本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
故障排除與 CloudWatch 日誌活尾
CloudWatch Logs Live Tail 可透過檢視擷取新記錄事件的串流清單,協助您快速進行事件疑難排解。可以近乎即時地檢視、篩選和反白顯示擷取的日誌,協助您快速偵測並解決問題。可以根據指定的詞彙篩選日誌,並反白顯示包含指定詞彙的日誌,以協助您快速找到查詢內容。
Live Tail 工作階段會按工作階段使用時間 (每分鐘) 產生費用。如需有關定價的詳細資訊,請參閱 Amazon 定 CloudWatch 價
注意
只有標準記錄檔類別中的記錄群組才支援 Live Tail。如需記錄類別的詳細資訊,請參閱日誌類。
下列各節說明如何在主控台和中使用 Live Tail AWS CLI。您也可以以程式設計方式啟動 Live Tail 工作階段。如需詳細資訊,請參閱StartLiveTail。如需SDK範例,請參閱使用 AWS SDK.
「即時尾巴」功能適用於所有商業 AWS 區域。中國地區或 AWS GovCloud (美國) 地區不提供此服務。
使用開始即時尾巴工作階段 AWS CLI
此命start-live-tail AWS CLI 令會針對終端機中的一或多個記錄群組啟動 Live Tail 串流工作階段。即時尾巴工作階段最多可持續三個小時。如果每秒超過 500 個記錄事件符合篩選器,則顯示的記錄事件就是記錄事件總數的範例,以提供即時追蹤體驗。若要取得有關start-live-tail指令的更多資訊,請參閱 start-live-tail
您可以start-live-tail在兩種模式下使用:
僅列印 — 這是預設模式
互動
僅列印
在print-only模式中,記錄事件會在終端機上串流處理。每秒都會在底部添加新事件,從而創建類似於 Linux tail -f 上的近乎實時的拖尾體驗。
若要以僅列印模式啟動即時尾端工作階段,請輸入下列命令。
aws logs start-live-tail --log-group-identifiers arn:aws:logs:us-east-1:111111222222:log-group:my-logs
當您使用僅列印模式時,您也可以將其與其他 Linux 指令一起管線,以提高其分析能力。下列範例會使用error關鍵字篩選記錄事件,並列印這些事件的第二欄和第四欄,以協助您擷取特定資訊。
aws logs start-live-tail --log-group-identifiers arn:aws:logs:us-east-1:111111222222:log-group:my-logs--mode print-only | grep "error" | awk '{print $2, $4}'
互動
在interactive模式中,您可以反白字詞,並在和純文字之間JSON切換輸出記錄事件的格式。互動模式也會顯示 Live Tail 工作階段的相關資訊,例如工作階段持續時間、工作階段是否正在取樣,以及目前反白顯示的項目,以及遇到的次數。
若要以互動模式啟動即時尾端工作階段,請輸入下列命令。
aws logs start-live-tail --log-group-identifiers arn:aws:logs:us-east-1:111111222222:log-group:my-logs--mode interactive
即時尾巴工作階段開始。以下視訊顯示範例工作階段的一部分。
若要反白顯示串流記錄中的字詞,請按 h,然後輸入字詞。以下顯示該術語latency反白顯示後的畫面。
若要清除反白顯示的字詞,請按 c,然後鍵入代表您要停止反白顯示的字詞的數字。
您可以按 t 在JSON和純文字之間切換傳入事件的顯示格式。此切換功能是最大的努力,只有在記錄事件格式相容時才會發生。
您可以使用向上箭頭和向下箭頭鍵滾動,並使CTRL+d用CTRL+u和滾動更快。
下圖顯示「即時尾部」工作階段latency期間該詞彙的反白顯示。
在主控台中啟動即時尾端工作階段
您可以使用 CloudWatch 主控台來啟動即時尾端工作階段。下列程序說明如何使用左側導覽窗格中的 Live tail 選項來啟動 Live Tail 工作階段。您也可以從 [記錄群組] 頁面或 [ CloudWatch 記錄檔見解] 頁面啟動即時尾端工作階段。
如果您使用資料保護政策來遮罩透過 Live Tail 檢視之日誌群組中的敏感資料,則敏感資料在 Live Tail 工作階段中顯示為遮罩狀態。如需有關遮罩日誌群組敏感資料的詳細資訊,請參閱 使用遮罩功能協助保護敏感日誌資料。
重要
如果您的網路安全性團隊不允許使用網路通訊端,您目前無法存取 CloudWatch 主控台的 Live Tail 部分。您可以使用 CloudWatch 日誌見解;查詢功能搭配 AWS CLI 或APIs. 如需詳細資訊,請參閱使用開始即時尾巴工作階段 AWS CLI和網址 =」https://docs.aws.amazon.com/AmazonCloudWatchLogs/ 最新//APIReference_ .html ">。API StartLiveTail StartLiveTail
開始 Live Tail 工作階段
-
在開啟 CloudWatch 主控台https://console.aws.amazon.com/cloudwatch/
。 -
在導覽窗格中,選擇日誌,然後選擇 Live tail。
-
針對選取日誌群組,在 Live Tail 工作階段中,選取您要從中檢視事件的日誌群組。您最多可以選取 10 個日誌群組。
-
(選用) 如果您只選取一個日誌群組,則可以選取一個或多個日誌串流來檢視日誌事件,從而進一步篩選 Live Tail 工作階段。若要這樣做,請在選取日誌串流下,從下拉式清單中選取日誌串流的名稱。或者,您也可以使用選取日誌串流下的第二個方塊輸入日誌串流名稱字首,然後選取名稱與該字首相符的所有日誌串流。
-
(選用) 若要僅顯示包含特定字詞或其他字串的日誌事件,請在
Add filter patterns中輸入字詞或字串。例如,若僅顯示包含
Warning字詞的日誌事件,請輸入Warning。篩選條件欄位區分大小寫。可以在此欄位中包含多個詞彙和模式運算子。error 404僅顯示包含error和404的日誌事件?Error ?error顯示包含Error或error的日誌事件-INFO顯示不包含INFO的所有日誌事件{ $.eventType = "UpdateTrail" }顯示事件類型欄位值所在的所有JSON記錄事件UpdateTrail
您也可以使用規則表達式 (regex) 來篩選:
%ERROR%使用正則表達式顯示由ERROR關鍵字組成的所有日誌事件{ $.names = %Steve% }使用正則表達式來顯示 Steve 在屬性中的JSON日誌事件"name"[ w1 = %abc%, w2 ]使用 regex 顯示以空格分隔且第一個單詞為 abc 的日誌事件
如需有關模式語法的詳細資訊,請參閱篩選條件模式語法。
(選用) 若要反白顯示某些顯示的日誌事件,請輸入要搜尋的詞彙,並在 Live Tail 下反白顯示。一次輸入一個反白顯示詞彙。如果新增多個詞彙進行反白顯示,則會指派不同的顏色來代表每個詞彙。反白顯示指示器會顯示在任何包含指定詞彙的日誌事件的左側,當您展開主視窗中的日誌事件以檢視完整日誌事件時,也會出現在詞彙本身下方。
您可以使用篩選功能以及反白顯示來快速疑難排解問題。例如,您可以篩選事件以僅顯示包含
Error的事件,然後反白顯示包含404的事件。若要啟動工作階段,請選擇套用篩選條件
相符的日誌事件開始出現在視窗中。也會顯示下列資訊:
計時器會顯示 Live Tail 工作階段已啟用的時間長度。
事件數/秒會顯示每秒有多少個擷取的日誌事件與您設定的篩選條件相符。
為了避免工作階段捲動速度過快,因為許多事件符合篩選器, CloudWatch 記錄檔可能只會顯示一些相符的事件。如果發生這種情況,螢幕上顯示的相符事件百分比會以 % 的形式顯示。
若要暫停事件流程以調查目前顯示的內容,請按一下事件視窗中的任意位置。
在工作階段期間,您可以使用下列項目來查看有關每個日誌事件的詳細資訊。
若要在主視窗中顯示日誌事件的完整文字,請選擇該日誌事件旁邊的箭頭。
若要在側視窗中顯示日誌事件的完整文字,請選擇該日誌事件旁邊的 + 放大鏡。事件流程會暫停,並顯示側視窗。
在側視窗中顯示日誌事件文字非常有用,可比較其文字與主視窗中的其他事件。
若要停止 Live Tail 工作階段,請選擇停止。
若要重新啟動工作階段,可選擇使用篩選面板修改篩選條件,然後選擇套用篩選條件。然後選擇 Start (啟動)。
