OpenSearch Idioma PPL

Esta sección contiene una introducción básica a la consulta de CloudWatch registros mediante OpenSearch PPL. Con PPL, puede recuperar, consultar y analizar datos mediante comandos agrupados, lo que facilita la comprensión y la redacción de consultas complejas. Su sintaxis se basa en las canalizaciones de Unix y permite encadenar comandos para transformar y procesar datos. Con PPL, puede filtrar y agregar datos y utilizar un amplio conjunto de funciones matemáticas, de cadenas, de fecha, condicionales y de otro tipo para el análisis.

Puede usar el OpenSearch PPL solo para consultas de grupos de registros de la clase de registro estándar.

Para obtener información sobre todos los comandos de consulta de OpenSearch PPL compatibles con CloudWatch los registros e información detallada sobre la sintaxis y las restricciones, consulte los comandos de PPL compatibles en la Guía para desarrolladores de OpenSearch servicios.

Comando o función	Consulta de ejemplo	Descripción
campos	`fields field1, field2`	Muestra un conjunto de campos que necesitan ser proyectados.
where	`where field1="success" \| where field2 != "i-023fe0a90929d8822" \| fields field3, field4, field5,field6 \| head 1000`	Filtra los datos en función de las condiciones que especifique.
stats	`stats count(), count(field1), min(field1), max(field1), avg(field1) by field2 \| head 1000`	Realiza agregaciones y cálculos
parse	`parse field1 ".*/(?<field2>[^/]+$)" \| where field2 = "requestId" \| fields field1, field2 \| head 1000`	Extrae un patrón de expresión regular (regex) de una cadena y muestra el patrón extraído. El patrón extraído se puede utilizar además para crear nuevos campos o filtrar datos.
sort	stats count(), count(field1), min(field1) as field1Alias, max(`field1`), avg(`field1`) by field2 \| sort -field1Alias \| head 1000	Ordene los resultados mostrados por un nombre de campo. Utilice ordenar: FieldName para ordenar en orden descendente.
evaluar	`eval field2 = field1 * 2 \| fields field1, field2 \| head 20`	Modifica o procesa el valor de un campo y lo almacena en un campo diferente. Esto resulta útil para modificar matemáticamente una columna, aplicar funciones de cadena a una columna o aplicar funciones de fecha a una columna.
rename	`rename field2 as field1 \| fields field1;`	Cambia el nombre de uno o más campos del resultado de la búsqueda.
head	fields `@message` \| head 20	Limita los resultados de la consulta mostrados a las N primeras filas.
top	`top 2 field1 by field2`	Busca los valores más frecuentes de un campo.
dedup	`dedup field1 \| fields field1, field2, field3`	Elimina las entradas duplicadas en función de los campos que especifique.
raro	`rare field1 by field2`	Busca los valores menos frecuentes de todos los campos de la lista de campos.
línea de tendencia	`trendline sma(2, field1) as field1Alias`	Calcula las medias móviles de los campos.
Estadísticas del evento	`eventstats sum(field1) by field2`	Enriquece los datos de tus eventos con estadísticas resumidas calculadas. Analiza los campos específicos de tus eventos, calcula varias medidas estadísticas y, a continuación, agrega estos resultados a cada evento original como campos nuevos.
resumen de campo	`where field1 != 200 \| fieldsummary includefields= field1 nulls=true`	Calcula las estadísticas básicas de cada campo (recuento, recuento distinto, mínimo, máximo, promedio, stddev y media).
grok	`grok email '.+@%{HOSTNAME:host}' \| fields email, host`	Analiza un campo de texto con un patrón grok y añade los resultados al resultado de la búsqueda.
Funciones de cadena	`eval field1Len = LENGTH(field1) \| fields field1Len`	Funciones integradas en PPL que pueden manipular y transformar cadenas y datos de texto en las consultas de PPL. Por ejemplo, convertir mayúsculas y minúsculas, combinar cadenas, extraer partes y limpiar texto.
Funciones matemáticas	`eval field2 = ACOS(field1) \| fields field1`	Funciones integradas para realizar cálculos matemáticos y transformaciones en consultas PPL. Por ejemplo, abs (valor absoluto), round (redondea números), sqrt (raíz cuadrada), pow (cálculo de potencia) y ceil (redondea al entero más cercano).
Funciones de datos	`eval newDate = ADDDATE(DATE('2020-08-26'), 1) \| fields newDate`	Funciones integradas para gestionar y transformar los datos de fecha y hora en las consultas PPL. Por ejemplo, date_add, date_format, datediff y current_date.
Funciones de condiciones	`eval field2 = isnull(field1) \| fields field2, field1, field3`	Funciones integradas que comprueban condiciones de campo específicas y evalúan las expresiones de forma condicional. Por ejemplo, si el campo1 es nulo, devuelve el campo2.
Funciones matemáticas	`eval field2 = ACOS(field1) \| fields field1`	Funciones integradas para realizar cálculos matemáticos y transformaciones en consultas PPL. Por ejemplo, abs (valor absoluto), round (redondea números), sqrt (raíz cuadrada), pow (cálculo de potencia) y ceil (redondea al entero más cercano).
CryptoGraphic funciones	`eval crypto = MD5(field)\| head 1000`	Para calcular el hash de un campo dado

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Utilice un lenguaje natural para generar y actualizar las consultas de CloudWatch Logs Insights

OpenSearch Lenguaje SQL