pencarian

Gunakan lookup untuk memperkaya hasil kueri Anda dengan data referensi dari tabel pencarian. Tabel pencarian berisi data CSV yang Anda unggah ke Amazon CloudWatch Logs. Saat kueri berjalan, lookup perintah mencocokkan bidang dalam peristiwa log Anda terhadap bidang di tabel pencarian dan menambahkan bidang keluaran yang ditentukan ke hasil.

Gunakan tabel pencarian untuk skenario pengayaan data seperti memetakan pengguna IDs ke detail pengguna, kode produk ke informasi produk, atau kode kesalahan untuk deskripsi kesalahan.

Membuat dan mengelola tabel pencarian

Sebelum Anda dapat menggunakan lookup perintah dalam kueri, Anda harus membuat tabel pencarian. Anda dapat membuat dan mengelola tabel pencarian dari CloudWatch konsol atau dengan menggunakan Amazon CloudWatch Logs API.

Untuk membuat tabel pencarian (konsol)

1. Buka CloudWatch konsol di https://console.aws.amazon.com/cloudwatch/.

2. Di panel navigasi, pilih Pengaturan, lalu pilih tab Log.

3. Gulir ke tabel Pencarian dan pilih Kelola.

4. Pilih Buat tabel pencarian.

5. Masukkan nama untuk tabel pencarian. Nama hanya dapat berisi karakter alfanumerik, tanda hubung, dan garis bawah.

6. (Opsional) Masukkan deskripsi.

7. Unggah file CSV. File harus menyertakan baris header dengan nama kolom, gunakan pengkodean UTF-8, dan tidak melebihi 10 MB.

8. (Opsional) Tentukan AWS KMS kunci untuk mengenkripsi data tabel.

9. Pilih Buat.

Setelah membuat tabel pencarian, Anda dapat melihatnya di editor kueri Wawasan CloudWatch Log. Pilih tab Tabel pencarian untuk menelusuri tabel yang tersedia dan bidangnya.

Untuk memperbarui tabel pencarian, pilih tabel dan pilih Tindakan, Perbarui. Unggah file CSV baru untuk menggantikan semua konten yang ada. Untuk menghapus tabel pencarian, pilih Tindakan, Hapus.

catatan

Anda dapat membuat hingga 100 tabel pencarian per akun per Wilayah AWS akun. File CSV dapat mencapai 10 MB. Anda juga dapat mengelola tabel pencarian dengan menggunakan Amazon CloudWatch Logs API. Untuk informasi selengkapnya, lihat CreateLookupTabledi Referensi API Amazon CloudWatch Logs.

Sintaks kueri untuk pencarian

Struktur komando

Berikut ini menunjukkan format perintah ini.

lookup table lookup-field as log-field [,...] output-mode output-field[,...]

Perintah menggunakan argumen berikut:

• table— Nama tabel pencarian yang akan digunakan.

• lookup-field— Bidang di tabel pencarian untuk dicocokkan.

• log-field— Bidang di acara log Anda untuk dicocokkan. Pertandingannya tepat dan peka huruf besar/kecil.

• output-mode— Tentukan OUTPUT untuk menambahkan bidang output ke hasil. Jika bidang dengan nama yang sama sudah ada dalam peristiwa log, itu akan ditimpa.

• output-field— Satu atau lebih bidang dari tabel pencarian untuk ditambahkan ke hasil.

Contoh: Perkaya peristiwa log dengan detail pengguna

Misalkan Anda memiliki grup log dengan peristiwa yang berisi id bidang, dan tabel pencarian bernama user_data dengan kolomid,, nameemail, dandepartment. Kueri berikut memperkaya setiap peristiwa log dengan nama pengguna, email, dan departemen dari tabel pencarian.

fields action, status, name, email, department
| lookup user_data id OUTPUT name, email, department

Contoh: Gunakan pencarian dengan agregasi

Anda dapat menggunakan bidang output pencarian dengan fungsi agregasi. Kueri berikut memperkaya peristiwa log dengan detail pengguna dan kemudian menghitung peristiwa yang dikelompokkan berdasarkan alamat email.

fields user_id, action, username, email, department
| lookup user_data user_id OUTPUT username, email, department
| stats count(*) by email

Contoh: Gunakan pencarian dengan filter

Anda dapat memfilter hasil berdasarkan bidang yang dikembalikan oleh pencarian. Kueri berikut memperkaya peristiwa log dan kemudian memfilter untuk hanya menampilkan peristiwa dari departemen tertentu.

fields user_id, action
| lookup user_data user_id OUTPUT username, email, department
| filter department = "Engineering"