使用 “日志见解” 分析 CloudWatch 日志数据 - Amazon CloudWatch 日志

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 “日志见解” 分析 CloudWatch 日志数据

借助 CloudWatch Logs Insights,您可以在 Amazon Logs 中以交互方式搜索和分析您的 CloudWatch 日志数据。您可以执行查询以帮助您更高效地响应操作问题。如果出现问题,您可以使用 CloudWatch Logs Insights 来识别潜在原因并验证已部署的修复程序。

CloudWatch Logs Insights 支持三种可用于查询的查询语言:

  • 一种专门构建的 L ogs Insights 查询语言(Logs Insights QL),带有一些简单但功能强大的命令。

  • (新) OpenSearch 服务管道处理语言 (PPL)。 OpenSearch PPL 允许您使用一组由竖线 (|) 分隔的命令来分析日志。

    借 OpenSearch 助 PPL,您可以使用串接在一起的命令来检索、查询和分析数据,从而更容易理解和撰写复杂的查询。该语法允许串联命令以转换和处理数据。使用 PPL,您可以筛选和聚合数据,并使用丰富的数学、字符串、日期、条件和其他函数进行分析。

  • (新) OpenSearch 服务结构化查询语言 (SQL)。使用 OpenSearch SQL 查询,您可以以声明方式分析日志。你可以使用 SELECT、FROM、WHERE、GROUP BY、HAVING 等命令以及 SQL 中提供的各种其他命令和函数。您可以 JOINs 跨日志组执行,使用子查询关联日志中的数据,并使用丰富的 JSON、数学、字符串、条件和其他 SQL 函数对日志进行强大的分析。

重要

为了增强 CloudWatch Logs Insights 查询的安全性,从 2025 年 7 月 31 日起,用户必须同时使用logs:StartQuerylogs:GetQueryResults权限登录,才能在 CloudWatch 控制台中运行查询。在此日期之后,不具备这两种权限的用户将无法在控制台中查看查询结果,而是在尝试在控制台中查看查询结果时会看到一条横幅消息。

更改后,所需的控制台体验权限将与 SDK 和使用和的 AWS CLI 用户当前所需的权限保持一致 GetQueryResults APIs。 StartQuery

有关如何创建 IAM 策略或向现有策略添加权限的信息,请参阅 IAM 用户指南中的使用客户托管策略定义自定义 IAM 权限和编辑 IAM 策略

CloudWatch Logs Insights 提供以下功能,可用于任何查询语言。

只有当您使用 L CloudWatch ogs Insights QL 时,才支持以下日志见解功能。

重要

CloudWatch Logs Insights 无法访问时间戳早于日志组创建时间的日志事件。

如果您登录的账户设置为 CloudWatch 跨账户可观察性监控账户,则可以对与该监控账户关联的源账户中的 CloudWatch 日志组运行 Logs Insights 查询。您可以运行一个查询,查询位于不同账户中的多个日志组。有关更多信息,请参阅 CloudWatch 跨账户可观测性

使用 Logs Insights QL 创建查询时,也可以使用自然语言创建 Logs Ins CloudWatch ights 查询。要执行此操作,请询问或描述您要查找的数据。这种 AI 辅助功能会根据你的提示生成查询,并 line-by-line解释查询的工作原理。有关更多信息,请参阅使用自然语言生成和更新 L CloudWatch ogs Insights 查询

如果查询尚未完成,则使用任何支持的查询语言的查询将在 60 分钟后超时。查询结果的有效期为七天。

CloudWatch 无论查询语言如何,Logs Insights 查询都会根据查询的数据量收取费用。有关更多信息,请参阅 Amazon CloudWatch 定价

您可以使用 Lo CloudWatch gs Insights 搜索在 2018 年 11 月 5 日或之后发送到 Logs 的 CloudWatch 日志数据。

重要

如果您的网络安全团队不允许使用 Web 套接字,则您目前无法访问 CloudWatch 控制台的 CloudWatch Logs Insights 部分。您可以通过使用 CloudWatch Logs Insights 查询功能 APIs。有关更多信息,请参阅 Amazon CloudWatch 日志 API 参考StartQuery中的。

内容