Créez une règle Contributor Insights dans CloudWatch - Amazon CloudWatch

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Créez une règle Contributor Insights dans CloudWatch

Vous pouvez créer des règles pour analyser les données du journal. Tous les journaux au format JSON ou CLF (Common Log Format) peuvent être évalués. Cela inclut vos journaux personnalisés qui suivent l'un de ces formats et les journaux provenant de AWS services tels que les journaux de flux Amazon VPC, les journaux de requêtes DNS Amazon Route 53, les journaux de conteneurs Amazon ECS et les journaux provenant d' AWS CloudTrail Amazon SageMaker AI, d'Amazon RDS et d'API AWS AppSync Gateway.

Dans une règle, lorsque vous spécifiez des noms ou des valeurs de champ, toutes les correspondances sont sensibles à la casse.

Vous pouvez utiliser des exemples de règles intégrés lorsque vous créez une règle ou vous pouvez créer votre propre règle à partir de zéro. Contributor Insights inclut des exemples de règles pour les types de journaux suivants :

  • Journaux Amazon API Gateway

  • Journaux de requêtes DNS publics Amazon Route 53

  • Journaux de requête Amazon Route 53 Resolver

  • CloudWatch journaux de Container Insights

  • Journaux de flux VPC

Si vous êtes connecté à un compte configuré en tant que compte de surveillance dans le cadre de l'observabilité CloudWatch entre comptes, vous pouvez créer des règles Contributor Insights pour les groupes de journaux dans les comptes sources liés à ce compte de surveillance, en plus de créer des règles pour les groupes de journaux dans le compte de surveillance. Vous pouvez également configurer une règle unique qui surveille les groupes de journaux dans différents comptes. Pour de plus amples informations, veuillez consulter CloudWatch observabilité entre comptes.

Important

Lorsque vous accordez l'cloudwatch:PutInsightRuleautorisation à un utilisateur, celui-ci peut par défaut créer une règle qui évalue n'importe quel groupe de CloudWatch journaux dans Logs. Vous pouvez ajouter des conditions de politique IAM qui limitent ces autorisations pour qu'un utilisateur inclue et exclue des groupes de journaux spécifiques. Pour de plus amples informations, veuillez consulter Utilisation de clés de condition pour limiter l'accès des utilisateurs Contributor Insights aux groupes de journaux.

Pour créer une règle à l'aide d'un exemple de règle intégré

  1. Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/.

  2. Dans le volet de navigation, choisissez Logs, Contributor Insights.

  3. Choisissez Créer une règle.

  4. Pour Select log group(s) (Sélectionner le(s) groupe(s) de journaux), sélectionnez le ou les groupes de journaux que la règle doit surveiller. Vous pouvez sélectionner jusqu'à 20 groupes de journaux. Si vous êtes connecté à un compte de surveillance configuré pour l'observabilité CloudWatch entre comptes, vous pouvez sélectionner des groupes de journaux dans les comptes sources, et vous pouvez également définir une règle unique pour analyser les groupes de journaux dans différents comptes.

    1. (Facultatif) Pour sélectionner tous les groupes de journaux dont le nom commence par une chaîne spécifique, choisissez Select by prefix match (Sélectionner par correspondance du préfixe) dans la liste déroulante, puis saisissez le préfixe. S'il s'agit d'un compte de surveillance, vous pouvez éventuellement sélectionner les comptes dans lesquels effectuer la recherche, sinon tous les comptes sont sélectionnés.

    Note

    Vous encourez des frais pour chaque événement de journal correspondant à votre règle. Si vous choisissez le Select by prefix match (Sélectionner par correspondance du préfixe) dans la liste déroulante, soyez attentif au nombre de groupes de journaux auxquels le préfixe peut correspondre. Si vous recherchez accidentellement plus de groupes de journaux que vous ne le souhaitez, des frais inattendus peuvent vous être facturés. Pour plus d'informations, consultez Amazon CloudWatch Pricing.

  5. Pour Rule type (Type de règle), choisissez Sample rule (Exemple de règle). Ensuite, choisissez Select sample rule (Sélectionner un exemple de règle) et sélectionnez la règle.

  6. L'exemple de règle a rempli les champs Log format (Format du journal), Contribution, Filters (Filtres) et Aggregate on (Regrouper par). Vous pouvez ajuster ces valeurs, si vous le souhaitez.

  7. Choisissez Suivant.

  8. Pour Rule name (Nom de la règle), entrez un nom. Les caractères valides sont A-Z, a-z, 0-9, (trait d'union), (trait de soulignement) et (point).

  9. Indiquez si vous souhaitez créer la règle dans un état désactivé ou activé. Si vous choisissez de l'activer, la règle commence immédiatement à analyser vos données. Vous encourez des frais lorsque vous exécutez des règles activées. Pour en savoir plus, consultez Tarification Amazon CloudWatch.

    Contributor Insights analyse uniquement les nouveaux événements de journal après la création d'une règle. Une règle ne peut pas traiter les événements des journaux qui ont été précédemment traités par CloudWatch Logs.

  10. (Facultatif) Pour Tags (Balises), ajoutez une ou plusieurs paires clé/valeur comme balises pour cette règle. Les balises peuvent vous aider à identifier et à organiser vos AWS ressources et à suivre vos AWS coûts. Pour de plus amples informations, veuillez consulter Marquer vos ressources Amazon CloudWatch .

  11. Sélectionnez Créer.

Pour créer une règle à partir de zéro

  1. Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/.

  2. Dans le volet de navigation, choisissez Logs, Contributor Insights.

  3. Choisissez Créer une règle.

  4. Pour Select log group(s) (Sélectionner le(s) groupe(s) de journaux), sélectionnez le ou les groupes de journaux que la règle doit surveiller. Vous pouvez sélectionner jusqu'à 20 groupes de journaux. Si vous êtes connecté à un compte de surveillance configuré pour l'observabilité CloudWatch entre comptes, vous pouvez sélectionner des groupes de journaux dans les comptes sources, et vous pouvez également définir une règle unique pour analyser les groupes de journaux dans différents comptes.

    1. (Facultatif) Pour sélectionner tous les groupes de journaux dont le nom commence par une chaîne spécifique, choisissez Select by prefix match (Sélectionner par correspondance du préfixe) dans la liste déroulante, puis saisissez le préfixe.

    Note

    Vous encourez des frais pour chaque événement de journal correspondant à votre règle. Si vous choisissez le Select by prefix match (Sélectionner par correspondance du préfixe) dans la liste déroulante, soyez attentif au nombre de groupes de journaux auxquels le préfixe peut correspondre. Si vous recherchez accidentellement plus de groupes de journaux que vous ne le souhaitez, des frais inattendus peuvent vous être facturés. Pour plus d'informations, consultez Amazon CloudWatch Pricing.

  5. Pour Rule type (Type de règle), choisissez Custom rule (Règle personnalisée).

  6. Pour le Format de journal, choisissez JSON ou CLF.

  7. Vous pouvez terminer la création de la règle à l'aide de l'Assistant ou en choisissant l'onglet Syntaxe et en spécifiant manuellement la syntaxe de la règle.

    Pour continuer à utiliser l'Assistant, procédez comme suit :

    1. Pour Contribution, Clé, entrez un type de contributeur sur lequel vous souhaitez créer un rapport. Le rapport affiche les valeurs top-N pour ce type de contributeur.

      Les entrées valides sont tout champ de journal qui a des valeurs. Exemples : requestId, sourceIPaddress et containerID.

      Pour obtenir des informations sur la recherche des noms de champs de journal pour les journaux d'un groupe de journaux spécifique, consultez la rubrique Recherche de champs de journal.

      Les clés supérieures à 1 Ko sont tronquées à 1 Ko.

    2. (Facultatif) Choisissez Add new key (Ajouter une nouvelle clé) pour ajouter d'autres clés. Vous pouvez inclure jusqu'à quatre clés dans une règle. Si vous entrez plusieurs clés, les contributeurs du rapport sont définis par des combinaisons de valeurs uniques des clés. Par exemple, si vous spécifiez trois clés, chaque combinaison unique de valeurs pour les trois clés est comptée comme un contributeur unique.

    3. (Facultatif) Si vous souhaitez ajouter un filtre qui réduit la portée de vos résultats, choisissez Add filter (Ajouter un filtre). Pour Match (Correspondance), saisissez nom du champ de journal que vous souhaitez filtrer. Pour Condition, choisissez un opérateur de comparaison et saisissez une valeur que vous souhaitez filtrer.

      Vous pouvez ajouter jusqu'à quatre filtres dans une règle. Plusieurs filtres sont joints par la logique AND, de sorte que seuls les événements de journal qui correspondent à tous ces filtres sont évalués.

      Note

      Les tableaux qui suivent des opérateurs de comparaison, tels que In, NotIn, ou StartsWith, peuvent inclure jusqu'à 10 valeurs de chaîne. Pour plus d'informations sur la syntaxe des règles de Contributor Insights, veuillez consulter Syntaxe des règles de Contributor Insights dans CloudWatch.

    4. Pour Aggregate on (Regrouper dans), choisissez Count (Nombre) ou Sum (Somme). Si vous choisissez Count (Nombre), le classement des contributeurs est basé sur le nombre d'occurrences. Si vous choisissez Sum (Somme), le classement est basé sur la somme agrégée des valeurs du champ que vous spécifiez pour Contribution, Value (Valeur).

  8. Pour entrer votre règle en tant qu'objet JSON au lieu d'utiliser l'assistant, procédez comme suit :

    1. Choisissez l'onglet Syntaxe.

    2. Dans Corps de la règle, entrez l'objet JSON de votre règle. Pour de plus amples informations sur la syntaxe des règles, veuillez consulter Syntaxe des règles de Contributor Insights dans CloudWatch.

  9. Choisissez Suivant.

  10. Pour Rule name (Nom de la règle), entrez un nom. Les caractères valides sont A-Z, a-z, 0-9, « - », « _ » et « . ».

  11. Indiquez si vous souhaitez créer la règle dans un état désactivé ou activé. Si vous choisissez de l'activer, la règle commence immédiatement à analyser vos données. Vous encourez des frais lorsque vous exécutez des règles activées. Pour en savoir plus, consultez Tarification Amazon CloudWatch.

    Contributor Insights analyse uniquement les nouveaux événements de journal après la création d'une règle. Une règle ne peut pas traiter les événements des journaux qui ont été précédemment traités par CloudWatch Logs.

  12. (Facultatif) Pour Tags (Balises), ajoutez une ou plusieurs paires clé/valeur comme balises pour cette règle. Les balises peuvent vous aider à identifier et à organiser vos AWS ressources et à suivre vos AWS coûts. Pour de plus amples informations, veuillez consulter Marquer vos ressources Amazon CloudWatch .

  13. Choisissez Suivant.

  14. Confirmez les paramètres que vous avez saisis, puis sélectionnez Create rule (Créer la règle).

Vous pouvez désactiver, activer ou supprimer les règles que vous avez créées.

Pour activer, désactiver ou supprimer une règle dans Contributor Insights

  1. Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/.

  2. Dans le volet de navigation, choisissez Logs, Contributor Insights.

  3. Dans la liste des règles, cochez la case en regard d'une règle unique.

    Les règles intégrées sont créées par AWS les services et ne peuvent pas être modifiées, désactivées ou supprimées.

  4. Choisissez Actions, puis choisissez l'option souhaitée.

Recherche de champs de journal

Lorsque vous créez une règle, vous devez connaître les noms des champs dans les entrées de journal d'un groupe de journaux.

Pour rechercher les champs de journal dans un groupe de journaux

  1. Ouvrez la CloudWatch console à l'adresse https://console.aws.amazon.com/cloudwatch/.

  2. Dans le volet de navigation, sous Logs (Journaux), choisissez Insights.

  3. Sélectionnez un ou plusieurs groupes de journaux à interroger, au-dessus de l'éditeur de requête.

    Lorsque vous sélectionnez un groupe de CloudWatch journaux, Logs Insights détecte automatiquement les champs des données du groupe de journaux et les affiche dans le volet droit de la section Champs découverts.