Processamento em tempo real de dados de log com assinaturas

Você pode usar assinaturas para ter acesso a um feed em tempo real de eventos de log do CloudWatch Logs e entregá-lo a outros serviços, como um stream do Amazon Kinesis, um stream do Amazon Data Firehose, AWS Lambda ou para processamento, análise ou carregamento personalizados em outros sistemas. Quando os eventos de log são enviados ao serviço de recebimento, eles são codificados em base64 e compactados no formato gzip.

Para começar a assinar eventos de logs, crie o recurso de recebimento, como um fluxo do Kinesis Data Streams, ao qual os eventos serão entregues. Um filtro de assinatura define o padrão de filtro a ser usado para filtrar quais eventos de log são entregues ao seu AWS recurso, bem como informações sobre para onde enviar eventos de log correspondentes. Os eventos de registro são enviados para o recurso receptor logo após serem ingeridos, geralmente em menos de três minutos.

nota

Se um grupo de log com uma assinatura usa a transformação de log, o padrão de filtro é comparado às versões transformadas dos eventos de log. Para obter mais informações, consulte Transforme registros durante a ingestão.

Você pode criar assinaturas ao nível da conta e ao nível do grupo de logs. Cada conta pode ter um filtro de assinatura ao nível da conta. Cada grupo de logs pode ter até dois filtros de assinatura associados a ele.

nota

Se o serviço de destino retornar um erro que pode ser repetido, como uma exceção de limitação ou uma exceção de serviço que pode ser repetida (HTTP5xx, por exemplo), o CloudWatch Logs continuará tentando entregar novamente por até 24 horas. CloudWatch Os registros não tentarão ser entregues novamente se o erro for um erro que não possa ser repetido, como ou. AccessDeniedException ResourceNotFoundException Nesses casos, o filtro de assinatura é desativado por até 10 minutos e, em seguida, o CloudWatch Logs tenta enviar os registros novamente para o destino. Enquanto estão desabilitados, os logs são ignorados.

CloudWatch Os registros também produzem CloudWatch métricas sobre o encaminhamento de eventos de registro para assinaturas. Para obter mais informações, consulte Monitoramento com CloudWatch métricas.

Você também pode usar uma assinatura do CloudWatch Logs para transmitir dados de log quase em tempo real para um cluster do Amazon OpenSearch Service. Para obter mais informações, consulte Dados de CloudWatch registros de streaming para o Amazon OpenSearch Service.

Assinaturas só são compatíveis com grupos de logs da classe de logs Padrão. Para obter mais informações sobre classes de logs, consulte Classes de logs.

nota

Os filtros de assinatura podem registrar os eventos em log em lotes para otimizar a transmissão e reduzir a quantidade de chamadas feitas para o destino. O agrupamento em lotes não é garantido, mas é usado quando possível.

Sumário

Conceitos

Cada filtro de assinatura é composto dos seguintes elementos-chave:

padrão de filtro: Uma descrição simbólica de como CloudWatch os registros devem interpretar os dados em cada evento de registro, junto com expressões de filtragem que restringem o que é entregue ao AWS recurso de destino. Para obter mais informações sobre a sintaxe de padrões de filtros, consulte Sintaxe de padrões de filtros para filtros de métricas, filtros de assinatura, filtros de eventos de log e Live Tail..
arn de destino: O Amazon Resource Name (ARN) do stream do Kinesis Data Streams, do stream do Firehose ou da função Lambda que você deseja usar como destino do feed de assinatura.
arn de função: Uma IAM função que concede aos CloudWatch Logs as permissões necessárias para colocar dados no destino escolhido. Essa função não é necessária para destinos do Lambda porque CloudWatch os registros podem obter as permissões necessárias nas configurações de controle de acesso na própria função do Lambda.
distribuição: O método usado para distribuir dados de log ao destino, quando o destino é um fluxo do Amazon Kinesis Data Streams. Por padrão, os dados de log são agrupados por stream de log. Para obter uma distribuição uniforme, você pode agrupar os dados de log aleatoriamente.

Para assinaturas ao nível do grupo de logs, o seguinte elemento-chave também é incluído:

nome do grupo de logs: O grupo de logs ao qual associar o filtro de assinatura. Todos os eventos de log carregados para esse grupo de logs estariam sujeitos ao filtro de assinatura, e aqueles que correspondem ao filtro são entregues ao serviço de destino que está recebendo os eventos de log correspondentes.

Para assinaturas ao nível da conta, o seguinte elemento-chave também é incluído:

critérios de seleção

Os critérios usados para selecionar a quais grupos de log o filtro de assinatura ao nível da conta será aplicado. Se você não especificar isso, o filtro de assinatura ao nível da conta será aplicado a todos os grupos de logs da conta. Esse campo é usado para evitar loops de log infinitos. Para obter mais informações sobre o problema de loops de log infinitos, consulte Prevenção de repetição de logs.

Os critérios de seleção têm um limite de tamanho de 25 KB.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Excluir um filtro de métrica

Filtros de assinatura ao nível do grupo de logs