对日志组启用异常检测 - Amazon CloudWatch 日志
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

对日志组启用异常检测

使用以下步骤使用 CloudWatch 控制台创建日志异常检测器,用于扫描日志组中是否存在异常。

您还可以以编程方式创建异常检测器。有关更多信息,请参阅 CreateLogAnomalyDetector

创建日志异常检测器

  1. 打开 CloudWatch 控制台,网址为https://console.aws.amazon.com/cloudwatch/

  2. 选择日志日志异常

  3. 选择创建异常检测器

  4. 选择要为其创建此异常检测器的日志组。

  5. 异常检测器名称中输入检测器的名称。

  6. (可选)将评估频率从默认 5 分钟更改为其他频率。根据日志组接收新日志的频率设置此值。例如,如果日志组每 10 分钟批量接收新的日志事件,则将评估频率设置为 15 分钟可能合适。

  7. (可选)要将异常检测器配置为仅在包含特定单词或字符串的日志事件中查找异常,请选择筛选模式

    然后,在异常检测筛选模式中输入模式。有关模式语法的更多信息,请参阅 指标筛选条件、订阅筛选条件、筛选日志事件和 Live Tail 的筛选条件模式语法

    (可选)要测试筛选模式,请在日志事件消息中输入一些日志消息,然后选择测试模式

  8. (可选)要更改默认异常可见性期限或将 Amazon KMS 密钥与此异常检测器关联,请选择高级配置

    1. 要更改默认异常可见性期限,请在最长异常可见性期限(天)中输入一个新值。

    2. 要将 Amazon KMS 密钥与此异常检测器关联,请在 KMS 密钥 ARN 中输入 ARN。如果您分配了一个密钥,则此检测器发现的异常信息将使用该密钥进行静态加密。用户必须拥有此密钥的权限以及异常检测器检索其发现的异常相关信息的权限。

      您还必须确保 CloudWatch 日志服务主体有权使用该密钥。有关更多信息,请参阅 使用对异常检测器及其结果进行加密 Amazon KMS

  9. 选择启用异常检测

    根据日志组正在提取的日志事件,将创建异常检测器并开始训练其模型。大约 15 分钟后,异常检测开始启动并开始查找和发现异常。