Log yang didukung dan bidang yang ditemukan

CloudWatch Log Insights mendukung berbagai jenis log. Untuk setiap log yang dikirim ke grup log kelas Standar Amazon CloudWatch Logs, CloudWatch Logs Insights secara otomatis menghasilkan lima bidang sistem:

• @message berisi log acara mentah yang belum diurai. Ini setara dengan message bidang di InputLogevent.

• @timestampberisi stempel waktu acara di bidang peristiwa log. timestamp Ini setara dengan timestamp bidang di InputLogevent.

• @ingestionTimeberisi waktu ketika CloudWatch Log menerima peristiwa log.

• @logStream berisi nama pengaliran log yang ditambahi log acara. Log mengalirkan log grup melalui proses yang sama yang menghasilkannya.

• @log adalah pengidentifikasi grup log dalam bentuk account-id:log-group-name. Saat menanyakan beberapa grup log, ini dapat berguna untuk mengidentifikasi grup log mana yang termasuk dalam acara tertentu.

catatan

Penemuan bidang hanya didukung untuk grup log di kelas log Standar. Untuk informasi selengkapnya tentang kelas log, lihatKelas log.

CloudWatch Logs Insights menyisipkan simbol @ di awal bidang yang dihasilkannya.

Untuk banyak jenis CloudWatch log, Log juga secara otomatis menemukan bidang log yang terdapat dalam log. Bidang penemuan otomatis ini ditunjukkan dalam tabel berikut.

Untuk jenis log lain dengan bidang yang tidak ditemukan secara otomatis oleh Wawasan CloudWatch Log, Anda dapat menggunakan parse perintah untuk mengekstrak dan membuat bidang yang diekstrak untuk digunakan dalam kueri tersebut. Untuk informasi selengkapnya, lihat CloudWatch Sintaks kueri Log Insights.

Jika nama bidang log yang ditemukan dimulai dengan @ karakter, Wawasan CloudWatch Log akan menampilkannya dengan tambahan yang @ ditambahkan ke awal. Sebagai contoh, jika nama bidang log adalah @example.com, nama bidang ini ditampilkan sebagai @@example.com.

Jenis log	Bidang log yang ditemukan
Log VPC aliran Amazon	@timestamp, @logStream, @message, accountId, endTime, interfaceId, logStatus, startTime, version, action, bytes, dstAddr, dstPort, packets, protocol, srcAddr, srcPort
Log Route 53	@timestamp, @logStream, @message, edgeLocation, ednsClientSubnet, hostZoneId, protocol, queryName, queryTimestamp, queryType, resolverIp, responseCode, version
Log Lambda	@timestamp, @logStream, @message, @requestId, @duration, @billedDuration, @type, @maxMemoryUsed, @memorySize Jika baris log Lambda berisi ID jejak X-Ray, itu juga mencakup bidang berikut: @xrayTraceId dan @xraySegmentId. CloudWatch Logs Insights secara otomatis menemukan bidang log di log Lambda, tetapi hanya untuk JSON fragmen tertanam pertama di setiap peristiwa log. Jika peristiwa log Lambda berisi beberapa JSON fragmen, Anda dapat mengurai dan mengekstrak bidang log dengan menggunakan perintah. parse Untuk informasi selengkapnya, lihat Bidang dalam JSON log.
CloudTrail log Log dalam JSON format	Untuk informasi selengkapnya, lihat Bidang dalam JSON log.
Jenis log lainnya	@timestamp, @ingestionTime, @logStream, @message, @log.

Bidang dalam JSON log

Dengan Wawasan CloudWatch Log, Anda menggunakan notasi titik untuk JSON merepresentasikan bidang. Bagian ini berisi contoh JSON peristiwa dan cuplikan kode yang menunjukkan bagaimana Anda dapat mengakses JSON bidang menggunakan notasi titik.

Contoh: JSON acara

{
    "eventVersion": "1.0",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EX_PRINCIPAL_ID",
        "arn": "arn: aws: iam: : 123456789012: user/Alice",
        "accessKeyId": "EXAMPLE_KEY_ID",
        "accountId": "123456789012",
        "userName": "Alice"
    },
    "eventTime": "2014-03-06T21: 22: 54Z",
    "eventSource": "ec2.amazonaws.com",
    "eventName": "StartInstances",
    "awsRegion": "us-east-2",
    "sourceIPAddress": "192.0.2.255",
    "userAgent": "ec2-api-tools1.6.12.2",
    "requestParameters": {
        "instancesSet": {
            "items": [
                {
                    "instanceId": "i-abcde123"
                }
            ]
        }
    },
    "responseElements": {
        "instancesSet": {
            "items": [
                {
                    "instanceId": "i-abcde123",
                    "currentState": {
                        "code": 0,
                        "name": "pending"
                    },
                    "previousState": {
                        "code": 80,
                        "name": "stopped"
                    }
                }
            ]
        }
    }
}

Contoh JSON acara berisi objek yang bernamauserIdentity. userIdentityberisi bidang yang diberi namatype. Untuk mewakili nilai type menggunakan notasi titik, Anda menggunakanuserIdentity.type.

Contoh JSON peristiwa berisi array yang diratakan ke daftar nama bidang bersarang dan nilai. Untuk mewakili nilai instanceId untuk item pertama direquestParameters.instancesSet, Anda menggunakanrequestParameters.instancesSet.items.0.instanceId. Angka 0 yang ditempatkan sebelum bidang instanceID mengacu pada posisi nilai untuk bidangitems. Contoh berikut berisi cuplikan kode yang menunjukkan bagaimana Anda dapat mengakses JSON bidang bersarang dalam peristiwa log. JSON

Contoh: Query

fields @timestamp, @message
| filter requestParameters.instancesSet.items.0.instanceId="i-abcde123"
| sort @timestamp desc

Cuplikan kode menunjukkan kueri yang menggunakan notasi titik dengan filter perintah untuk mengakses nilai bidang bersarang. JSON instanceId Kueri menyaring pesan di mana nilai instanceId sama "i-abcde123" dan mengembalikan semua peristiwa log yang berisi nilai yang ditentukan.

catatan

CloudWatch Wawasan Log dapat mengekstrak maksimal 200 bidang peristiwa log dari JSON log. Untuk bidang tambahan yang tidak diekstrak, Anda dapat menggunakan parse perintah untuk mengekstrak bidang dari peristiwa log mentah yang tidak diurai di bidang pesan. Untuk informasi selengkapnya tentang parse perintah, lihat Sintaks kueri di Panduan CloudWatch Pengguna Amazon.