OpenSearch Langage PPL - Amazon CloudWatch Logs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

OpenSearch Langage PPL

Cette section contient une introduction de base à l'interrogation des CloudWatch journaux à l'aide de OpenSearch PPL. Avec PPL, vous pouvez récupérer, interroger et analyser des données à l'aide de commandes groupées, ce qui facilite la compréhension et la composition de requêtes complexes. Sa syntaxe est basée sur les canaux Unix et permet d'enchaîner les commandes pour transformer et traiter les données. Avec PPL, vous pouvez filtrer et agréger des données, et utiliser un ensemble complet de fonctions mathématiques, de chaîne, de date, conditionnelles et autres pour l'analyse.

Vous ne pouvez utiliser OpenSearch PPL que pour les requêtes de groupes de journaux dans la classe de journal standard.

Pour plus d'informations sur toutes les commandes de requête OpenSearch PPL prises en charge dans les CloudWatch journaux et des informations détaillées sur la syntaxe et les restrictions, consultez la section Commandes PPL prises en charge dans le Guide du développeur OpenSearch de services.

Commande ou fonction Exemple de requête Description

fields

fields field1, field2

Affiche un ensemble de champs qui doivent être projetés.

where field1="success" | where field2 != "i-023fe0a90929d8822" | fields field3, field4, field5,field6 | head 1000

Filtre les données en fonction des conditions que vous spécifiez.

stats

stats count(), count(field1), min(field1), max(field1), avg(field1) by field2 | head 1000

Effectue des agrégations et des calculs

parse

parse field1 ".*/(?<field2>[^/]+$)" | where field2 = "requestId" | fields field1, field2 | head 1000

Extrait un modèle d'expression régulière (regex) d'une chaîne et affiche le modèle extrait. Le modèle extrait peut également être utilisé pour créer de nouveaux champs ou filtrer des données.

sort

stats count(), count(field1), min(field1) as field1Alias, max(`field1`), avg(`field1`) by field2 | sort -field1Alias | head 1000

Triez les résultats affichés par nom de champ. Utilisez le tri - FieldName pour trier par ordre décroissant.

eval

eval field2 = field1 * 2 | fields field1, field2 | head 20

Modifie ou traite la valeur d'un champ et la stocke dans un autre champ. Cela est utile pour modifier mathématiquement une colonne, appliquer des fonctions de chaîne à une colonne ou appliquer des fonctions de date à une colonne.

renommer

rename field2 as field1 | fields field1;

Renomme un ou plusieurs champs dans les résultats de recherche.

head

fields `@message` | head 20

Limite les résultats de requête affichés aux N premières lignes.

top

top 2 field1 by field2

Recherche les valeurs les plus fréquentes pour un champ.

dedup

dedup field1 | fields field1, field2, field3

Supprime les entrées dupliquées en fonction des champs que vous spécifiez.

rare

rare field1 by field2

Recherche les valeurs les moins fréquentes de tous les champs de la liste de champs.

ligne de tendance

trendline sma(2, field1) as field1Alias

Calcule les moyennes mobiles des champs.

Statistiques de l'événement

eventstats sum(field1) by field2

Enrichissez les données de vos événements grâce à des statistiques récapitulatives calculées. Il analyse les champs spécifiés au sein de vos événements, calcule diverses mesures statistiques, puis ajoute ces résultats à chaque événement d'origine sous forme de nouveaux champs.

résumé du champ

where field1 != 200 | fieldsummary includefields= field1 nulls=true

Calcule les statistiques de base pour chaque champ (nombre, nombre distinct, min, max, avg, stddev et moyenne).

grok

grok email '.+@%{HOSTNAME:host}' | fields email, host

Analyse un champ de texte à l'aide d'un motif grok et ajoute les résultats au résultat de recherche.

Fonctions de chaîne

eval field1Len = LENGTH(field1) | fields field1Len

Fonctions intégrées dans PPL qui peuvent manipuler et transformer des chaînes et des données de texte dans les requêtes PPL. Par exemple, convertir des majuscules, combiner des chaînes, extraire des parties et nettoyer du texte.

Fonctions mathématiques

eval field2 = ACOS(field1) | fields field1

Fonctions intégrées pour effectuer des calculs mathématiques et des transformations dans les requêtes PPL. Par exemple, abs (valeur absolue), round (arrondit les nombres), sqrt (racine carrée), pow (calcul de puissance) et ceil (arrondit au nombre entier le plus proche).

Fonctions de date

eval newDate = ADDDATE(DATE('2020-08-26'), 1) | fields newDate

Fonctions intégrées pour gérer et transformer les données de date et d'horodatage dans les requêtes PPL. Par exemple, date_add, date_format, datediff et current_date.

Fonctions de condition

eval field2 = isnull(field1) | fields field2, field1, field3

Fonctions intégrées qui vérifient les conditions de champ spécifiques et évaluent les expressions de manière conditionnelle. Par exemple, si le champ 1 est nul, renvoie le champ 2.

Fonctions mathématiques

eval field2 = ACOS(field1) | fields field1

Fonctions intégrées pour effectuer des calculs mathématiques et des transformations dans les requêtes PPL. Par exemple, abs (valeur absolue), round (arrondit les nombres), sqrt (racine carrée), pow (calcul de puissance) et ceil (arrondit au nombre entier le plus proche).

CryptoGraphic fonctions

eval crypto = MD5(field)| head 1000

Pour calculer le hachage d'un champ donné