Nachschlagen - CloudWatch Amazon-Protokolle
Nachschlagetabellen erstellen und verwaltenAbfragesyntax für die Suche

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Nachschlagen

Wird verwendetlookup, um Ihre Abfrageergebnisse mit Referenzdaten aus einer Nachschlagetabelle anzureichern. Eine Nachschlagetabelle enthält CSV-Daten, die Sie in Amazon CloudWatch Logs hochladen. Wenn eine Abfrage ausgeführt wird, gleicht der lookup Befehl ein Feld in Ihren Protokollereignissen mit einem Feld in der Nachschlagetabelle ab und fügt die angegebenen Ausgabefelder an die Ergebnisse an.

Verwenden Sie Nachschlagetabellen für Szenarien zur Datenanreicherung, z. B. für die Zuordnung von Benutzer- und Benutzerdetails, von Produktcodes zu Produktinformationen oder von Fehlercodes zu Fehlerbeschreibungen. IDs

Nachschlagetabellen erstellen und verwalten

Bevor Sie den lookup Befehl in einer Abfrage verwenden können, müssen Sie eine Nachschlagetabelle erstellen. Sie können Nachschlagetabellen über die CloudWatch Konsole oder mithilfe der Amazon CloudWatch Logs-API erstellen und verwalten.

Um eine Nachschlagetabelle (Konsole) zu erstellen

  1. Öffnen Sie die CloudWatch Konsole unter https://console.aws.amazon.com/cloudwatch/.

  2. Wählen Sie im Navigationsbereich Einstellungen und dann die Registerkarte Protokolle aus.

  3. Scrollen Sie zu „Nachschlagetabellen“ und wählen Sie „Verwalten“.

  4. Wählen Sie Nachschlagetabelle erstellen aus.

  5. Geben Sie einen Namen für die Nachschlagetabelle ein. Der Name darf nur alphanumerische Zeichen, Bindestriche und Unterstriche enthalten.

  6. (Optional) Geben Sie eine Beschreibung ein.

  7. Laden Sie eine CSV-Datei hoch. Die Datei muss eine Kopfzeile mit Spaltennamen enthalten, die UTF-8-Kodierung verwenden und darf 10 MB nicht überschreiten.

  8. (Optional) Geben Sie einen AWS KMS Schlüssel zum Verschlüsseln der Tabellendaten an.

  9. Wählen Sie Erstellen aus.

Nachdem Sie eine Nachschlagetabelle erstellt haben, können Sie sie im CloudWatch Logs Insights-Abfrage-Editor anzeigen. Wählen Sie die Registerkarte Nachschlagetabellen, um die verfügbaren Tabellen und ihre Felder zu durchsuchen.

Um eine Nachschlagetabelle zu aktualisieren, wählen Sie die Tabelle aus und klicken Sie auf Aktionen, Aktualisieren. Laden Sie eine neue CSV-Datei hoch, um den gesamten vorhandenen Inhalt zu ersetzen. Um eine Nachschlagetabelle zu löschen, wählen Sie Aktionen, Löschen.

Anmerkung

Sie können bis zu 100 Nachschlagetabellen pro Konto pro Konto erstellen AWS-Region. CSV-Dateien können bis zu 10 MB groß sein. Sie können Nachschlagetabellen auch mithilfe der Amazon CloudWatch Logs-API verwalten. Weitere Informationen finden Sie CreateLookupTablein der Amazon CloudWatch Logs API-Referenz.

Abfragesyntax für die Suche

Befehlsstruktur

Im Folgenden wird das Format dieses Befehls veranschaulicht.

lookup table lookup-field as log-field [,...] output-mode output-field[,...]

Der Befehl verwendet die folgenden Argumente:

  • table— Der Name der zu verwendenden Nachschlagetabelle.

  • lookup-field— Das Feld in der Nachschlagetabelle, mit dem ein Abgleich durchgeführt werden soll.

  • log-field— Das Feld in Ihren Protokollereignissen, das zugeordnet werden soll. Die Übereinstimmung ist exakt und es wird zwischen Groß- und Kleinschreibung unterschieden.

  • output-mode— Geben Sie OUTPUT an, ob die Ausgabefelder zu den Ergebnissen hinzugefügt werden sollen. Wenn ein Feld mit demselben Namen bereits im Protokollereignis vorhanden ist, wird es überschrieben.

  • output-field— Ein oder mehrere Felder aus der Nachschlagetabelle, die den Ergebnissen hinzugefügt werden sollen.

Beispiel: Reichern Sie Protokollereignisse mit Benutzerdetails an

Angenommen, Sie haben eine Protokollgruppe mit Ereignissen, die ein id Feld enthalten, und eine Nachschlagetabelle user_data mit den Spalten idname,email, unddepartment. Die folgende Abfrage bereichert jedes Protokollereignis mit dem Namen, der E-Mail-Adresse und der Abteilung des Benutzers aus der Nachschlagetabelle.

fields action, status, name, email, department
| lookup user_data id OUTPUT name, email, department
Beispiel: Verwenden Sie Lookup mit Aggregation

Sie können Lookup-Ausgabefelder mit Aggregationsfunktionen verwenden. Die folgende Abfrage reichert Protokollereignisse mit Benutzerdetails an und zählt dann die Ereignisse, gruppiert nach E-Mail-Adresse.

fields user_id, action, username, email, department
| lookup user_data user_id OUTPUT username, email, department
| stats count(*) by email
Beispiel: Verwenden Sie die Suche mit Filter

Sie können Ergebnisse auf der Grundlage von Feldern filtern, die bei der Suche zurückgegeben wurden. Mit der folgenden Abfrage werden Protokollereignisse erweitert und anschließend gefiltert, sodass nur Ereignisse aus einer bestimmten Abteilung angezeigt werden.

fields user_id, action
| lookup user_data user_id OUTPUT username, email, department
| filter department = "Engineering"