Análise de dados de registro com o CloudWatch Logs Insights

Com o CloudWatch Logs Insights, você pode pesquisar e analisar interativamente seus dados de log no Amazon CloudWatch Logs. Realize consultas para ajudar a responder de maneira mais rápida e eficiente a problemas operacionais. Se ocorrer um problema, você pode usar o CloudWatch Logs Insights para identificar possíveis causas e validar as correções implantadas.

CloudWatch O Logs Insights oferece suporte a três linguagens de consulta que você pode usar para suas consultas:

• Uma linguagem de consulta específica do Logs Insights (Logs Insights QL) com alguns comandos simples, mas poderosos.

• (Novo) OpenSearch Service Piped Processing Language (PPL). OpenSearch O PPL permite que você analise seus registros usando um conjunto de comandos delimitados por canais (|).

  Com o OpenSearch PPL, você pode recuperar, consultar e analisar dados usando comandos que são agrupados, facilitando a compreensão e a composição de consultas complexas. A sintaxe permite o encadeamento de comandos para transformar e processar dados. Com o PPL, você pode filtrar e agregar dados e usar um rico conjunto de funções matemáticas, de seqüências de caracteres, de data, condicionais e outras para análise.

• (Novo) OpenSearch Service Structured Query Language (SQL). Com as consultas OpenSearch SQL, você pode analisar seus registros de forma declarativa. Você pode usar comandos como SELECT, FROM, WHERE, GROUP BY, HAVING e vários outros comandos e funções disponíveis no SQL. Você pode executar JOINs vários grupos de registros, correlacionar dados entre registros usando subconsultas e usar o rico conjunto de funções JSON, Mathematical, String, Conditional e outras funções SQL para realizar análises poderosas em registros.

Importante

Para aumentar a segurança das consultas do CloudWatch Logs Insights, a partir de 31 de julho de 2025, os usuários devem estar conectados com logs:GetQueryResults as permissões logs:StartQuery e para poderem executar consultas no CloudWatch console. Após essa data, os usuários que não tiverem essas duas permissões não poderão visualizar os resultados da consulta no console e, em vez disso, verão uma mensagem em banner ao tentarem visualizar os resultados da consulta no console.

Após a alteração, as permissões necessárias da experiência do console serão consistentes com as permissões atuais exigidas para o SDK e AWS CLI os usuários que usam o StartQuery e. GetQueryResults APIs

Para obter informações sobre como criar políticas do IAM ou adicionar permissões às políticas existentes, consulte Definir permissões personalizadas do IAM com políticas gerenciadas pelo cliente e Editar políticas do IAM no Guia do usuário do IAM.

CloudWatch O Logs Insights oferece os seguintes recursos que estão disponíveis para uso com qualquer uma das linguagens de consulta.

• Descoberta automática de campos de log em registros de AWS serviços como Amazon Route 53,, AWS Lambda AWS CloudTrail, e Amazon VPC, e qualquer aplicativo ou log personalizado que emita eventos de log como JSON.

• Criação de índices de campo para reduzir custos e acelerar os resultados, especialmente para consultas de um grande número de grupos de registros ou eventos de registro. Depois de criar índices de campos que são comuns em seus eventos de log, você pode usá-los em uma consulta. A consulta ignora o processamento de eventos de log que se sabe que não incluem o campo indexado e processa menos dados.

  nota

  O filterIndex comando está disponível somente no Logs Insights QL.

• Detecção e análise de padrões em seus eventos de log. Um padrão é uma estrutura de texto compartilhada que se repete nos campos do log. Ao visualizar os resultados de uma consulta, você pode escolher a guia Padrões para ver os padrões que o CloudWatch Logs encontrou com base em uma amostra dos seus resultados.

• Salvando consultas, vendo seu histórico de consultas e reexecutando consultas salvas. Isso pode ajudá-lo a realizar consultas complexas quando precisar, sem ter de recriá-las sempre que quiser executá-las.

• Adicionar consultas aos painéis.

• Criptografando os resultados da consulta com AWS Key Management Service.

Os seguintes recursos do CloudWatch Logs Insights são compatíveis somente quando você usa o Logs Insights QL.

• Geração de consultas usando linguagem natural.

• Consultando registros na classe de registro de acesso infrequente.

• Consultas de comparação que comparam eventos de log em um grupo de logs com eventos de log de um período anterior.

• O filterIndexcomando, que força a consulta a tentar verificar somente eventos de log que contenham um índice de campo especificado por você.

Importante

CloudWatch O Logs Insights não pode acessar eventos de registro com carimbos de data e hora anteriores à hora de criação do grupo de registros.

Se você estiver conectado a uma conta configurada como uma conta de monitoramento na observabilidade CloudWatch entre contas, poderá executar consultas do CloudWatch Logs Insights em grupos de registros nas contas de origem vinculadas a essa conta de monitoramento. Você pode executar uma consulta que pesquisa vários grupos de logs localizados em contas diferentes. Para obter mais informações, consulte Observabilidade entre contas do CloudWatch .

Ao criar consultas usando o Logs Insights QL, você também pode usar linguagem natural para criar consultas do CloudWatch Logs Insights. Para fazer isso, faça perguntas ou descreva os dados que você está procurando. Esse recurso assistido por IA gera uma consulta com base em sua solicitação e fornece uma line-by-line explicação de como a consulta funciona. Para obter mais informações, consulte Usar linguagem natural para gerar e atualizar consultas do CloudWatch Logs Insights.

As consultas que usam qualquer uma das linguagens de consulta suportadas expiram após 60 minutos, caso não tenham sido concluídas. Os resultados da consulta estão disponíveis por sete dias.

CloudWatch As consultas do Logs Insights são cobradas com base na quantidade de dados consultados, independentemente do idioma da consulta. Para obter mais informações, consulte Amazon CloudWatch Pricing.

Você pode usar o CloudWatch Logs Insights para pesquisar dados de registro que foram enviados ao CloudWatch Logs em 5 de novembro de 2018 ou mais tarde.

Importante

Se sua equipe de segurança de rede não permite o uso de soquetes da web, atualmente você não pode acessar a parte do CloudWatch Logs Insights do CloudWatch console. Você pode usar os recursos de consulta do CloudWatch Logs Insights usando APIs. Para obter mais informações, consulte StartQuerya Referência da API Amazon CloudWatch Logs.

Conteúdo

• Idiomas de consulta compatíveis

• Logs compatíveis e campos descobertos

• Crie índices de campo para melhorar o desempenho da consulta e reduzir o volume de digitalização

• Análise de padrões

• Salve e execute novamente as consultas do CloudWatch Logs Insights

• Adicionar consulta ao painel ou exportar os resultados da consulta

• Exibir as consultas em execução ou o histórico de consultas

• Criptografe os resultados da consulta com AWS Key Management Service