本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 使用 CloudWatch Logs Insights 分析日誌資料 使用 CloudWatch Logs Insights,您可以在 Amazon CloudWatch Logs 中以互動方式搜尋和分析日誌資料。您可以執行查詢,協助您更有效率且有效地回應操作問題。除了使用日誌群組查詢之外,您還可以使用面向、資料來源和資料類型進行查詢。如果發生問題,您可以使用 CloudWatch Logs 來識別可能的原因並驗證已部署的修正。每個帳戶僅限 100 個並行 CloudWatch Logs Insights QL,包括新增至儀表板的查詢。此外,您可以為 OpenSearch Service PPL 或 OpenSearch Service SQL 執行 15 個並行查詢。 CloudWatch Logs Insights 支援三種查詢語言,可用於查詢: + 專用 **Logs Insights 查詢語言 (Logs Insights QL)**,具有幾個簡單但強大的命令。 + **OpenSearch Service 管道處理語言 (PPL)**。OpenSearch PPL 可讓您使用一組以管道 (\$1) 分隔的命令來分析日誌。 使用 OpenSearch PPL,您可以使用一起輸送的命令來擷取、查詢和分析資料,讓您更輕鬆地了解和編寫複雜的查詢。語法可讓命令鏈結轉換和處理資料。使用 PPL,您可以篩選和彙總資料,並使用一組豐富的數學、字串、日期、條件式和其他函數進行分析。 + **OpenSearch Service 結構化查詢語言 (SQL)**。使用 OpenSearch SQL 查詢,您可以宣告方式分析日誌。您可以使用 SELECT、 FROM、WHERE、GROUP BY、HAVING 等命令,以及 SQL 中可用的各種其他命令和函數。您可以跨日誌群組執行 JOINs、使用子查詢關聯日誌之間的資料,並使用一組豐富的 JSON、數學、字串、條件式和其他 SQL 函數對日誌執行強大的分析。 當您使用 SQL 或 PPL 命令時,請務必在反引號中以特殊字元 (非字母和非數字) 括住欄位,以成功查詢它們。例如,將 `@message`、 `Operation.Export`和 括在反引號`Test::Field`中。您不需要在反引號中以純字母名稱括住欄位。 CloudWatch Logs Insights 提供下列功能,可與任何查詢語言搭配使用。 + 從 Amazon Route 53 AWS Lambda、 和 Amazon VPC 等服務 AWS CloudTrail自動[*探索日誌中的日誌欄位*](CWL_AnalyzeLogData-discoverable-fields.md),以及以 JSON 形式發出日誌事件的任何應用程式或自訂日誌。 AWS + 建立[*欄位索引*](CloudWatchLogs-Field-Indexing.md)以降低成本和加速結果,尤其是針對大量日誌群組或日誌事件的查詢。在建立日誌事件中常見欄位的欄位索引之後,您可以在查詢中使用它們。查詢會略過處理已知不包含索引欄位的日誌事件,並處理較少的資料。 **注意** `filterIndex` 命令僅適用於 Logs Insights QL。 + [*偵測和分析日誌事件中的模式*](CWL_AnalyzeLogData_Patterns.md)。模式是在您的日誌欄位之間重複出現的共用文字結構。當您檢視查詢的結果時,您可以選擇**模式**索引標籤,以查看 CloudWatch Logs 根據結果範例找到的模式。 + [*儲存查詢*](CWL_Insights-Saving-Queries.md)、查看您的查詢歷史記錄、重新執行已儲存的查詢,以及[搭配參數使用已儲存的查詢](CWL_Insights-Saving-Queries.md#CWL_Insights-Parameterized-Queries)。 + [*將查詢新增至儀表板*](CWL_ExportQueryResults.md)。 + [*使用 加密查詢結果 AWS Key Management Service*](CloudWatchLogs-Insights-Query-Encrypt.md)。 + [使用自然語言產生查詢](CloudWatchLogs-Insights-Query-Assist.md)可讓您使用自然語言來建立 CloudWatch Logs Insights 查詢。您可以詢問問題或描述您要尋找的資料,然後 AI 會根據您的提示產生查詢,並提供查詢運作方式的line-by-line說明。 + [使用面向來分組、篩選和互動探索您的日誌](CloudWatchLogs-Facets.md)。 只有在您使用 Logs Insights QL 時,才支援下列 CloudWatch Logs Insights 功能。 + [比較查詢](CWL_AnalyzeLogData_Compare.md),將日誌群組中的日誌事件與上一個時段的日誌事件進行比較。 **重要** CloudWatch Logs Insights 無法存取時間戳記早於日誌群組建立時間的日誌事件。 如果您登入的帳戶設定為 CloudWatch 跨帳戶觀察功能中的監控帳戶,則可以對連結至此監控帳戶之來源帳戶中的日誌群組執行 CloudWatch Logs Insights 查詢。您可以查詢位於不同帳戶中的多個日誌群組。如需詳細資訊,請參閱 [CloudWatch 跨帳戶觀察功能](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html)。 當您使用 Logs Insights QL 建立查詢時,您也可以使用自然語言來建立 CloudWatch Logs Insights 查詢。因此,請提出問題或描述您正在尋找的資料。此 AI 輔助功能會根據您的提示產生查詢,並逐行說明查詢的運作方式。如需詳細資訊,請參閱[使用自然語言來產生和更新 CloudWatch Logs Insights 查詢](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CloudWatchLogs-Insights-Query-Assist.html)。 使用任何支援的查詢語言的查詢,如果尚未完成,會在 60 分鐘後逾時。查詢結果提供七天。 無論查詢語言為何,CloudWatch Logs Insights 查詢都會根據查詢的資料量產生費用。如需詳細資訊,請參閱 [Amazon CloudWatch 定價](https://aws.amazon.com/cloudwatch/pricing/)。 您可以使用 CloudWatch Logs Insights 來搜尋在 2018 年 11 月 5 日或之後傳送至 CloudWatch Logs 的日誌資料。 **重要** 如果您的網路安全團隊不允許使用 web 通訊端,則您目前無法存取 CloudWatch 主控台的 CloudWatch Logs Insights 部分。您可以透過 API 來使用 CloudWatch Logs Insights 查詢功能。如需詳細資訊,請參閱《Amazon CloudWatch Logs API 參考》**中的 [StartQuery](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_StartQuery.html)。 **Topics** + [支援的查詢語言](CWL_AnalyzeLogData_Languages.md) + [使用自然語言來產生和更新 CloudWatch Logs Insights 查詢](CloudWatchLogs-Insights-Query-Assist.md) + [支援的日誌和探索的欄位](CWL_AnalyzeLogData-discoverable-fields.md) + [建立欄位索引以改善查詢效能並減少掃描磁碟區](CloudWatchLogs-Field-Indexing.md) + [使用面向來分組和探索日誌](CloudWatchLogs-Facets.md) + [模式分析](CWL_AnalyzeLogData_Patterns.md) + [儲存並重新執行 CloudWatch Logs Insights 查詢](CWL_Insights-Saving-Queries.md) + [將查詢新增到儀表板或匯出查詢結果](CWL_ExportQueryResults.md) + [檢視執行中的查詢或查詢歷史記錄](CloudWatchLogs-Insights-Query-History.md) + [使用 加密查詢結果 AWS Key Management Service](CloudWatchLogs-Insights-Query-Encrypt.md) + [從 CloudWatch Logs Insights 查詢結果產生自然語言摘要](CloudWatchLogs-Insights-Query-Results-Summary.md)