CloudWatch Abfragesyntax in Logs Insights - CloudWatch Amazon-Protokolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

CloudWatch Abfragesyntax in Logs Insights

Dieser Abschnitt enthält Einzelheiten zur Logs Insights QL. Die Abfragesyntax unterstützt verschiedene Funktionen und Operationen, die unter anderem allgemeine Funktionen, Arithmetik- und Vergleichsoperationen sowie reguläre Ausdrücke beinhalten.

Wichtig

Beachten Sie die folgenden bewährten Methoden, um zu vermeiden, dass durch die Ausführung umfangreicher Abfragen übermäßige Gebühren anfallen:

  • Wählen Sie für jede Abfrage nur die erforderlichen Protokollgruppen aus.

  • Geben Sie immer den engstmöglichen Zeitraum für Ihre Abfragen an.

  • Wenn Sie die Konsole zum Ausführen von Abfragen verwenden, brechen Sie alle Abfragen ab, bevor Sie die CloudWatch Logs Insights-Konsolenseite schließen. Andernfalls werden Abfragen bis zum Abschluss weiter ausgeführt.

  • Wenn Sie einem Dashboard ein CloudWatch Logs Insights-Widget hinzufügen, stellen Sie sicher, dass das Dashboard nicht mit hoher Frequenz aktualisiert wird, da bei jeder Aktualisierung eine neue Abfrage gestartet wird.

Zum Erstellen von Abfragen, die mehrere Befehle enthalten, trennen Sie die Befehle durch einen senkrechten Strich (|).

Zum Erstellen von Abfragen, die Kommentare enthalten, kennzeichnen Sie die Kommentare durch ein Rautenzeichen (#).

Anmerkung

CloudWatch Logs Insights erkennt automatisch Felder für verschiedene Protokolltypen und generiert Felder, die mit dem @-Zeichen beginnen. Weitere Informationen zu diesen Feldern finden Sie unter Unterstützte Protokolle und entdeckte Felder im CloudWatch Amazon-Benutzerhandbuch.

In der folgenden Tabelle wird jeder Befehl kurz beschrieben. Im Anschluss an diese Tabelle finden Sie eine ausführlichere Beschreibung der einzelnen Befehle mit Beispielen.

Anmerkung

Alle QL-Abfragebefehle von Logs Insights werden für Protokollgruppen der Standard-Protokollklasse unterstützt. Protokollgruppen der Protokollklasse für seltenen Zugriff unterstützen alle Logs Insights QL-Abfragebefehle mit Ausnahme von patterndiff, undunmask.

display

Zeigt ein bestimmtes Feld oder bestimmte Felder in den Abfrageergebnissen an.

fields

Zeigt bestimmte Felder in Abfrageergebnissen an und unterstützt Funktionen und Vorgänge mit denen Sie Feldwerte ändern und neue Felder zur Verwendung in Ihrer Abfrage erstellen können.

filter

Filtert die Abfrage so, dass nur die Protokollereignisse zurückgegeben werden, die mindestens einer Bedingung entsprechen.

filterIndex

Erzwingt eine Abfrage, nur die Protokollgruppen zu scannen, die sowohl für das in einem Feldindex erwähnte Feld indexiert sind als auch einen Wert für diesen Feldindex enthalten. Dadurch wird das gescannte Volumen reduziert, indem versucht wird, nur Protokollereignisse aus diesen Protokollgruppen zu scannen, die den in der Abfrage für diesen Feldindex angegebenen Wert enthalten.

Dieser Befehl wird für Protokollgruppen der Protokollklasse für seltenen Zugriff nicht unterstützt.

pattern

Gruppiert Ihre Protokolldaten automatisch in Muster. Ein Muster ist eine gemeinsame Textstruktur, die sich in Ihren Protokollfeldern wiederholt. CloudWatch Logs Insights bietet Ihnen Möglichkeiten, die in Ihren Protokollereignissen gefundenen Muster zu analysieren. Weitere Informationen finden Sie unter Musteranalyse.

diff

Vergleicht die in Ihrem angeforderten Zeitraum gefundenen Protokollereignisse mit den Protokollereignissen aus einem früheren Zeitraum gleicher Länge, sodass Sie nach Trends suchen und herausfinden können, ob bestimmte Protokollereignisse neu sind.

parse

Extrahiert Daten aus einem Protokollfeld, um ein extrahiertes Feld zu erstellen, das Sie in Ihrer Abfrage verarbeiten können. parse unterstützt sowohl den globalen Modus mit Platzhaltern als auch reguläre Ausdrücke.

sort

Zeigt die zurückgegebenen Protokollereignisse in aufsteigender (asc) oder absteigender (desc) Reihenfolge an.

SOURCE

Die Aufnahme SOURCE in eine Abfrage ist eine nützliche Methode, um eine große Anzahl von Protokollgruppen auf der Grundlage des Protokollgruppennamens, der Kontokennungen und der Protokollgruppenklasse anzugeben, die in eine Abfrage aufgenommen werden sollen. Dieser Befehl wird nur unterstützt, wenn Sie eine Abfrage in der AWS CLI oder programmgesteuert erstellen, nicht in der Konsole. CloudWatch

stats

Berechnet aggregierte Statistiken anhand der Werte in den Protokollfeldern.

limit

Gibt die maximale Anzahl der Protokollereignisse an, die Ihre Abfrage zurückgeben soll. Nützlich in Verbindung mit sort, um „Top 20“ oder „letzte 20 Ergebnisse“ zu erhalten.

dedup

Entfernt doppelte Ergebnisse auf der Grundlage bestimmter Werte in von Ihnen angegebenen Feldern.

unmask

Zeigt den gesamten Inhalt eines Protokollereignisses an, bei dem einige Inhalte aufgrund einer Datenschutzrichtlinie maskiert wurden. Weitere Informationen zum Datenschutz in Protokollgruppen finden Sie unter Den Schutz vertraulicher Protokolldaten mit Maskierung unterstützen.

unnest

Reduziert eine als Eingabe verwendete Liste, sodass mehrere Datensätze mit einem einzigen Datensatz für jedes Element in der Liste erstellt werden.

Weitere Vorgänge und Funktionen

CloudWatch Logs Insights unterstützt auch viele Vergleichs-, Arithmetik-, Datums- und Zahlenfunktionen, Zeichenketten, IP-Adressen und allgemeine Funktionen und Operationen.

In den folgenden Abschnitten finden Sie weitere Informationen zu den CloudWatch Logs Insights-Abfragebefehlen.

Themen