在摄取期间转换日志 - Amazon CloudWatch 日志
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在摄取期间转换日志

通过日志转换和充实,在将所有日志摄入日志时,您可以将所有日志标准化为一致且上下文丰富的格式。 CloudWatch 您可以为常见 Amazon 服务(例如 Amazon WAF 和 Amazon Route 53)使用预先配置的模板为日志添加结构,也可以使用 Grok 等原生解析器构建自定义转换器。您还可以重命名现有属性并在日志中添加其他元数据,例如账户 ID 和区域。

日志转换有助于简化和缩短跨应用程序的日志查询,并有助于简化在日志上创建警报的过程。此功能通过VPC流日志、Route 53 和等主要 Amazon 日志源的 out-of-the-box转换模板为常见日志类型提供转换 Amazon RDS for PostgreSQL。您可以使用预先配置的转换模板或创建自定义转换器来满足您的需求。

日志转换可帮助您管理从各种来源发出的日志,这些日志的格式和属性名称差异很大。

创建转换器后,提取的日志事件将以标准格式转换和存储。您可以利用这些转换后的日志通过以下功能加快分析体验:

转换仅在日志摄取期间发生。您无法转换已经摄取的日志事件。变换是不可逆的。原始日志和转换后的日志都存储在具有相同保留策略的 CloudWatch 日志中。日志转换和丰富功能包含在现有的标准日志类摄取价格中。日志存储成本将基于转换后的日志大小,该大小可能会超过原始日志量。

除了转换为不同的格式外,您还可以使用其他上下文(例如帐户 ID、区域和关键字)来丰富日志。它们是从日志组名称和静态关键字中提取的。

日志转换可帮助您处理从各种来源发出的日志,这些日志的格式和属性名称差异很大。

只有标准日志类中的日志组支持日志转换和充实。

您可以为单个日志组创建转换器,也可以创建适用于您账户中所有或多个日志组的账户级转换器。如果日志组具有日志组级别的转换器,则该转换器将覆盖任何原本适用于该日志组的账户级转换器。使用控制台,您只能为单个日志组创建转换器。这些说明在本节中。有关创建账户级转换器的信息,请参阅。 PutAccountPolicy