Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Direktes Abfragen von Amazon CloudWatch Logs-Daten im Service OpenSearch
Dieser Abschnitt führt Sie durch den Prozess der Erstellung und Konfiguration einer Datenquellenintegration in Amazon OpenSearch Service, sodass Sie Ihre in CloudWatch Logs gespeicherten Daten effizient abfragen und analysieren können.
Auf den folgenden Seiten erfahren Sie, wie Sie eine CloudWatch Logs-Datenquelle für direkte Abfragen einrichten, sich mit den erforderlichen Voraussetzungen vertraut machen und die step-by-step Verfahren mithilfe von befolgen. AWS-Managementkonsole
**Topics**
+ [Eine Amazon CloudWatch Logs-Datenquellenintegration in OpenSearch Service erstellen](direct-query-cloudwatch-logs-creating.md)
+ [Konfiguration und Abfrage einer CloudWatch Logs-Datenquelle in Dashboards OpenSearch](direct-query-cloudwatch-logs-configure.md)
+ [Preisgestaltung](#direct-query-cloudwatch-logs-pricing)
+ [Einschränkungen](#direct-query-cloudwatch-logs-limitations)
+ [Empfehlungen](#direct-query-cloudwatch-logs-recommendations)
+ [Kontingente](#direct-query-cloudwatch-logs-quotas)
+ [Unterstützt AWS-Regionen](#direct-query-cloudwatch-logs-regions)
## Preisgestaltung
Amazon OpenSearch Service bietet OpenSearch Compute Unit (OCU) -Preise für direkte CloudWatch Logs-Abfragen an. Wenn Sie direkte Abfragen ausführen, fallen Gebühren OCUs pro Stunde an, die auf Ihrer Rechnung als DirectQuery OCU-Nutzungsart aufgeführt sind. Für Sie fallen auch separate Gebühren von Amazon CloudWatch Logs an.
Es gibt zwei Arten von direkten Abfragen: interaktive Abfragen und Abfragen mit indizierter Ansicht.
+ *Interaktive Abfragen* werden verwendet, um die Datenauswahl zu füllen und Analysen Ihrer Daten in Logs durchzuführen. CloudWatch OpenSearch Der Service verarbeitet jede Abfrage mit einem separaten, vorgewärmten Job, ohne dass eine längere Sitzung aufrechterhalten werden muss.
+ *Abfragen indizierter Ansichten* verwenden Compute, um indizierte Ansichten im Service zu verwalten. OpenSearch Diese Abfragen dauern normalerweise länger, da sie eine unterschiedliche Datenmenge in einen benannten Index aufnehmen. Bei Datenquellen, die mit CloudWatch Logs verbunden sind, werden die indizierten Daten in einer OpenSearch serverlosen Sammlung gespeichert, bei der Ihnen die indizierten Daten (IndexingOCU), die durchsuchten Daten (searchOCU) und die in GB gespeicherten Daten in Rechnung gestellt werden.
Weitere Informationen finden Sie in den Abschnitten Direct Query und Serverless unter [Amazon OpenSearch Service Pricing](https://aws.amazon.com/opensearch-service/pricing/).
## Einschränkungen
Die folgenden Einschränkungen gelten für direkte Abfragen in CloudWatch Protokollen:
+ Die direkte Abfrageintegration mit CloudWatch Logs ist nur in OpenSearch Servicesammlungen und auf der OpenSearch Benutzeroberfläche verfügbar.
+ OpenSearch Serverlose Sammlungen haben Netzwerknutzlastbeschränkungen von 100 MiB.
+ CloudWatch Logs unterstützt VPC Flow- und AWS WAF Dashboard-Integrationen CloudTrail, die über die Konsole installiert werden.
+ AWS CloudFormation Vorlagen werden noch nicht unterstützt.
+ OpenSearch SQL- und OpenSearch PPL-Anweisungen haben bei der Arbeit mit OpenSearch Indizes andere Einschränkungen als bei der Verwendung von Direktabfragen. Direct Query unterstützt erweiterte Befehle wie JOINs Unterabfragen und Suchvorgänge, während diese Befehle in OpenSearch Indizes nur begrenzt oder gar nicht unterstützt werden. Weitere Informationen finden Sie unter [Unterstützte SQL- und PPL-Befehle](direct-query-supported-commands.md).
## Empfehlungen
Bei der Verwendung von Direktabfragen in Protokollen wird Folgendes empfohlen: CloudWatch
+ Wenn Sie mehrere Protokollgruppen in einer Abfrage durchsuchen, verwenden Sie die entsprechende Syntax. Weitere Informationen finden Sie unter [Gruppenfunktionen mit mehreren Protokollen](supported-directquery-sql.md#multi-log-queries).
+ Wenn Sie SQL- oder PPL-Befehle verwenden, schließen Sie bestimmte Felder in Backticks ein, um sie erfolgreich abzufragen. Backticks werden für Felder mit Sonderzeichen (nicht alphabetisch und nicht numerisch) benötigt. Zum Beispiel einschließen `@message` und in Backticks. `Operation.Export,` `Test::Field` Sie müssen Spalten mit rein alphabetischen Namen nicht in Backticks einschließen.
Beispielabfrage mit einfachen Feldern:
```
SELECT SessionToken, Operation, StartTime FROM `LogGroup-A`
LIMIT 1000;
```
Ähnliche Abfrage mit angehängten Backticks:
```
SELECT `@SessionToken`, `@Operation`, `@StartTime` FROM `LogGroup-A`
LIMIT 1000;
```
+ Verwenden Sie Grenzwerte für Ihre Abfragen, um sicherzustellen, dass Sie nicht zu viele Daten zurückholen.
+ Abfragen mit Feldnamen, die identisch sind, sich aber nur in der Groß- und Kleinschreibung unterscheiden (z. B. `field1` und`FIELD1`), werden nicht unterstützt.
Beispielsweise werden die folgenden Abfragen nicht unterstützt:
```
Select AWSAccountId, AwsAccountId from LogGroup
Select a.@LogStream, b.@logStream from Table A INNER Join Table B ona.id = b.id
```
Die folgende Abfrage wird jedoch unterstützt, da der Feldname (@logStream) in beiden Protokollgruppen identisch ist:
```
Select a.@logStream, b.@logStream from Table A INNER Join Table B on a.id = b.id
```
+ Funktionen und Ausdrücke müssen mit Feldnamen arbeiten und Teil einer `SELECT` Anweisung mit einer in der `FROM` Klausel angegebenen Protokollgruppe sein.
Diese Abfrage wird beispielsweise nicht unterstützt:
```
SELECT cos(10) FROM LogGroup
```
Diese Abfrage wird unterstützt:
```
SELECT cos(field1) FROM LogGroup
```
## Kontingente
**Anmerkung**
Wenn Sie direkte Abfragen mit CloudWatch Logs Insights durchführen möchten, stellen Sie sicher, dass Sie sich auf Folgendes beziehen[Zusätzliche Informationen für CloudWatch Logs Insights-Benutzer, die OpenSearch SQL verwenden](supported-directquery-sql.md#supported-sql-for-multi-log-queries).
| Description | Wert | Weicher Grenzwert? | Hinweise |
| --- | --- | --- | --- |
| TPS-Limit auf Kontoebene für direkte Abfragen APIs | 3 TPS | Ja | |
| Maximale Anzahl von Datenquellen | 20 | Ja | Das Limit ist pro AWS-Konto. |
| Maximale Anzahl von Indizes oder materialisierten Ansichten mit automatischer Aktualisierung | 30 | Ja | Das Limit gilt pro Datenquelle. |
| Maximale Anzahl gleichzeitiger Abfragen | 30 | Ja | Das Limit gilt pro Datenquelle und gilt für Abfragen im Status „Ausstehend“ oder „Wird ausgeführt“.
Umfasst interaktive Abfragen (z. B. Befehle zum Datenabruf wie`SELECT`) und Indexabfragen (z. B. Operationen wie`CREATE`/`ALTER`). |
| Maximale gleichzeitige OCU pro Abfrage | 512 | Ja | OpenSearch Recheneinheiten (OCU). Das Limit basiert auf 15 Executoren und einem Treiber mit jeweils 16 vCPU und 32 GB Arbeitsspeicher. Steht für gleichzeitige Rechenleistung. |
| Maximale Ausführungszeit für Abfragen in Minuten | 60 | Nein | Das Limit gilt für OpenSearch PPL/SQL-Abfragen in CloudWatch Logs Insights. |
| Zeitraum für das Löschen veralteter Abfragen IDs | 90 Tage | Ja | Dies ist der Zeitraum, nach dem der OpenSearch Service Abfrage-Metadaten für ältere Einträge löscht. Beispielsweise schlägt der Anruf GetDirectQuery bei Abfragen GetDirectQueryResult fehl, die älter als 90 Tage sind. |
## Unterstützt AWS-Regionen
Folgendes AWS-Regionen wird für direkte Abfragen in CloudWatch Protokollen unterstützt:
+ Asien-Pazifik (Mumbai)
+ Asien-Pazifik (Hongkong)
+ Asien-Pazifik (Osaka)
+ Asien-Pazifik (Seoul)
+ Asien-Pazifik (Singapur)
+ Asien-Pazifik (Sydney)
+ Asien-Pazifik (Tokio)
+ Canada (Central)
+ Europe (Frankfurt)
+ Europa (Irland)
+ Europa (Stockholm)
+ Europa (Milan)
+ Europa (Spain)
+ USA Ost (Nord-Virginia)
+ USA Ost (Ohio)
+ USA West (Oregon)
+ USA West (Nordkalifornien)
+ Europa (Paris)
+ Europa (London)
+ Südamerika (São Paulo)