本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
SOURCE
SOURCE在使用 Amazon CLI 或 API 创建查询时,在查询中包含是指定要包含在查询中的日志组 and/or 数据源的有用方法。只有 Amazon CLI 和 API 支持该SOURCE命令, CloudWatch 控制台不支持该命令。使用 CloudWatch控制台启动查询时,您可以使用控制台界面来指定日志组。
查询日志组
要使用 SOURCE 指定要查询的日志组,可以使用以下关键字:
-
namePrefix会针对名称以您指定的字符串开头的日志组运行查询。如果省略它,则会查询所有日志组。列表中最多可以包含五个前缀。
-
accountIdentifiers对指定 Amazon 账户中的日志组运行查询。仅当您在监控账户中运行查询时,这才有效。如果省略此项,则默认为查询所有关联的源账户和当前的监控账户。有关跨账户可观察性的更多信息,请参阅CloudWatch 跨账户可观察性。列表中最多可以包含 20 个账户标识符。
-
logGroupClass会针对指定日志类(标准或不频繁访问)中的日志组运行查询。如果省略此项,则默认使用标准日志类。有关日志类的更多信息,请参阅 日志类。
由于您可以通过这种方式指定大量日志组进行查询,因此我们建议您仅在利用已创建的字段索引的查询中使用 SOURCE。有关为日志组中的字段编制索引的更多信息,请参阅创建字段索引以提高查询性能并减少扫描量
以下示例选择了账户中的所有日志组。如果这是一个监控账户,则会选择监控账户及其所有源账户中的所有日志组。如果日志组总数超过 10,000 个,则会显示一条错误消息,提示您使用其他日志组选择方法来减少日志组的数量。
SOURCE logGroups()
以下示例选择了 111122223333 源账户中的日志组。如果您在 CloudWatch 跨账户可观察性的监控账户中启动查询,则默认情况下会选择所有源账户和监控账户中的日志组。
SOURCE logGroups(accountIdentifiers:['111122223333'])
下一个示例根据名称前缀选择日志组。
SOURCE logGroups(namePrefix: ['namePrefix1', 'namePrefix2'])
以下示例选择了不频繁访问日志类中的所有日志组。如果不包含 class 标识符,则默认情况下,查询仅适用于标准日志类中的日志组。
SOURCE logGroups(class: ['INFREQUENT_ACCESS'])
下一个示例选择 111122223333 账户中以特定名称前缀开头且属于标准日志类的日志组。命令中未提及日志类,因为“标准”是默认的日志类值。
SOURCE logGroups(accountIdentifiers:['111122223333'], namePrefix: ['namePrefix1', 'namePrefix2']
最后一个示例显示了如何在SOURCE命令中使用该start-query Amazon CLI 命令。
aws logs start-query --region us-east-1 --start-time 1729728200 --end-time 1729728215 --query-string "SOURCE logGroups(namePrefix: ['Query']) | fields @message | limit 5"
查询数据来源
SOURCE要用于指定要查询的数据源,可以使用dataSource关键字。列表中最多可以包含十个数据源。
以下示例选择amazon_vpc.flow数据源。
SOURCE dataSource(['amazon_vpc.flow'])
以下示例选择amazon_vpc.flow数据源并根据日志组名称前缀限制日志组。
SOURCE dataSource(['amazon_vpc.flow']) logGroups(namePrefix: ['namePrefix1'])