Résoudre les problèmes avec CloudWatch Logs Live Tail - Amazon CloudWatch Logs
Démarrez une session Live Tail à l'aide du AWS CLIDémarrer une session Live Tail dans la console

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Résoudre les problèmes avec CloudWatch Logs Live Tail

CloudWatch Logs Live Tail vous aide à résoudre rapidement les incidents en visualisant la liste des nouveaux événements enregistrés au fur et à mesure de leur ingestion. Vous pouvez afficher, filtrer et mettre en évidence les journaux ingérés en temps quasi réel, ce qui vous permet de détecter et de résoudre rapidement les problèmes. Vous pouvez filtrer les journaux en fonction des termes que vous spécifiez et mettre en évidence les journaux qui contiennent les termes spécifiés pour vous aider à trouver rapidement ce que vous cherchez.

Le coût des sessions Live Tail est calculé en fonction du temps d'utilisation de la session, par minute. Pour plus d'informations sur les tarifs, consultez l'onglet Logs sur Amazon CloudWatch Pricing.

Note

Live Tail n'est pris en charge que pour les groupes de journaux de la classe de journaux standard. Pour plus d'informations sur les classes de log, consultezClasses de log.

Les sections suivantes expliquent comment utiliser Live Tail dans la console et dans le AWS CLI. Vous pouvez également démarrer une session Live Tail par programmation. Pour plus d'informations, consultez StartLiveTail. Pour SDK des exemples, voir Démarrer une session Live Tail à l'aide d'un AWS SDK.

La fonctionnalité Live Tail est disponible dans toutes les AWS régions commerciales. Il n'est pas disponible dans les régions de Chine ni dans les régions AWS GovCloud (États-Unis).

Démarrez une session Live Tail à l'aide du AWS CLI

La start-live-tail AWS CLI commande démarre une session de streaming Live Tail pour un ou plusieurs groupes de journaux dans un terminal. Une session Live Tail peut durer jusqu'à trois heures. Si plus de 500 événements de journal par seconde correspondent au filtre, les événements de journal affichés sont un échantillon du nombre total d'événements de journal, afin de fournir une expérience de suivi en temps réel. Pour plus d'informations sur la start-live-tail commande, voir start-live-tail

Vous pouvez l'utiliser start-live-tail dans deux modes :

  • impression uniquement : il s'agit du mode par défaut

  • interactif

impression uniquement

En print-only mode, les événements du journal sont diffusés sur le terminal. De nouveaux événements sont ajoutés en bas de page chaque seconde, créant une expérience de suivi en temps quasi réel similaire à celle de tail -f Linux.

Pour démarrer une session Live Tail en mode impression uniquement, entrez la commande suivante.

aws logs start-live-tail --log-group-identifiers arn:aws:logs:us-east-1:111111222222:log-group:my-logs

Lorsque vous utilisez le mode d'impression uniquement, vous pouvez également le rediriger vers d'autres commandes Linux afin d'augmenter ses capacités analytiques. L'exemple suivant filtre les événements du journal à l'aide du error mot clé et imprime les deuxième et quatrième colonnes de ces événements pour vous aider à extraire des informations spécifiques.

aws logs start-live-tail --log-group-identifiers arn:aws:logs:us-east-1:111111222222:log-group:my-logs --mode print-only | grep "error" | awk '{print $2, $4}'

interactif

En interactive mode, vous pouvez surligner des termes et changer le format des événements du journal de sortie entre le format JSON et le texte brut. Le mode interactif affiche également des informations sur la session Live Tail, telles que la durée de la session, si la session est échantillonnée, les termes actuellement surlignés et le nombre de fois qu'ils ont été rencontrés.

Pour démarrer une session Live Tail en mode interactif, entrez la commande suivante.

aws logs start-live-tail --log-group-identifiers arn:aws:logs:us-east-1:111111222222:log-group:my-logs --mode interactive

La session Live Tail commence. La vidéo suivante montre une partie d'une session d'exemple.

Une courte vidéo qui montre les événements du journal qui apparaissent à l'écran lors d'une session Live Tail.

Pour surligner un terme dans les journaux de diffusion, appuyez sur h, puis saisissez-le. Ce qui suit montre l'écran une fois que le terme latency a été surligné.

Pour effacer un terme surligné, appuyez sur c, puis tapez le chiffre qui représente le terme que vous souhaitez arrêter de surligner.

Vous pouvez appuyer sur t pour passer du format d'affichage des événements entrants au format texte brut. JSON Cette fonctionnalité de bascule est optimale et n'est disponible que si le format du journal des événements est compatible.

Vous pouvez utiliser les flèches vers le haut et vers le bas pour faire défiler la page, et utiliser CTRL+u et CTRL+d pour faire défiler la page plus rapidement.

L'image suivante montre le surlignage du latency terme lors d'une session Live Tail.

Capture d'écran d'une session Live Tail interactive, avec les événements du journal répertoriés à l'écran et chaque occurrence de « latence » mise en évidence.

Démarrer une session Live Tail dans la console

Vous utilisez la CloudWatch console pour démarrer une session Live Tail. La procédure suivante explique comment démarrer une session Live Tail à l'aide de l'option Live Tail dans le volet de navigation de gauche. Vous pouvez également démarrer des sessions Live Tail depuis la page Log Groups ou CloudWatch Logs Insights.

Si vous utilisez des politiques de protection des données pour masquer des données sensibles dans un groupe de journaux que vous consultez avec Live Tail, les données sensibles apparaissent toujours masquées dans la session Live Tail. Pour plus d'informations sur la protection des données dans les groupes de journaux, veuillez consulter Aider à protéger les données sensibles des journaux grâce au masquage.

Important

Si votre équipe de sécurité réseau n'autorise pas l'utilisation de sockets Web, vous ne pouvez actuellement pas accéder à la partie Live Tail de la CloudWatch console. Vous pouvez utiliser les fonctionnalités de requête de CloudWatch Logs Insights ; avec le AWS CLI ouAPIs. Pour plus d'informations, consultez Démarrez une session Live Tail à l'aide du AWS CLI et url= » https://docs.aws.amazon.com/AmazonCloudWatchLogs/ latest/APIReference/API _ StartLiveTail StartLiveTail .html">.

Pour démarrer une session Live Tail

  1. Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/.

  2. Dans le volet de navigation, choisissez Journaux, Live Tail.

  3. Pour Sélectionner les groupes de journaux, sélectionnez les groupes de journaux dont vous souhaitez consulter les événements, dans la session Live Tail. Vous pouvez sélectionner jusqu'à 10 groupes de journaux.

  4. (Facultatif) Si vous n'avez sélectionné qu'un seul groupe de journaux, vous pouvez filtrer davantage votre session Live Tail en sélectionnant un ou plusieurs flux de journaux à partir desquels consulter les événements du journal. Pour ce faire, sous Sélectionner les flux de journaux, sélectionnez les noms des flux de journaux dans la liste déroulante. Vous pouvez également utiliser la seconde zone située sous Sélectionner les flux de journaux pour saisir un préfixe de nom de flux de journaux, puis tous les flux de journaux dont le nom correspond au préfixe seront sélectionnés.

  5. (Facultatif) Pour afficher uniquement les événements du journal contenant certains mots ou d'autres chaînes de caractères, saisissez le mot ou la chaîne de caractères dans Add filter patterns.

    Par exemple, pour afficher uniquement les événements du journal qui incluent le mot Warning, saisissez Warning. Le champ des filtres est sensible à la casse. Vous pouvez inclure plusieurs termes et opérateurs de modèles dans ce champ :

    • error 404 n'affiche que les événements du journal qui incluent à la fois error et 404

    • ?Error ?error affiche les événements du journal qui incluent Error ou error

    • -INFO affiche tous les événements du journal qui incluent INFO

    • { $.eventType = "UpdateTrail" }affiche tous les événements du JSON journal dont la valeur du champ de type d'événement est UpdateTrail

    Vous pouvez également utiliser une expression régulière (regex) pour filtrer :

    • %ERROR%utilise regex pour afficher tous les événements du journal comprenant le mot clé ERROR

    • { $.names = %Steve% }utilise regex pour afficher les événements du JSON journal où Steve se trouve dans la propriété "name"

    • [ w1 = %abc%, w2 ] utilise une expression régulière pour afficher les événements du journal délimités par des espaces, où le premier mot est abc

    Pour plus d'informations sur la syntaxe des modèles, consultez Syntaxe des modèles de filtres.

  6. (Facultatif) Pour mettre en évidence certains des événements du journal affichés, saisissez un terme à rechercher et à mettre en évidence sous Live Tail. Saisissez les termes à mettre en évidence un par un. Si vous ajoutez plusieurs termes à mettre en évidence, une couleur différente est attribuée pour représenter chaque terme. Un indicateur de mise en évidence s'affiche à gauche de tout événement du journal contenant le terme spécifié et apparaît également sous le terme lui-même lorsque vous agrandissez l'événement du journal dans la fenêtre principale pour afficher l'événement du journal complet.

    Vous pouvez utiliser le filtrage et la mise en évidence pour résoudre rapidement les problèmes. Par exemple, vous pouvez filtrer les événements pour n'afficher que les événements qui contiennent Error, puis également mettre en évidence les événements qui en contiennent 404.

  7. Pour démarrer la session, choisissez Appliquer les filtres

    Les événements du journal correspondants commencent à apparaître dans la fenêtre. Les informations suivantes sont également affichées :

    • Le chronomètre indique depuis combien de temps la session Live Tail est active.

    • events/sec affiche le nombre d'événements de journal ingérés par seconde qui correspondent aux filtres que vous avez définis.

    • Pour éviter que la session ne défile trop vite car de nombreux événements correspondent aux filtres, il est possible que les CloudWatch journaux n'affichent que certains événements correspondants. Dans ce cas, le pourcentage d'événements correspondants qui s'affichent à l'écran est indiqué en % affiché.

  8. Pour suspendre le flux d'événements afin d'examiner ce qui est actuellement affiché, cliquez n'importe où dans la fenêtre des événements.

  9. Au cours de la session, vous pouvez utiliser ce qui suit pour obtenir plus de détails sur chaque événement du journal.

    • Pour afficher le texte complet d'un événement du journal dans la fenêtre principale, cliquez sur la flèche en regard de cet événement du journal.

    • Pour afficher le texte complet d'un événement du journal dans une fenêtre latérale, choisissez la loupe + en regard de cet événement du journal. Le flux d'événements s'interrompt et la fenêtre latérale s'affiche.

      L'affichage du texte d'un événement du journal dans la fenêtre latérale peut être utile pour comparer son texte aux autres événements de la fenêtre principale.

  10. Pour arrêter la session Live Tail, choisissez Arrêter.

  11. Pour redémarrer la session, utilisez éventuellement le volet Filtre pour modifier les critères de filtrage, puis choisissez Appliquer les filtres. Choisissez ensuite Start (Démarrer).