在日志组上启用异常检测 - Amazon CloudWatch 日志
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在日志组上启用异常检测

使用以下步骤使用 CloudWatch 控制台创建日志异常检测器,用于扫描日志组中是否存在异常。

您也可以通过编程方式创建异常探测器。有关更多信息,请参阅CreateLogAnomalyDetector

创建日志异常检测器

  1. 打开 CloudWatch 控制台,网址为 https://console.aws.amazon.com/cloudwatch/

  2. 选择 “日志”、“记录异常”。

  3. 选择 “创建异常检测器”。

  4. 选择要为其创建此异常检测器的日志组。

  5. 异常探测器名称中输入探测器的名称

  6. (可选)将评估频率从默认的 5 分钟更改为其他值。根据日志组接收新日志的频率设置此值。例如,如果日志组每 10 分钟批量接收一次新的日志事件,则将评估频率设置为 15 分钟可能是合适的。

  7. (可选)要将异常检测器配置为仅在包含某些单词或字符串的日志事件中查找异常,请选择筛选模式。

    然后,在 “异常检测过滤器模式” 中输入一个模式。有关模式语法的更多信息,请参阅指标筛选条件、订阅筛选条件、筛选日志事件和 Live Tail 的筛选条件模式语法

    (可选)要测试您的过滤器模式,请在日志事件消息中输入一些日志消息,然后选择测试模式

  8. (可选)要将异常可见性周期更改为默认值或将 Amazon KMS 密钥与此异常检测器相关联,请选择高级配置。

    1. 要更改异常可见性周期的默认值,请在最长异常可见性周期(天)中输入一个新值。

    2. 要将 Amazon KMS 密钥与此异常检测器关联,请在 KMS 密钥 ARN 中输入 ARN。如果您分配了密钥,则该探测器发现的异常信息将使用该密钥进行静态加密。用户必须拥有此密钥的权限,也必须拥有异常检测器的权限,才能检索有关其发现的异常的信息。

      您还必须确保 CloudWatch 日志服务主体有权使用该密钥。有关更多信息,请参阅 使用对异常检测器及其结果进行加密 Amazon KMS

  9. 选择 “启用异常检测”。

    异常检测器已创建完毕,并根据日志组正在接收的日志事件开始训练其模型。大约 15 分钟后,异常检测处于活动状态,并开始发现和显示异常。