Didacticiel : Exécution et modification d'un exemple de requête - Amazon CloudWatch Logs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Didacticiel : Exécution et modification d'un exemple de requête

Le didacticiel suivant vous aide à démarrer avec CloudWatch Logs Insights. Vous exécutez un exemple de requête, puis vous apprenez à le modifier et à l'exécuter à nouveau.

Pour exécuter une requête, les journaux doivent déjà être stockés dans CloudWatch Logs. Si vous utilisez déjà les CloudWatch journaux et que vous avez configuré des groupes de journaux et des flux de journaux, vous êtes prêt à commencer. Il se peut également que vous disposiez déjà de journaux si vous utilisez des services tels qu' AWS CloudTrail Amazon Route 53 ou Amazon VPC et que vous avez configuré les journaux de ces services pour accéder à CloudWatch Logs. Pour plus d'informations sur l'envoi de CloudWatch journaux à Logs, consultezCommencer à utiliser CloudWatch Logs.

Les requêtes dans CloudWatch Logs Insights renvoient soit un ensemble de champs provenant des événements du journal, soit le résultat d'une agrégation mathématique ou d'une autre opération effectuée sur les événements du journal. Ce didacticiel illustre une requête qui renvoie une liste d'événements du journal.

Exécution d'un exemple de requête

Pour exécuter un exemple de requête CloudWatch Logs Insights
  1. Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/.

  2. Dans le panneau de navigation, choisissez Logs (Journaux), puis Logs Insights.

    Sur la page Logs Insights, l'éditeur de requête contient une requête par défaut qui renvoie les 20 événements du journal les plus récents.

  3. Dans la liste déroulante Sélectionner les groupes de journaux, choisissez un ou plusieurs groupes de journaux à interroger.

    S'il s'agit d'un compte de surveillance dans le CloudWatch domaine de l'observabilité entre comptes, vous pouvez sélectionner des groupes de journaux dans les comptes sources ainsi que dans le compte de surveillance. Une seule requête peut interroger les journaux de différents comptes à la fois.

    Vous pouvez filtrer les groupes de journaux par nom de groupe de journaux, ID de compte ou étiquette de compte.

    Lorsque vous sélectionnez un groupe de journaux dans la classe de CloudWatch journaux standard, Logs Insights détecte automatiquement les champs de données du groupe. Pour consulter les champs découverts, sélectionnez le menu Champs en haut à droite de la page.

    Note

    Les champs découverts ne sont pris en charge que pour les groupes de journaux de la classe de journaux standard. Pour plus d'informations sur les classes de log, consultezClasses de log.

  4. (Facultatif) Utilisez le sélecteur d'intervalle de temps pour sélectionner une période à interroger.

    Vous pouvez choisir entre des intervalles de 5 à 30 minutes, des intervalles de 1, 3 et 12 heures ou une période personnalisée.

  5. Choisissez Run (Exécuter) pour afficher les résultats.

    Pour ce didacticiel, les résultats incluent les 20 événements du journal les plus récents.

    CloudWatch Logs affiche un graphique à barres des événements du groupe de journaux au fil du temps. Ce graphique à barres montre non seulement les événements dans le tableau, mais également la distribution des événements dans le groupe de journaux qui correspondent à la requête et à la période.

  6. Pour consulter tous les champs d'un événement du journal renvoyé, choisissez l'icône de liste déroulante triangulaire à gauche de l'événement numéroté.

Modification de l'exemple de requête

Dans ce didacticiel, vous modifiez l'exemple de requête pour afficher les 50 événements du journal les plus récents.

Si vous n'avez pas encore exécuté le didacticiel précédent, faites-le maintenant. Ce didacticiel commence au moment où le didacticiel précédent se termine.

Note

Certains exemples de requêtes fournis avec CloudWatch Logs Insights utilisent des tail commandes head ou à la place delimit. Ces commandes sont considérées comme obsolètes et ont été remplacées par limit. Utilisez limit au lieu de head ou tail dans toutes les requêtes que vous écrivez.

Pour modifier l'exemple de requête CloudWatch Logs Insights
  1. Dans l'éditeur de requêtes, remplacez 20 par 50, puis choisissez Exécuter.

    Les résultats de la nouvelle requête s'affichent. Si le groupe de journaux dispose de suffisamment de données dans la plage de temps par défaut, 50 journaux d'évènements sont désormais répertoriés.

  2. (Facultatif) Vous pouvez enregistrer les requêtes que vous avez créées. Pour enregistrer cette requête, choisissez Enregistrer. Pour plus d'informations, consultez Enregistrez et réexécutez les requêtes CloudWatch Logs Insights.

Ajout d'une commande de filtre à l'exemple de requête

Ce didacticiel explique comment apporter une modification plus puissante à la requête dans l'éditeur de requête. Dans ce didacticiel, vous filtrez les résultats de la requête précédente basée sur un champ dans les événements du journal récupérés.

Si vous n'avez pas encore exécuté les didacticiels précédents, faites-le maintenant. Ce didacticiel commence au moment où le didacticiel précédent se termine.

Pour ajouter une commande de filtre à la requête précédente
  1. Choisissez un champ à filtrer. Pour voir les champs les plus courants détectés par CloudWatch Logs dans les événements du journal contenus dans les groupes de journaux sélectionnés au cours des 15 dernières minutes, ainsi que le pourcentage de ces événements de journal dans lesquels chaque champ apparaît, sélectionnez Champs sur le côté droit de la page.

    Pour afficher les champs contenus dans un événement de journal spécifique, choisissez l'icône située à gauche de cette ligne.

    Le awsRegionchamp peut apparaître dans votre journal des événements, en fonction des événements figurant dans vos journaux. Pour le reste de ce didacticiel, nous l'utilisons awsRegioncomme champ de filtre, mais vous pouvez utiliser un autre champ s'il n'est pas disponible.

  2. Dans la zone de l'éditeur de requête, placez votre curseur après 50 et appuyez sur Entrée.

  3. Sur la nouvelle ligne, commencez par entrer une barre verticale (« | ») et un espace. Les commandes d'une requête CloudWatch Logs Insights doivent être séparées par le caractère pipe.

  4. Saisissez filter awsRegion="us-east-1".

  5. Cliquez sur Exécuter.

    La requête s'exécute à nouveau, et affiche désormais les 50 résultats les plus récents qui correspondent au nouveau filtre.

    Si vous avez filtré sur un autre champ et obtenu un résultat d'erreur, il se peut que vous ayez besoin d'utiliser le nom du champ. Si le nom du champ inclut des caractères non alphanumériques, vous devez placer des guillemet inversés (`) avant et après le nom du champ (par exemple, `error-code`="102").

    Vous devez utiliser des guillemets inversés pour les noms de champs qui contiennent des caractères non alphanumériques, mais pas pour les valeurs. Les valeurs sont toujours entre guillemets (").

CloudWatch Logs Insights inclut de puissantes fonctionnalités de requête, notamment plusieurs commandes et la prise en charge des expressions régulières, des opérations mathématiques et statistiques. Pour de plus amples informations, veuillez consulter CloudWatch Syntaxe de requête Logs Insights.