Didacticiel : exécution et modification d'un exemple de requête - Amazon CloudWatch Logs

Didacticiel : exécution et modification d'un exemple de requête

Le didacticiel suivant vous aide à commencer avec CloudWatch Logs Insights. Vous exécutez un exemple de requête, puis vous apprenez à le modifier et à le réexécuter.

Pour exécuter une requête, vous devez déjà disposer de journaux stockés dans CloudWatch Logs. Si vous utilisez déjà CloudWatch Logs et que vous disposez de groupes de journaux et de flux de journaux configurés, vous êtes prêt à commencer. Vous pouvez également avoir déjà des journaux si vous utilisez des services comme AWS CloudTrail, Amazon Route 53 ou Amazon VPC, et que vous avez configuré des journaux via ces services pour les transmettre à CloudWatch Logs. Pour plus d'informations sur l'envoi de journaux à CloudWatch Logs, consultez la section Mise en route avec CloudWatch Logs.

Les requêtes dans CloudWatch Logs Insights renvoient un ensemble de champs à partir d'évènements du journal, ou le résultat d'une agrégation mathématique ou d'une autre opération réalisée sur les événements du journal. Ce didacticiel illustre une requête qui renvoie une liste d'événements du journal.

Exécution d'un exemple de requête

Pour exécuter un exemple de requête CloudWatch Logs Insights

  1. Ouvrez la console CloudWatch à l'adresse https://console.aws.amazon.com/cloudwatch/.

  2. Dans le panneau de navigation, choisissez Logs (Journaux), puis Logs Insights.

    Sur la page Logs Insights, l’éditeur de requête contient une requête par défaut qui renvoie les 20 événements du journal les plus récents.

  3. Dans la liste déroulante Select log group(s) (Sélectionnez le ou les groupes de journaux), choisissez un ou plusieurs groupes de journaux à interroger.

    Vous pouvez taper le nom des groupes de journaux à interroger dans la barre de recherche.

    Lorsque vous sélectionnez un groupe de journaux, CloudWatch Logs Insights détecte automatiquement les champs des données dans le groupe. Pour consulter les champs découverts, sélectionnez le menu Fields (Champs) près de l’angle supérieur droit de la page.

  4. (Facultatif) Utilisez le sélecteur d’intervalle de temps pour sélectionner une période à interroger.

    Vous pouvez choisir entre des intervalles de 5 à 30 minutes, des intervalles de 1, 3 et 12 heures ou une période personnalisée.

  5. Choisissez Run (Exécuter) pour afficher les résultats.

    Pour ce didacticiel, les résultats incluent les 20 événements du journal les plus récents.

    CloudWatch Logs affiche également un graphique à barres des événements du journal de ce groupe de journaux au fil du temps. Ce graphique à barres montre non seulement les événements dans le tableau, mais également la distribution des événements dans le groupe de journaux qui correspondent à la requête et à la période.

  6. Pour consulter tous les champs d'un événement du journal renvoyé, choisissez l'icône de liste déroulante triangulaire à gauche de l'événement numéroté.

Modification de l'exemple de requête

Dans ce didacticiel, vous modifiez l'exemple de requête pour afficher les 50 événements du journal les plus récents.

Si vous n'avez pas encore exécuté le didacticiel précédent, faites-le maintenant. Ce didacticiel commence là où le didacticiel précédent se termine.

Note

Certains exemples de requêtes fournis avec CloudWatch Logs Insights utilisent les commandes head ou tail au lieu de limit. Ces commandes sont considérées comme obsolètes et ont été remplacées par limit. Utilisez limit au lieu de head ou tail dans toutes les requêtes que vous écrivez.

Pour modifier l'exemple de requête CloudWatch Logs Insights

  1. Dans l'éditeur de requêtes, remplacez 20 par 50, puis choisissez Run (Exécuter).

    Les résultats de la nouvelle requête s'affichent. Si le groupe de journaux dispose de suffisamment de données dans la plage de temps par défaut, 50 évènements du journal sont désormais répertoriés.

  2. (Facultatif) Vous pouvez enregistrer les requêtes que vous avez créées. Pour enregistrer cette requête, choisissez Save (Enregistrer). Pour plus d’informations, consultez la section Enregistrement et réexécution des requêtes CloudWatch Logs Insights.

Ajout d'une commande de filtre à l'exemple de requête

Ce didacticiel explique comment apporter une modification plus puissante à la requête dans l'éditeur de requête. Dans ce didacticiel, vous filtrez les résultats de la requête précédente basée sur un champ dans les événements du journal récupérés.

Si vous n'avez pas encore exécuté les didacticiels précédents, faites-le maintenant. Ce didacticiel commence là où le didacticiel précédent se termine.

Pour ajouter une commande de filtre à la requête précédente

  1. Choisissez un champ à filtrer. Pour afficher les champs les plus courants détectés par CloudWatch Logs dans les événements du journal sélectionnés au cours des 15 dernières minutes, ainsi que le pourcentage de ces événements du journal dans lesquels chaque champ apparaît, sélectionnez Fields (Champs) à droite de la page.

    Pour afficher les champs contenus dans un événement du journal spécifique, choisissez l'icône située à gauche de cette ligne.

    Le champ awsRegion peut s'afficher dans votre évènement du journal en fonction des événements qui se trouvent dans vos journaux. Pour le reste de ce didacticiel, nous utiliserons awsRegion en tant que champ de filtre, mais vous pouvez utiliser un autre champ si celui-ci n'est pas disponible.

  2. Dans la zone de l'éditeur de requête, placez votre curseur après 50 et appuyez sur Entrée.

  3. Sur la nouvelle ligne, commencez par entrer une barre verticale (« | ») et un espace. Les commandes d'une requête CloudWatch Logs Insights doivent être séparés par la barre verticale.

  4. Saisissez filter awsRegion="us-east-1".

  5. Cliquez sur Run (Exécuter).

    La requête s'exécute à nouveau, et affiche désormais les 50 résultats les plus récents qui correspondent au nouveau filtre.

    Si vous avez filtré sur un autre champ et obtenu un résultat d'erreur, vous devrez peut-être utiliser le nom du champ. Si le nom du champ inclut des caractères non alphanumériques, vous devez placer des guillemets inversés (`) avant et après le nom du champ (par exemple, `error-code`="102").

    Vous devez utiliser des guillemet inversés pour les noms de champs qui contiennent des caractères non alphanumériques, mais pas pour les valeurs. Les valeurs sont toujours mises entre guillemets (").

CloudWatch Logs Insights inclut des capacités de requête puissantes, y compris plusieurs commandes et la prise en charge des expressions régulières, des opérations mathématiques et statistiques. Pour plus d’informations, consultez la section Syntaxe de requête CloudWatch Logs Insights.