教程：运行和修改示例查询

打开 CloudWatch 控制台，网址为https://console.aws.amazon.com/cloudwatch/。

在导航窗格中，选择 Logs（日志），然后选择 Logs Insights（日志洞察）。

在 Logs Insights（日志洞察）页面，查询编辑器包含一个默认查询，它将返回 20 个最近的日志事件。

在 Select log group(s)（选择日志组）在下拉菜单中，选择要查询的一个或多个日志组。

如果这是 CloudWatch 跨账户可观察性的监控账户，则可以在源账户和监控账户中选择日志组。单个查询可以同时查询来自不同账户的日志。

您可以按日志组名称、账户 ID 或账户标签筛选日志组。

当您选择标准日志类中的日志组时， CloudWatch Logs Insights 会自动检测该组中的数据字段。要查看这些搜索到的字段，请选择页面右上方的 Fields（字段）菜单。

（可选）使用时间间隔选择器选择要查询的时间段。

您可以选择 5 到 30 分钟的间隔；1、3 和 12 小时间隔；或者自定义时间范围。

选择 Run（运行）以查看结果。

在本教程中，结果包括 20 个最近添加的日志事件。

CloudWatch 日志显示一段时间内日志组中日志事件的条形图。该条形图显示日志组中与查询和时间范围匹配的事件分布情况，而不仅仅是表中显示的事件。

要查看返回的日志事件的所有字段，请选择编号事件左侧的三角形下拉图标。

在查询编辑器中，将 20 更改为 50，然后选择 Run（运行）。

显示新查询的结果。假设在默认时间范围内日志组中有足够的数据，则现在将列出 50 个日志事件。

（可选）您可以保存已创建的查询。要保存此查询，请选择 Save（保存）。有关更多信息，请参阅 保存并重新运行 Logs Insig CloudWatch hts 查询。

确定要筛选的字段。要查看过去 15 分钟内 Log CloudWatch s 在所选日志组中包含的日志事件中检测到的最常见字段，以及每个字段出现在这些日志事件中的百分比，请选择页面右侧的字段。

要查看特定日志事件中包含的字段，请选择该行左侧的图标。

该awsRegion字段可能会出现在您的日志事件中，具体取决于您的日志中包含哪些事件。在本教程的其余部分中，我们将awsRegion用作筛选字段，但如果该字段不可用，则可以使用其他字段。

在查询编辑器框中，将光标放在 50 之后，然后按 Enter。

在新行上，首先输入 |（竖线字符）和一个空格。L CloudWatch ogs Insights 查询中的命令必须用竖线字符分隔。

输入 filter awsRegion="us-east-1"。

选择运行。

此查询再次运行，现在将显示与新筛选器匹配的 50 个最新结果。

如果您筛选不同的字段并获得错误结果，则您可能需要对字段名称进行转义。如果字段名称包含非字母数字字符，则必须在字段名称前后放入反引号字符 (`)，例如 `error-code`="102"。

必须将反引号字符用于包含非字母数字字符的字段名称，但不能用于值。值始终包含在引号 (") 中。