使用 “日志见解” 分析 CloudWatch 日志数据

一种专门构建的 Logs Insights 查询语言 (Logs Insights QL)，包含一些简单但功能强大的命令。

OpenSearch 服务管道处理语言 (PPL)。 OpenSearch PPL 允许您使用一组由竖线 (|) 分隔的命令来分析日志。

借 OpenSearch 助 PPL，您可以使用串接在一起的命令来检索、查询和分析数据，从而更容易理解和撰写复杂的查询。该语法使命令链能够转换和处理数据。使用 PPL，您可以对数据进行筛选和聚合，并使用一组丰富的数学、字符串、日期、条件和其他函数进行分析。

OpenSearch 服务结构化查询语言 (SQL)。使用 OpenSearch SQL 查询，您可以以声明方式分析日志。您可以使用 SELECT、FROM、WHERE、GROUP BY、HAVING 等命令，以及 SQL 中提供的各种其他命令和函数。您可以 JOINs 跨日志组执行，使用子查询关联日志中的数据，并使用丰富的 JSON、数学、字符串、条件和其他 SQL 函数对日志进行强大的分析。

使用 SQL 或 PPL 命令时，请务必用反引号将包含特殊字符（非字母和非数字）的字段括起来，才能成功查询。例如，对 @message、Operation.Export 和 Test::Field 使用反引号。纯字母名称的字段无需使用反引号。

自动发现 Amazon Route 53、 Amazon Lambda Amazon CloudTrail、和 Amazon VPC 等 Amazon 服务的日志中的日志字段，以及任何以 JSON 形式发送日志事件的应用程序或自定义日志。

创建字段索引可以降低成本并加快查询速度，尤其适用于处理大量日志组或日志事件的查询。在为日志事件中常见的字段创建字段索引后，即可在查询中使用这些索引。查询会跳过处理已知不包含索引字段的日志事件，并处理较少的数据。

检测和分析日志事件中的模式。模式是在日志字段中重复出现的共有的文本结构。查看查询结果时，可以选择 “模式” 选项卡，查看 CloudWatch Logs 根据结果样本找到的模式。

保存查询、查看查询历史记录并重新运行已保存的查询。这可以帮助您在需要时运行复杂的查询，而无需每次要运行它们时都重新创建它们。

向控制面板添加查询。

使用加密查询结果。 Amazon Key Management Service

使用自然语言@@ 生成查询允许您使用自然语言创建 Logs Ins CloudWatch ights 查询。您可以询问或描述您要查找的数据，然后 AI 会根据您的提示生成查询，并 line-by-line解释查询的工作原理。

使用分面对日志进行分组、筛选和交互式浏览。

查询不频繁访问日志类中的日志。

比较查询，将日志组中的日志事件与先前时间段的日志事件进行比较。