チュートリアル: サンプルクエリを実行および変更する - Amazon CloudWatch Logs
サンプルクエリを実行するサンプルクエリを変更するサンプルクエリにフィルターコマンドを追加する

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

チュートリアル: サンプルクエリを実行および変更する

次のチュートリアルは、Logs Insights CloudWatch の使用を開始するのに役立ちます。サンプルクエリを実行し、次にこのクエリを変更して再実行する方法を示します。

クエリを実行するには、ログがすでに Logs CloudWatch に保存されている必要があります。既に CloudWatch ログを使用していて、ロググループとログストリームを設定している場合は、開始する準備が整います。、Amazon Route 53 AWS CloudTrail、Amazon VPC などのサービスを使用していて、それらのサービスのログが Logs に記録されるように設定されている場合も、 CloudWatch 既にログがある可能性があります。ログへの CloudWatch ログの送信の詳細については、「」を参照してくださいLogs CloudWatch の開始方法

CloudWatch Logs Insights のクエリは、ログイベントから一連のフィールド、またはログイベントに対して実行された数学的集計やその他のオペレーションの結果を返します。このチュートリアルでは、ログイベントのリストを返すクエリを示します。

サンプルクエリを実行する

CloudWatch Logs Insights サンプルクエリを実行するには

  1. https://console.aws.amazon.com/cloudwatch/ で CloudWatch コンソールを開きます。

  2. ナビゲーションペインで、[Logs] (ログ)、[Logs Insights] (ログのインサイト) の順に選択します。

    [Logs Insights] (ログのインサイト) ページでは、クエリエディタにデフォルトクエリが表示されます。デフォルトでは、最新の 20 件のログイベントが返されます。

  3. [Select log group] (ロググループの選択) ドロップダウンから、クエリを実行するロググループを 1 つ以上選択します。

    クロスアカウントオブザー CloudWatch バビリティのモニタリングアカウントの場合は、ソースアカウントとモニタリングアカウントのロググループを選択できます。1 つのクエリで複数のアカウントのログを一度にクエリできます。

    ロググループは、ロググループ名、アカウント ID、またはアカウントラベルでフィルタリングできます。

    標準ログクラスでロググループを選択すると、Logs Insights CloudWatch はグループ内のデータフィールドを自動的に検出します。検出されたフィールドを表示するには、ページの右上あたりにある [Fields] (フィールド) メニューを選択します。

    注記

    検出されたフィールドは、標準ログクラスのロググループでのみサポートされます。ログクラスの詳細については、「」を参照してくださいログクラス

  4. (オプション) 時間間隔セレクタを使用して、クエリを実行する期間を選択します。

    5~30 分間隔、1 時間、3 時間、12 時間間隔、またはカスタム時間枠を選択できます。

  5. [Run] (実行) を選択して結果を表示します。

    このチュートリアルでは、最近追加されたログイベントが 20 件表示されます。

    CloudWatch ログには、ロググループのログイベントの棒グラフが時間の経過とともに表示されます。この棒グラフは、表に示されるイベントだけでなく、クエリと時間範囲に一致するロググループ内のイベントの分布も示します。

  6. 返されたログイベントのすべてのフィールドを表示するには、番号付きイベントの左にある三角形のドロップダウンアイコンを選択します。

サンプルクエリを変更する

このチュートリアルでは、サンプルクエリを変更して、最新のログイベントを 50 件表示します。

前のチュートリアルをまだ実行していない場合は、今すぐ実行してください。このチュートリアルは、前のチュートリアルが終了した箇所から開始します。

注記

CloudWatch Logs Insights で提供されるサンプルクエリでは、 の代わりに headまたは tail コマンドを使用しますlimit。これらのコマンドは非推奨であり、limit に置き換えられています。ユーザーが記述するすべてのクエリで、limit または head の代わりに tail を使用します。

CloudWatch Logs Insights サンプルクエリを変更するには

  1. クエリエディタで、2050 に変更し、[実行] を選択します。

    新しいクエリの結果が表示されます。デフォルトの時間範囲でロググループに十分なデータがあるとして、これで 50 件のログイベントが一覧表示されます。

  2. (オプション) 作成したクエリは保存できます。このクエリを保存するには、[保存] を選択します。詳細については、「 CloudWatch Logs Insights クエリを保存して再実行する」を参照してください。

サンプルクエリにフィルターコマンドを追加する

このチュートリアルでは、クエリエディタを使用してクエリに対してより強力な変更を行う方法を示します。このチュートリアルでは、取得したログイベントのフィールドに基づいて、前のクエリの結果をフィルタリングします。

前のチュートリアルをまだ実行していない場合は、今すぐ実行してください。このチュートリアルは、前のチュートリアルが終了した箇所から開始します。

前のクエリにフィルターコマンドを追加するには

  1. フィルタリングするフィールドを決定します。過去 15 分間に選択したロググループに含まれるログイベントで CloudWatch Logs が検出した最も一般的なフィールドと、各フィールドが表示されるログイベントの割合を確認するには、ページの右側にあるフィールドを選択します。

    特定のログイベントに含まれているフィールドを表示するには、その行の左にあるアイコンを選択します。

    ログ内のイベントに応じて、ログイベントに [awsRegion] フィールドが表示される場合があります。このチュートリアルの残りの部分では、フィルターフィールドとして [awsRegion] を使用しますが、このフィールドが使用できない場合は、別のフィールドを使用できます。

  2. クエリエディタボックスで [50] の後にカーソルを置き、Enter キーを押します。

  3. 新しい行で、最初に | (パイプ文字) とスペースを入力します。 CloudWatch Logs Insights クエリのコマンドは、パイプ文字で区切る必要があります。

  4. filter awsRegion="us-east-1" と入力します。

  5. [Run (実行)] を選択します。

    クエリが再度実行されます。今回は、新しいフィルターに一致する 50 件の最新の結果が表示されます。

    別のフィールドにフィルターを適用してエラーが発生した場合は、必要に応じてフィールド名をエスケープします。フィールド名に英数字以外の文字が含まれている場合は、フィールド名の前後にバックティック文字 (`) を挿入します (例: `error-code`="102")。

    英数字以外の文字を含むフィールド名にはバックティック文字を使用する必要がありますが、値には必要ありません。値は常に引用符 (") で囲まれます。

CloudWatch Logs Insights には、いくつかのコマンドや正規表現、数学、統計オペレーションのサポートなど、強力なクエリ機能が含まれています。詳細については、「CloudWatch Logs Insights クエリ構文」を参照してください。