本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 CloudWatch Logs Insights 分析日誌資料
使用 CloudWatch Logs Insights,您可以在 Amazon CloudWatch Logs 中以互動方式搜尋和分析日誌資料。您可以執行查詢,協助您有效率地回應操作問題。如果發生問題,您可以使用 CloudWatch Logs 來識別可能的原因並驗證已部署的修正。
CloudWatch Logs Insights 支援三種查詢語言,可用於查詢:
專用 Logs Insights 查詢語言 (Logs Insights QL),具有幾個簡單但功能強大的命令。
(新) OpenSearch Service 管道處理語言 (PPL)。OpenSearch PPL 可讓您使用一組以管道 (|) 分隔的命令來分析日誌。
使用 OpenSearch PPL,您可以使用一起輸送的命令來擷取、查詢和分析資料,讓您更輕鬆地了解和編寫複雜的查詢。語法可讓命令鏈結轉換和處理資料。透過 PPL,您可以篩選和彙總資料,並使用一組豐富的數學、字串、日期、條件式和其他函數進行分析。
(新) OpenSearch Service 結構化查詢語言 (SQL)。使用 OpenSearch SQL 查詢,您可以宣告方式分析日誌。您可以使用命令,例如 SELECT、 FROM、WHERE、GROUP BY、HAVING,以及 SQL 中可用的各種其他命令和函數。您可以跨日誌群組執行 JOINs、使用子查詢關聯日誌之間的資料,並使用一組豐富的 JSON、數學、字串、條件式和其他 SQL 函數對日誌執行強大的分析。
重要
若要增強 CloudWatch Logs Insights 查詢的安全性,自 2025 年 7 月 31 日起,使用者必須使用 logs:StartQuery和 logs:GetQueryResults許可登入,才能在 CloudWatch 主控台中執行查詢。在此日期之後,沒有這兩個許可的使用者將無法在主控台中檢視查詢結果,而是會在嘗試在主控台中檢視查詢結果時看到橫幅訊息。
變更後,所需的主控台體驗許可將與 SDK 和使用 StartQuery 和 GetQueryResults APIs AWS CLI 的使用者目前的必要許可一致。
如需如何建立 IAM 政策或將許可新增至現有政策的詳細資訊,請參閱《IAM 使用者指南》中的使用客戶受管政策定義自訂 IAM 許可和編輯 IAM 政策。
CloudWatch Logs Insights 提供下列功能,可與任何查詢語言搭配使用。
從 Amazon Route 53 AWS Lambda AWS CloudTrail、 和 Amazon VPC 等 AWS 服務自動探索日誌中的日誌欄位,以及以 JSON 形式發出日誌事件的任何應用程式或自訂日誌。
建立欄位索引以降低成本和加速結果,特別是針對大量日誌群組或日誌事件的查詢。建立日誌事件中常見欄位的欄位索引後,您可以在查詢中使用它們。查詢會略過處理已知不包含索引欄位的日誌事件,並處理較少的資料。
注意
filterIndex命令僅適用於 Logs Insights QL。偵測和分析日誌事件中的模式。模式是在您的日誌欄位之間重複的共用文字結構。當您檢視查詢的結果時,您可以選擇模式索引標籤,以查看 CloudWatch Logs 根據結果範例找到的模式。
儲存查詢、查看您的查詢歷史記錄,以及重新執行已儲存的查詢。這麼做可幫助您在需要時執行複雜的查詢,而不需要在每次執行時都重新建立查詢。
只有在您使用 Logs Insights QL 時,才支援下列 CloudWatch Logs Insights 功能。
比較 查詢,將日誌群組中的日誌事件與上一個時段的日誌事件進行比較。
filterIndex 命令,強制查詢嘗試僅掃描包含您指定之欄位索引的日誌事件。
重要
CloudWatch Logs Insights 無法存取時間戳記早於日誌群組建立時間的日誌事件。
如果您登入的帳戶設定為 CloudWatch 跨帳戶觀察功能中的監控帳戶,則可以對連結至此監控帳戶之來源帳戶中的日誌群組執行 CloudWatch Logs Insights 查詢。您可以查詢位於不同帳戶中的多個日誌群組。如需詳細資訊,請參閱 CloudWatch 跨帳戶觀察功能。
當您使用 Logs Insights QL 建立查詢時,您也可以使用自然語言來建立 CloudWatch Logs Insights 查詢。因此,請提出問題或描述您正在尋找的資料。此 AI 輔助功能會根據您的提示產生查詢,並逐行說明查詢的運作方式。如需詳細資訊,請參閱使用自然語言來產生和更新 CloudWatch Logs Insights 查詢。
使用任何支援查詢語言的查詢,如果尚未完成,會在 60 分鐘後逾時。查詢結果可使用七天。
無論查詢語言為何,CloudWatch Logs Insights 查詢都會根據查詢的資料量產生費用。如需詳細資訊,請參閱 Amazon CloudWatch 定價
您可以使用 CloudWatch Logs Insights 來搜尋在 2018 年 11 月 5 日或之後傳送至 CloudWatch Logs 的日誌資料。
重要
如果您的網路安全團隊不允許使用 web 通訊端,則您目前無法存取 CloudWatch 主控台的 CloudWatch Logs Insights 部分。您可以透過 API 來使用 CloudWatch Logs Insights 查詢功能。如需詳細資訊,請參閱《Amazon CloudWatch Logs API 參考》中的 StartQuery。
目錄
