Erstellen Sie Feldindizes, um die Abfrageleistung zu verbessern und das Scanvolumen zu reduzieren - CloudWatch Amazon-Protokolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie Feldindizes, um die Abfrageleistung zu verbessern und das Scanvolumen zu reduzieren

Sie können Feldindizes der Felder in Ihren Protokollereignissen erstellen, um effiziente, gleichheitsorientierte Suchen zu ermöglichen. Wenn Sie dann einen Feldindex in einer CloudWatch Logs Insights-Abfrage verwenden, versucht die Abfrage, die Verarbeitung von Protokollereignissen zu überspringen, von denen bekannt ist, dass sie das indizierte Feld nicht enthalten. Dadurch wird das Scanvolumen Ihrer Abfragen, die Feldindizes verwenden, reduziert, sodass Ergebnisse schneller zurückgegeben werden können. Auf diese Weise können Sie schnell Petabyte an Gesamtprotokollen in Tausenden von Protokollgruppen durchsuchen und die relevanten Protokolle schneller finden. Felder, die sich gut indexieren lassen, sind Felder, nach denen Sie häufig Abfragen durchführen müssen. Felder mit einer hohen Kardinalität von Werten eignen sich auch gut für Feldindizes, da eine Abfrage, die diese Feldindizes verwendet, schneller abgeschlossen wird, da dadurch die Protokollereignisse begrenzt werden, die dem Zielwert zugeordnet werden.

Nehmen wir beispielsweise an, Sie haben einen Feldindex für erstellt. requestId Dann jede CloudWatch Logs Insights-Abfrage für diese Protokollgruppe, die nur die Protokollereignisse enthält requestId = value oder requestId IN [value, value, ...] versucht, nur die Protokollereignisse zu verarbeiten, von denen bekannt ist, dass sie das indizierte Feld und den abgefragten Wert enthalten und für die CloudWatch Logs in der Vergangenheit einen Wert für dieses Feld erkannt hat.

Sie können Ihre Feldindizes auch nutzen, um effiziente Abfragen für eine größere Anzahl von Protokollgruppen zu erstellen. Wenn Sie den filterIndex Befehl in Ihrer Abfrage anstelle des filter Befehls verwenden, wird die Abfrage anhand ausgewählter Protokollgruppen für Protokollereignisse mit Feldindizes ausgeführt. Diese Abfragen können bis zu 10.000 Protokollgruppen scannen, die Sie auswählen können, indem Sie bis zu fünf Protokollgruppennamenpräfixe angeben. Wenn es sich um ein Überwachungskonto mit CloudWatch kontenübergreifender Observability handelt, können Sie alle Quellkonten auswählen oder einzelne Quellkonten angeben, um die Protokollgruppen auszuwählen.“

Bei indizierten Feldern wird zwischen Groß- und Kleinschreibung unterschieden. Ein Feldindex von entspricht beispielsweise RequestId nicht einem Protokollereignis, das Folgendes enthält: requestId

Feldindizes werden nur für die strukturierten Protokollformate von JSON und für Serviceprotokolle unterstützt.

CloudWatch Logs indexiert nur die Protokollereignisse, die nach der Erstellung einer Indexrichtlinie aufgenommen wurden. Protokollereignisse, die vor der Erstellung der Richtlinie aufgenommen wurden, werden nicht indexiert.

Anmerkung

Wenn Sie eine Feldindexrichtlinie in einem Überwachungskonto erstellen, wird diese Richtlinie nicht für Protokollgruppen in verknüpften Quellkonten verwendet. Eine Feldindexrichtlinie gilt nur für das Konto, in dem sie erstellt wurde.

In den übrigen Themen dieses Abschnitts wird erklärt, wie Feldindizes erstellt werden. Informationen dazu, wie Sie in Ihren Abfragen auf Feldindizes verweisen, finden Sie unter filterIndex und. Filter

Themen