ser la cadena literal "W3SVCLogSource" (obligatorio).

Directory

Ruta del directorio que contiene los archivos de registro (obligatorio).

FileNameFilter

Es opcional y limita el conjunto de archivos del directorio donde se van a recopilar los datos de registro en función de un patrón de nombre de archivo con caracteres comodín. Si este par clave-valor no se especifica, de forma predeterminada, se recopilan los datos de registro de todos los archivos del directorio.

Configuración de UlsSource

El tipo UlsSource se utiliza para recopilar registros de Microsoft SharePoint. A continuación, se muestra una declaración UlsSource de ejemplo:

{ "Id": "UlsSource", "SourceType": "UlsSource", "Directory": "C:\\temp\\uls", "FileNameFilter": "*.log" }

Todas las declaraciones UlsSource pueden proporcionar los siguientes pares clave-valor:

SourceType

Tiene que ser la cadena literal "UlsSource" (obligatorio).

Directory

Ruta del directorio que contiene los archivos de registro (obligatorio).

FileNameFilter

Es opcional y limita el conjunto de archivos del directorio donde se van a recopilar los datos de registro en función de un patrón de nombre de archivo con caracteres comodín. Si este par clave-valor no se especifica, de forma predeterminada, se recopilan los datos de registro de todos los archivos del directorio.

Configuración de WindowsEventLogSource

El tipo WindowsEventLogSource se utiliza para recopilar eventos del servicio Registro de eventos de Windows. A continuación, se muestra una declaración WindowsEventLogSource de ejemplo:

{ "Id": "mySecurityLog", "SourceType": "WindowsEventLogSource", "LogName": "Security" }

Todas las declaraciones WindowsEventLogSource pueden proporcionar los siguientes pares clave-valor:

SourceType

Tiene que ser la cadena literal "WindowsEventLogSource" (obligatorio).

LogName

Eventos recopilados en el registro especificado. Los valores habituales son Application, Security y System, pero se puede especificar cualquier nombre de registro de eventos de Windows que sea válido. Este par clave-valor es obligatorio.

Query

Es opcional y puede limitar los eventos que se van a incluir en la salida de WindowsEventLogSource. Si este par clave-valor no se especifica, de forma predeterminada, se incluyen todos los eventos en la salida. Para obtener más información sobre la sintaxis de este valor, consulte Event Queries and Event XML en la documentación de Windows. Para obtener más información sobre las definiciones de nivel de registro, consulte Event Types en la documentación de Windows.

IncludeEventData

Es opcional y permite recopilar y transmitir datos de eventos que son específicos de un proveedor y están asociados con los eventos de un registro de Windows que se ha especificado cuando el valor de este par clave-valor es "true". Solo se incluyen los datos de eventos que pueden serializarse correctamente. Este par clave-valor es opcional y, si no se especifica, no se recopilan datos de eventos específicos de un proveedor.

nota

Si se incluyen datos de eventos, puede aumentar significativamente la cantidad de datos transmitidos desde este origen. El tamaño máximo de un evento puede ser de 262 143 bytes, incluidos sus datos.

La salida analizada de WindowsEventLogSource contiene la siguiente información:

Atributo Tipo Descripción
EventId Int Identificador del tipo de evento.
Description Cadena Texto que describe los detalles del evento.
LevelDisplayName Cadena Categoría del evento. Puede ser una de las siguientes: Error, Warning (Advertencia), Information (Información), Success Audit (Resultados positivos de auditoría) o Failure Audit (Resultados negativos de auditoría).
LogName Cadena Lugar en el que se registró el evento (los valores más comunes suelen ser Application, Security y System, pero hay muchas otras posibilidades).
MachineName Cadena Equipo que registró el evento.
ProviderName Cadena Aplicación o servicio que registró el evento.
TimeCreated Cadena Momento en que tuvo lugar el evento en formato ISO 8601.
Index Int Lugar del registro donde se encuentra la entrada.
UserName Cadena Persona que realizó la entrada, si se sabe quién es.
Keywords Cadena El tipo de evento. Los valores estándar son AuditFailure (eventos de auditoría de seguridad con errores), AuditSuccess (eventos de auditoría de seguridad correctos), Classic (eventos generados con la función RaiseEvent), Correlation Hint (eventos de transferencia), SQM (eventos del mecanismo de calidad del servicio), WDI Context (eventos contextuales de Infraestructura de diagnóstico de Windows) y WDI Diag (eventos de diagnóstico de Infraestructura de diagnóstico de Windows).
EventData Lista de objetos (Opcional) Datos adicionales específicos de un proveedor sobre el evento de registro. Solo se incluye si el valor del par clave-valor IncludeEventData es "true".

A continuación, se muestra un ejemplo de un evento convertido a formato JSON:

{[ "EventId": 7036, "Description": "The Amazon SSM Agent service entered the stopped state.", "LevelDisplayName": "Informational", "LogName": "System", "MachineName": "mymachine.mycompany.com", "ProviderName": "Service Control Manager", "TimeCreated": "2017-10-04T16:42:53.8921205Z", "Index": 462335, "UserName": null, "Keywords": "Classic", "EventData": [ "Amazon SSM Agent", "stopped", "rPctBAMZFhYubF8zVLcrBd3bTTcNzHvY5Jc2Br0aMrxxx==" ]}

Configuración de WindowSeventLogPollingSource

WindowsEventLogPollingSourceutiliza un mecanismo basado en sondeo para recopilar todos los eventos nuevos del registro de eventos que coincidan con los parámetros configurados. El intervalo de sondeo se actualiza dinámicamente entre 100 ms y 5000 ms dependiendo de cuántos eventos se reunieron durante la última encuesta. A continuación, se muestra una declaración WindowsEventLogPollingSource de ejemplo:

{ "Id": "MySecurityLog", "SourceType": "WindowsEventLogPollingSource", "LogName": "Security", "IncludeEventData": "true", "Query": "", "CustomFilters": "ExcludeOwnSecurityEvents" }

Todas las declaraciones WindowsEventLogPollingSource pueden proporcionar los siguientes pares clave-valor:

SourceType

Tiene que ser la cadena literal "WindowsEventLogPollingSource" (obligatorio).

LogName

Especifica el registro. Las opciones válidas sonApplication,Security,System, u otros registros válidos.

IncludeEventData

Opcional. Cuandotrue, especifica que EventData adicional cuando se transmite como JSON y XML se incluye. El valor predeterminado es false.

Query

Opcional. Los registros de eventos de Windows admiten la consulta de eventos mediante expresiones XPath, que puede especificar medianteQuery. Para obtener más información, consulteConsultas de eventos y XML de eventosen la documentación de Microsoft.

CustomFilters

Opcional. Una lista de filtros separados por un punto y coma (;). Se pueden especificar los siguientes filtros.

ExcludeOwnSecurityEvents

Excluye los eventos de seguridad generados por Kinesis Agent para Windows.

Configuración de WindowsETWEventSource

El tipo WindowsETWEventSource se utiliza para recopilar rastros de eventos de servicios y aplicaciones con una característica llamada Seguimiento de eventos para Windows (ETW). Para obtener más información, consulte Event Tracing en la documentación de Windows.

A continuación, se muestra una declaración WindowsETWEventSource de ejemplo:

{ "Id": "ClrETWEventSource", "SourceType": "WindowsETWEventSource", "ProviderName": "Microsoft-Windows-DotNETRuntime", "TraceLevel": "Verbose", "MatchAnyKeyword": 32768 }

Todas las declaraciones WindowsETWEventSource pueden proporcionar los siguientes pares clave-valor:

SourceType

Tiene que ser la cadena literal "WindowsETWEventSource" (obligatorio).

ProviderName

Especifica qué proveedor de eventos se va a utilizar para recopilar los eventos de rastreo. Debe ser un nombre de ETW válido asignado a un proveedor instalado. Para determinar qué proveedores están instalados, ejecute lo siguiente en una ventana del símbolo del sistema de Windows:

logman query providers
TraceLevel

Especifica qué categorías de los eventos de rastreo deben recopilarse. Los valores permitidos son Critical, Error, Warning, Informational y Verbose. El significado exacto depende del proveedor de ETW seleccionado.

MatchAnyKeyword

Este valor es un número de 64 bits, donde cada bit representa una palabra clave individual. Cada palabra clave describe una categoría de eventos que se va a recopilar. Para obtener información sobre las palabras clave admitidas, sus valores y cómo se relacionan con TraceLevel, consulte la documentación de ese proveedor. Por ejemplo, para obtener información sobre el proveedor ETW de CLR Palabras clave y niveles ETW de CLR en la documentación de Microsoft .NET Framework.

En el ejemplo anterior, 32768 (0x00008000) representa la ExceptionKeyword del proveedor ETW de CLR que indica al proveedor que recopile información sobre las excepciones generadas. Aunque JSON no admite de forma nativa constantes hexadecimales, puede especificarlas para MatchAnyKeyword incluyéndolas en una cadena. También puede especificar varias constantes separadas por comas. Por ejemplo, utilice lo siguiente para especificar ExceptionKeyword y SecurityKeyword (0x00000400):

{ "Id": "MyClrETWEventSource", "SourceType": "WindowsETWEventSource", "ProviderName": "Microsoft-Windows-DotNETRuntime", "TraceLevel": "Verbose", "MatchAnyKeyword": "0x00008000, 0x00000400" }

Para asegurarse de que todas las palabras clave especificadas pueden utilizarse con un proveedor, se combinan varios valores de las palabras clave con OR y se pasan a ese proveedor.

La salida de WindowsETWEventSource contiene la siguiente información sobre cada evento:

Atributo Tipo Descripción
EventName Cadena Tipo de evento que se produjo.
ProviderName Cadena Proveedor que detectó el evento.
FormattedMessage Cadena Resumen del evento en formato de texto.
ProcessID Int Proceso que registró el evento.
ExecutingThreadID Int Subproceso que registró el evento.
MachineName Cadena Nombre del equipo de escritorio o del servidor que registra el evento.
Payload Tabla hash Tabla con una clave de cadena y cualquier tipo de objeto como valor. La clave es el nombre del elemento de carga, mientras que el valor es el valor del elemento de carga. La carga depende del proveedor.

A continuación, se muestra un ejemplo de un evento convertido a formato JSON:

{ "EventName": "Exception/Start", "ProviderName": "Microsoft-Windows-DotNETRuntime", "FormattedMessage": "ExceptionType=System.Exception;\r\nExceptionMessage=Intentionally unhandled exception.;\r\nExceptionEIP=0x2ab0499;\r\nExceptionHRESULT=-2,146,233,088;\r\nExceptionFlags=CLSCompliant;\r\nClrInstanceID=9 ", "ProcessID": 3328, "ExecutingThreadID": 6172, "MachineName": "MyHost.MyCompany.com", "Payload": { "ExceptionType": "System.Exception", "ExceptionMessage": "Intentionally unhandled exception.", "ExceptionEIP": 44762265, "ExceptionHRESULT": -2146233088, "ExceptionFlags": 16, "ClrInstanceID": 9 } }

Configuración de WindowsPerformanceCounterSource

El tipo WindowsPerformanceCounterSource recopila métricas de contadores de rendimiento de Windows. A continuación, se muestra una declaración WindowsPerformanceCounterSource de ejemplo:

{ "Id": "MyPerformanceCounter", "SourceType": "WindowsPerformanceCounterSource", "Categories": [{ "Category": "Server", "Counters": ["Files Open", "Logon Total", "Logon/sec", "Pool Nonpaged Bytes"] }, { "Category": "System", "Counters": ["Processes", "Processor Queue Length", "System Up Time"] }, { "Category": "LogicalDisk", "Instances": "*", "Counters": [ "% Free Space", "Avg. Disk Queue Length", { "Counter": "Disk Reads/sec", "Unit": "Count/Second" }, "Disk Writes/sec" ] }, { "Category": "Network Adapter", "Instances": "^Local Area Connection\* \d$", "Counters": ["Bytes Received/sec", "Bytes Sent/sec"] } ] }

Todas las declaraciones WindowsPerformanceCounterSource pueden proporcionar los siguientes pares clave-valor:

SourceType

Tiene que ser la cadena literal "WindowsPerformanceCounterSource" (obligatorio).

Categories

Especifica un conjunto de grupos de métricas de contadores de rendimiento que se van a recopilar en Windows. Cada grupo de métricas contiene los siguientes pares clave-valor:

Category

Especifica el conjunto de métricas de contadores que se van a recopilar (obligatorio).

Instances

Especifica el conjunto de objetos de interés cuando hay un único conjunto de contadores de rendimiento para cada objeto. Por ejemplo, cuando la categoría es LogicalDisk, hay un conjunto de contadores de rendimiento para cada unidad de disco. Este par clave-valor es opcional. Puede utilizar los caracteres comodín * y ? para encontrar coincidencias con varias instancias. Para sumar valores de todas las instancias, especifique _Total.

También puede utilizarInstanceRegex, que acepta expresiones regulares que contienen el*carácter comodín como parte del nombre de la instancia.

Counters

Especifica qué métricas de la categoría especificada se van a recopilar. Este par clave-valor es obligatorio. Puede utilizar los caracteres comodín * y ? para encontrar varios contadores. Puede especificar Counters utilizando el nombre y la unidad o solamente el nombre. Si no se especifican las unidades del contador, el agente de Kinesis para Windows intentará deducirlas a partir del nombre. Si esta deducción no es correcta, es posible especificar la unidad de forma explícita. Si lo desea, puede cambiar los nombres de Counter. Existe una representación más compleja de un contador, que sería un objeto con los siguientes pares clave-valor:

Counter

Nombre del contador. Este par clave-valor es obligatorio.

Rename

Nombre del contador que se va a presentar al receptor. Este par clave-valor es opcional.

Unit

Significado del valor asociado al contador. Para obtener una lista completa de los nombres de unidades válidos, consulte la documentación sobre unidades enMetricDatumen laReferencia del API de Amazon CloudWatch.

A continuación, se muestra un ejemplo de una especificación de contadores compleja.

{ "Counter": "Disk Reads/sec, "Rename": "Disk Reads per second", "Unit": "Count/Second" }

WindowsPerformanceCounterSourceSolo se puede utilizar con una canalización que especifique un receptor de Amazon CloudWatch. Utilice un receptor diferente si las métricas integradas en Kinesis Agent para Windows también se transmiten a CloudWatch. Examine el registro de Kinesis Agent para Windows después de iniciar un servicio para determinar qué unidades se dedujo que usaban los contadores si no se especificó ninguna unidad en el cuadro deWindowsPerformanceCounterSourceDeclaraciones. Utilice PowerShell para determinar los nombres válidos de las categorías, las instancias y los contadores.

Para obtener información sobre todas las categorías, incluidos los contadores asociados a conjuntos de contadores, ejecute este comando en una ventana de PowerShell:

Get-Counter -ListSet * | Sort-Object

Para determinar qué instancias están disponibles en cada uno de los contadores del conjunto de contadores, ejecute un comando similar al del siguiente ejemplo en una ventana de PowerShell:

Get-Counter -Counter "\Process(*)\% Processor Time"

El valor del parámetro Counter debe ser una de las rutas de un miembro PathsWithInstances mostrado en la anterior invocación del comando Get-Counter -ListSet.

Origen de métricas integrado en Windows en

Además de las fuentes de métricas ordinarias como elWindowsPerformanceCounterSourcetipo (consulteConfiguración de WindowsPerformanceCounterSource), el tipo de receptor de CloudWatch puede recibir métricas de un origen especial que recopile métricas sobre el propio agente de Kinesis para Windows. Las métricas de Kinesis Agent para Windows también están disponibles en laKinesisTapde los contadores de rendimiento de Windows.

LaMetricsFilterEl par clave-valor de las declaraciones de receptores de CloudWatch especifica qué métricas se transmiten a CloudWatch desde el origen de métricas de integrado en Kinesis Agent para Windows. El valor es una cadena que contiene una o varias expresiones de filtro separadas por punto y coma; por ejemplo:

"MetricsFilter": "ExpresiónDeFiltro1;ExpresiónDeFiltro2"

Una métrica que coincide con una o varias expresiones de filtro se transmite a CloudWatch.

Las métricas de instancias únicas son de carácter global y no están vinculadas a un determinado origen o receptor. Las métricas de instancias múltiples son dimensionales y dependen de la declaración Id del origen o receptor. Cada tipo de origen o receptor puede tener un conjunto diferente de métricas.

Para obtener una lista de los nombres de métrica del agente de Kinesis para Windows, consulteLista de métricas del agente Kinesis para Windows.

En las métricas de instancias únicas, la expresión de filtro es el nombre de la métricas; por ejemplo:

"MetricsFilter": "SourcesFailedToStart;SinksFailedToStart"

En el caso de las métricas de instancias múltiples, la expresión de filtro es el nombre de la métrica, un punto (.) y el Id de la declaración del origen o receptor que generó esa métrica. Por ejemplo, supongamos que hay una declaración de un receptor cuyo Id es MyFirehose:

"MetricsFilter": "KinesisFirehoseRecordsFailedNonrecoverable.MyFirehose"

Puede utilizar patrones de caracteres comodín especiales diseñados para distinguir entre las métricas de instancias únicas y las métricas de instancias múltiples.

  • El asterisco (*) busca coincidencias con cero o más caracteres, salvo el punto (.).

  • El signo de interrogación de cierre (?) busca coincidencias con un único carácter, salvo el punto.

  • Cualquier otro carácter solamente coincide consigo mismo.

  • _Total es un token especial que genera la suma de todos los valores de las instancias múltiples coincidentes que hay en la dimensión.

En el siguiente ejemplo, se buscan coincidencias con todas las métricas de instancias únicas:

"MetricsFilter": "*"

Como los asteriscos no buscan coincidencias con el carácter de punto, solo se incluyen las métricas de instancias únicas.

En el siguiente ejemplo, se buscan coincidencias con todas las métricas de instancias múltiples:

"MetricsFilter": "*.*"

En el siguiente ejemplo, se buscan coincidencias con todas las métricas (únicas y múltiples):

"MetricsFilter": "*;*.*"

En el siguiente ejemplo, se suman todas las métricas de instancias múltiples de todos los orígenes y receptores:

"MetricsFilter": "*._Total"

En el siguiente ejemplo, se suman todas las métricas de Kinesis Data Firehose de Kinesis para todos los receptores de Firehose de datos de Kinesis:

"MetricsFilter": "*Firehose*._Total"

En el siguiente ejemplo, se buscan coincidencias con todas las métricas con error de las instancias únicas y múltiples:

"MetricsFilter": "*Failed*;*Error*.*;*Failed*.*"

En el siguiente ejemplo, se buscan coincidencias con todas las métricas con error no recuperables que se han sumado en todos los orígenes y receptores:

"MetricsFilter": "*Nonrecoverable*._Total"

Para obtener información acerca de cómo especificar una canalización que utilice el origen de métricas integrado en Kinesis Agent para Windows, consulteConfiguración del agente Kinesis para tuberías métricas de Windows.

Lista de métricas del agente Kinesis para Windows

A continuación, se muestra una lista con las métricas de instancias únicas y múltiples que están disponibles para Kinesis Agent para Windows.

Métricas de instancias únicas

Las siguientes métricas de instancias únicas están disponibles:

KinesisTapBuildNumber

El número de versión de Kinesis Agent para Windows.

PipesConnected

Número de canalizaciones que han conectado correctamente el origen con el receptor.

PipesFailedToConnect

Número de canalizaciones que no han conectado correctamente el origen con el receptor.

SinkFactoriesFailedToLoad

Número de tipos de receptores que no se cargaron correctamente en el agente de Kinesis para Windows.

SinkFactoriesLoaded

Número de tipos de receptores que se cargaron correctamente en el agente de Kinesis para Windows.

SinksFailedToStart

Número de receptores que no se iniciaron correctamente; por lo general, debido a una declaración incorrecta del receptor.

SinksStarted

Número de receptores que se iniciaron correctamente.

SourcesFailedToStart

Número de orígenes que no se iniciaron correctamente; por lo general, debido a una declaración incorrecta del origen.

SourcesStarted

Número de orígenes que se iniciaron correctamente.

SourceFactoriesFailedToLoad

Número de tipos de orígenes que no se cargaron correctamente en el agente de Kinesis para Windows.

SourceFactoriesLoaded

Número de tipos de orígenes que se cargaron correctamente en el agente de Kinesis para Windows.

Métricas de instancias múltiples

Las siguientes métricas de instancias múltiples están disponibles:

Métricas de DirectorySource

DirectorySourceBytesRead

Número de bytes leídos durante el intervalo de este DirectorySource.

DirectorySourceBytesToRead

Número conocido de bytes disponibles para leer que aún no ha leído Kinesis Agent para Windows.

DirectorySourceFilesToProcess

Número de archivos conocidos que debe examinarse y que aún no ha examinado el agente de Kinesis para Windows.

DirectorySourceRecordsRead

Número de registros que se han leído durante el intervalo de este DirectorySource.

Métricas de WindowsEventLogSource

EventLogSourceEventsError

Número de eventos de un registro de eventos de Windows que no se han leído correctamente.

EventLogSourceEventsRead

Número de eventos de un registro de eventos de Windows que se han leído correctamente.

Métricas de receptores de KinesisFirehose

KinesisFirehoseBytesAccepted

Número de bytes aceptados durante el intervalo.

KinesisFirehoseClientLatency

Tiempo transcurrido entre la generación del registro y su transmisión al servicio de Kinesis Data Firehose.

KinesisFirehoseLatency

Tiempo transcurrido entre el inicio y el final de la transmisión del registro en el servicio de Kinesis Data Firehose.

KinesisFirehoseNonrecoverableServiceErrors

Número de veces que los registros no pudieron enviarse sin error al servicio de Kinesis Data Firehose a pesar de que volviera a intentarse.

KinesisFirehoseRecordsAttempted

Número de registros que han intentado transmitirse al servicio de Kinesis Data Firehose.

KinesisFirehoseRecordsFailedNonrecoverable

Número de registros que no pudieron transmitirse correctamente al servicio de Kinesis Data Firehose a pesar de que volviera a intentarse.

KinesisFirehoseRecordsFailedRecoverable

Número de registros que se transmitieron correctamente al servicio de Kinesis Data Firehose, pero solo cuando se necesitaron varios intentos.

KinesisFirehoseRecordsSuccess

Número de registros que se transmitieron correctamente al servicio de Kinesis Data Firehose sin que fueran necesarios varios intentos.

KinesisFirehoseRecoverableServiceErrors

Número de veces que los registros pudieron enviarse correctamente al servicio de Kinesis Data Firehose, pero solo cuando se necesitaron varios intentos.

Métricas de KinesisStream

KinesisStreamBytesAccepted

Número de bytes aceptados durante el intervalo.

KinesisStreamClientLatency

Tiempo transcurrido entre la generación del registro y su transmisión al servicio de Kinesis Data Streams.

KinesisStreamLatency

Tiempo transcurrido entre el inicio y el final de la transmisión del registro en el servicio de Kinesis Data Streams.

KinesisStreamNonrecoverableServiceErrors

Número de veces que los registros no pudieron enviarse sin error al servicio de Kinesis Data Streams a pesar de que volviera a intentarse.

KinesisStreamRecordsAttempted

Número de registros que han intentado transmitirse al servicio de Kinesis Data Streams.

KinesisStreamRecordsFailedNonrecoverable

Número de registros que no pudieron transmitirse correctamente al servicio de secuencias de Kinesis Data Streams a pesar de que volviera a intentarse.

KinesisStreamRecordsFailedRecoverable

Número de registros que se transmitieron correctamente al servicio de Kinesis Data Streams, pero solo cuando se necesitaron varios intentos.

KinesisStreamRecordsSuccess

Número de registros que se transmitieron correctamente al servicio de secuencias de Kinesis Data Streams sin que fueran necesarios varios intentos.

KinesisStreamRecoverableServiceErrors

Número de veces que los registros pudieron enviarse correctamente al servicio de Kinesis Data Streams, pero solo cuando se necesitaron varios intentos.

Métricas de CloudWatchLog

CloudWatchLogBytesAccepted

Número de bytes aceptados durante el intervalo.

CloudWatchLogClientLatency

Tiempo transcurrido entre la generación del registro y su transmisión al servicio de registros de CloudWatch Logs.

CloudWatchLogLatency

Tiempo transcurrido entre el inicio y el final de la transmisión del registro en el servicio de CloudWatch Logs.

CloudWatchLogNonrecoverableServiceErrors

Número de veces que los registros no pudieron enviarse sin error al servicio de registros de CloudWatch a pesar de que volviera a intentarse.

CloudWatchLogRecordsAttempted

Número de registros que han intentado transmitirse al servicio de CloudWatch Logs.

CloudWatchLogRecordsFailedNonrecoverable

Número de registros que no pudieron transmitirse correctamente al servicio de registros de CloudWatch a pesar de que volviera a intentarse.

CloudWatchLogRecordsFailedRecoverable

Número de registros que se transmitieron correctamente al servicio de CloudWatch Logs, pero solo cuando se necesitaron varios intentos.

CloudWatchLogRecordsSuccess

Número de registros que se transmitieron correctamente al servicio de registros de CloudWatch sin que fueran necesarios varios intentos.

CloudWatchLogRecoverableServiceErrors

Número de veces que los registros pudieron enviarse correctamente al servicio de CloudWatch Logs, pero solo cuando se necesitaron varios intentos.

Métricas de CloudWatch

CloudWatchLatency

Tiempo transcurrido de media entre el inicio y el final de la transmisión de métricas en el servicio de CloudWatch.

CloudWatchNonrecoverableServiceErrors

Número de veces que las métricas no pudieron enviarse sin error al servicio de CloudWatch a pesar de que volviera a intentarse.

CloudWatchRecoverableServiceErrors

Número de veces que las métricas pudieron enviarse sin error al servicio de CloudWatch, pero solo cuando se necesitaron varios intentos.

CloudWatchServiceSuccess

Número de veces que las métricas pudieron enviarse sin error al servicio de CloudWatch sin que fueran necesarios varios intentos.

Configuración de Bookmark

De forma predeterminada, el agente de Kinesis para Windows envía registros a los receptores que se crearon después de iniciar el agente. A veces, resulta útil enviar registros anteriores; por ejemplo, registros que se crearon durante el periodo de tiempo que estuvo detenido por Kinesis Agent para Windows durante una actualización automática. La característica de marcador (bookmark) realiza un seguimiento de lo que los registros han enviado a los receptores. Cuando Kinesis Agent para Windows está en modo marcador y se inicia, envía todas las entradas de registro que se crearon tras la detención del agente de Kinesis para Windows, junto con las entradas que se crearon posteriormente. Para controlar este comportamiento, las declaraciones de origen basadas en archivos pueden incluir opcionalmente los siguientes pares clave-valor:

InitialPosition

Especifica la situación inicial del marcador (bookmark). Los valores posibles son los siguientes:

EOS

Especifica el final de la secuencia (EOS). Solo se envían a los receptores las entradas de registro que se crearon mientras el agente estaba en ejecución.

0

Todos los eventos y entradas de registro se envían desde el primer momento. A continuación, se crea un marcador para garantizar que finalmente se envían todas las nuevas entradas de registro y los eventos que se crearon tras la generación del marcador (bookmark), tanto si estaba en ejecución como si no.

Bookmark

El marcador (bookmark) se ha inicializado justo después del último registro o evento. A continuación, se crea un marcador para garantizar que finalmente se envían todas las nuevas entradas de registro y los eventos que se crearon tras la generación del marcador (bookmark), tanto si estaba en ejecución como si no.

De forma predeterminada, los marcadores están habilitadas. Los archivos se almacenan en la%ProgramData%\Amazon\KinesisTap.

Timestamp

Se envían los registros y eventos creados después del valor InitialPositionTimestamp (cuya descripción se incluye a continuación). A continuación, se crea un marcador para garantizar que finalmente se envían todas las nuevas entradas de registro y los eventos que se crearon tras la generación del marcador (bookmark) Kinesis tanto si estaba en ejecución como si no.

InitialPositionTimestamp

Especifica la marca temporal de la entrada de registro o el evento más antiguo que desea tener. Especifique este par clave-valor solamente cuando el valor de InitialPosition sea Timestamp.

BookmarkOnBufferFlush

Esta configuración se puede añadir a cualquier fuente que se pueda marcar. Cuando se establece entrue, garantiza que las actualizaciones de marcadores solo se produzcan cuando un receptor envía correctamente un evento a AWS. Solo puede suscribir un único receptor a una fuente. Si envía registros a varios destinos, duplique sus fuentes para evitar posibles problemas con la pérdida de datos.

Cuando Kinesis Agent para Windows ha estado detenido durante un largo periodo de tiempo, puede ser necesario eliminar estos marcadores, ya que podría ocurrir que las entradas de registro y los eventos señalados con estos marcadores no existieran ya. Los archivos de marcadores (bookmark) de un determinado id de origen se encuentran en %PROGRAMDATA%\Amazon\AWSKinesisTap\source id.bm.

Los marcadores (bookmarks) no funcionan en archivos truncados o cuyo nombre ha cambiado. Debido a su naturaleza, no se pueden utilizar marcadores (bookmarks) con los contadores de rendimiento y los contadores de los eventos de ETW.