在中建立貢獻者見解規則 CloudWatch - Amazon CloudWatch

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在中建立貢獻者見解規則 CloudWatch

您可以建立規則來分析日誌資料。可以評估任何記錄JSON或一般記錄格式 (CLF)。這包括遵循以下其中一種格式的自訂記錄和記錄檔 AWS Amazon VPC 流程日誌、Amazon Route 53 DNS 查詢日誌、Amazon ECS 容器日誌和日誌等服務 AWS CloudTrail,Amazon SageMaker,AmazonRDS, AWS AppSync 和API閘道。

在規格中,當您指定欄位名稱或值時,所有的比對都區分大小寫。

您可以在建立規則時使用內建範例規則,或者也可以從頭開始建立您自己的規則。Contributor Insights 包含下列日誌類型的範例規則:

  • Amazon API 網關日誌

  • Amazon 路線 53 公共DNS查詢日誌

  • Amazon Route 53 Resolver 查詢日誌

  • CloudWatch 容器洞察日誌

  • VPC 流程日誌

如果您已登入設定為 CloudWatch 跨帳戶觀察性監視帳戶的帳戶,則除了在監視帳戶中為記錄群組建立規則之外,還可以為連結至此監視帳戶的來源帳戶中的記錄群組建立 Contributor Insights 規則。您也可以設定單一規則,來監控不同帳戶中的日誌群組。如需詳細資訊,請參閱CloudWatch 跨帳戶可觀測性

重要

當您授與使用者cloudwatch:PutInsightRule權限時,依預設,該使用者可以建立評估記錄檔中任何 CloudWatch 記錄群組的規則。您可以新增IAM原則條件,以限制使用者包含和排除特定記錄群組的這些權限。如需詳細資訊,請參閱使用條件索引鍵限制 Contributor Insights 使用者存取日誌群組

如何使用內建範例規則建立規則

  1. 在開啟 CloudWatch 主控台https://console.aws.amazon.com/cloudwatch/

  2. 在導覽窗格中,選擇 Insights (洞察),然後選擇 Contributor Insights

  3. 選擇建立規則

  4. Select log group(s) (選取日誌群組) 中,選取您要讓規則監控的日誌群組。您最多可以選取 20 個日誌群組。如果您已登入設定為 CloudWatch 跨帳戶觀察性的監視帳戶,則可以在來源帳戶中選取記錄群組,也可以設定單一規則來分析不同帳戶中的記錄群組。

    1. (選用) 若要選取名稱開頭為特定字串的所有日誌群組,請選擇 Select by prefix match (依字首相符選取) 下拉式清單,然後輸入字首。如果這是監控帳戶,您可以選擇選取要搜尋的帳戶,否則會選取所有帳戶。

    注意

    每個符合規則的日誌事件都會產生費用。如果選擇 Select by prefix match (依字首相符選取) 下拉式清單,請注意字首可能匹配到的日誌群組數量。如果您搜尋到的日誌群組比所需的多,則可能會產生非預期的費用。如需詳細資訊,請參閱 Amazon CloudWatch 定價

  5. Rule type (規則類型) 中,選擇 Sample rule (範例規則)。然後選擇 Select sample rule (選取範例規則) 並選取規則。

  6. 範例規則已填寫 Log format (日誌格式)、Contribution (貢獻)、Filters (篩選條件) 和 Aggregate on (彙整對象) 等欄位。您可以視需要調整這些值。

  7. 選擇 Next (下一步)

  8. Rule name (規則名稱) 中,輸入名稱。有效字元為 A-Z、a-z、0-9、(連字號)、(底線) 和 (句號)。

  9. 選擇是要以停用或啟用狀態建立規則。如果您選擇啟用,規則會立即開始分析您的資料。執行啟用的規則時會產生費用。如需詳細資訊,請參閱 Amazon CloudWatch 定價

    Contributor Insights 只會分析建立規則之後的新日誌事件。規則無法處理記錄檔先前由記 CloudWatch 錄檔處理的事件。

  10. (選用) 在 Tags (標籤) 中,新增一或多個鍵/值對,作為此值的標籤。標籤可以幫助您識別和組織您的 AWS 資源並追蹤您的 AWS 成本。如需詳細資訊,請參閱標記您的 Amazon CloudWatch 資源

  11. 選擇 Create (建立)。

如何從頭開始建立規則

  1. 在開啟 CloudWatch 主控台https://console.aws.amazon.com/cloudwatch/

  2. 在導覽窗格中,選擇 Contributor Insights

  3. 選擇建立規則

  4. Select log group(s) (選取日誌群組) 中,選取您要讓規則監控的日誌群組。您最多可以選取 20 個日誌群組。如果您已登入設定為 CloudWatch 跨帳戶觀察性的監視帳戶,則可以在來源帳戶中選取記錄群組,也可以設定單一規則來分析不同帳戶中的記錄群組。

    1. (選用) 若要選取名稱開頭為特定字串的所有日誌群組,請選擇 Select by prefix match (依字首相符選取) 下拉式清單,然後輸入字首。

    注意

    每個符合規則的日誌事件都會產生費用。如果選擇 Select by prefix match (依字首相符選取) 下拉式清單,請注意字首可能匹配到的日誌群組數量。如果您搜尋到的日誌群組比所需的多,則可能會產生非預期的費用。如需詳細資訊,請參閱 Amazon CloudWatch 定價

  5. Rule type (規則類型) 中,選擇 Custom rule (自訂規則)。

  6. 針對記錄格式,選擇JSONCLF

  7. 您可以使用精靈完成建立規則,或是透過選擇 Syntax (語法) 標籤並手動指定您的規則語法。

    如要繼續使用精靈,請執行以下作業:

    1. 針對 Contribution (貢獻)Key (索引鍵),輸入您希望報告的參與者類型。報告會針對此參與者類型顯示前 N 個值。

      有效的項目是任何包含值的日誌欄位。範例包括 requestIdsourceIPaddresscontainerID

      如需有關為特定日誌群組中的日誌尋找日誌欄位名稱的資訊,請參閱「尋找日誌欄位」。

      大於 1 KB 的索引鍵會截斷至 1KB。

    2. (選用) 選擇 Add new key (新增鍵),以新增更多鍵。您最多可以在規則中包含四個索引鍵。如果您輸入的索引鍵超過一個,報告中的參與者會由索引鍵的唯一值組合定義。例如,如果您指定了三個索引鍵,則三個索引鍵的每個唯一值組合都會計為唯一的參與者。

    3. (選用) 如果您想要新增篩選條件,來縮小結果範圍,請選擇 Add filter (新增篩選條件)。針對 Match (比對),輸入您希望據以篩選的日誌名稱。針對 Condition (條件),選擇比較運算子並輸入您希望為其進行篩選的值。

      您可以在規則中新增最多四個篩選條件。AND邏輯會結合多個篩選器,因此只會評估符合所有篩選器的記錄事件。

      注意

      遵循比較運算子的陣列 (例如 InNotInStartsWith) 最多可包含 10 個字串值。如需有關 Contributor Insights 規則語法的詳細資訊,請參閱 貢獻者見解規則語法 CloudWatch

    4. 針對 Aggregate on (彙整對象),選擇 Count (計數) 或 Sum (總和)。選擇 Count (計數) 會使參與者排名以發生次數為基礎。選擇 Sum (總和) 會使排名以您為 Contribution (貢獻)、Value (值) 所指定的欄位值彙整總和為基礎。

  8. 若要將規則輸入為JSON物件而非使用精靈,請執行下列動作:

    1. 選擇 Syntax (語法) 標籤。

    2. 規則主體中,輸入規則的JSON物件。如需規則語法的資訊,請參閱 貢獻者見解規則語法 CloudWatch

  9. 選擇 Next (下一步)

  10. Rule name (規則名稱) 中,輸入名稱。有效字元是 A‒Z、a‒z、0‒9、"-"、"_" 和 "."。

  11. 選擇是要以停用或啟用狀態建立規則。如果您選擇啟用,規則會立即開始分析您的資料。執行啟用的規則時會產生費用。如需詳細資訊,請參閱 Amazon CloudWatch 定價

    Contributor Insights 只會分析建立規則之後的新日誌事件。規則無法處理記錄檔先前由記 CloudWatch 錄檔處理的事件。

  12. (選用) 在 Tags (標籤) 中,新增一或多個鍵/值對,作為此值的標籤。標籤可以幫助您識別和組織您的 AWS 資源並追蹤您的 AWS 成本。如需詳細資訊,請參閱標記您的 Amazon CloudWatch 資源

  13. 選擇 Next (下一步)

  14. 確認您輸入的設定值,然後選擇 Create rule (建立規則)。

您可以停用、啟用或刪除您已建立的規則。

啟用、停用或刪除 Contributor Insights 中的規則

  1. 在開啟 CloudWatch 主控台https://console.aws.amazon.com/cloudwatch/

  2. 在導覽窗格中,選擇 Contributor Insights

  3. 在規則清單中,選取單一規則旁邊的核取方塊。

    內建規則由 AWS 服務,無法編輯、停用或刪除。

  4. 選擇 Actions (動作),然後選擇您希望的選項。

尋找日誌欄位

當您建立規則時,您需要了解日誌群組中日誌項目內的欄位名稱。

尋找日誌群組中的日誌欄位

  1. 在開啟 CloudWatch 主控台https://console.aws.amazon.com/cloudwatch/

  2. 在導覽窗格的 Logs (日誌) 下,選擇 Insights (深入分析)

  3. 在查詢編輯器上方,選取一或多個要查詢的日誌群組。

    當您選取記錄群組時, CloudWatch Logs Insights 會自動偵測記錄群組中資料的欄位,並將這些欄位顯示在 [探查] 欄位的右窗格中。