问题标签 [amazon-cloudwatchlogs]

我发现根据关于公共子网的文档设置 Cloudwatch 的过程非常简单，当我开始使用私有子网中的端点重复该过程时，我无法使该过程正常工作。我相信通过使用 nc 和 traceroute 我可以看到客户端仍然尝试联系面向 ip 的互联网 -

BlockquoteConnectTimeout: HTTPSConnectionPool(host='logs.eu-west-2.amazonaws.com', port=443): 最大重试次数超过 url: / (由 ConnectTimeoutError(, 'Connection to logs.eu-west-2.amazonaws .com 超时。（连接超时=60）'））

我发现文件在配置上含糊不清，我相信我已经在私有子网上正确添加了路由以允许路由，并且我已经检查并修改了我的安全组以允许 HTTPS 流量输出 - 还有其他方法我应该对此进行检查和故障排除？

默认情况下，当我创建 Lambda 函数时，CloudWatch 日志组设置为永不过期。是否可以设置过期时间（比如 14 天），这样我就不必在创建后从控制台手动设置它？

更新#1

感谢@jens walter 的回答，这是如何解决问题的代码片段

我正在尝试为对我们的服务进行的 API 调用计费，这包括为每个 API 密钥使用情况创建指标，但在我开始之前，我想先了解 CloudWatch 日志的某个方面。

在第一张图片中，您会注意到图表上记录了 6 周和 30 天的 106 万次点击：

我对此的理解是，1.06m 是在此 API 上发生的点击量，“custom (6w)”是时间段，即超过 6 周的流量，“Period”是 30 天记录的间隔（即除以 30 天）- 我不能 100% 确定这一点。

现在，如果我将时间段更改为更长（即从 6 周到 3 个月），我预计会看到更多，如果不是相同数量的话。但事实并非如此，请看下一张图片：

我已经阅读了大量 AWS CloudWatch 文档，其中一些我在下面列出：

• 为您的实例启用或禁用详细监控
• 获取特定实例的统计信息
• Amazon API Gateway 指标和维度

实际上还有其他 5 篇文章（如果您愿意，我会将它们从我的历史中挖掘出来以供更多阅读）。

任何人都可以对此有所了解，我试图更好地理解a）如何阅读这些图表和b）使用CloudWatch满足我对高级日志记录的要求，如上所述。

谢谢

下图是我想要实现的。简而言之，将 CloudTrail 日志发送到 CloudWatch 日志组，然后对其进行扫描以查找某些事件，最后在发生协同事件时发送电子邮件警报。

我正在关注这个官方文档，其中也有一个示例 CloudFormation 模板：http ://docs.aws.amazon.com/awscloudtrail/latest/userguide/use-cloudformation-template-to-create-cloudwatch-alarms.html

使用上面的 CloudFormation 模板，我已经能够发送电子邮件警报。然而，警报是非常基本的；它不会发送关键信息，例如哪个用户发起了此事件、何时​​发生等。

逻辑思维AWS::Logs::MetricFilter应该传递值AWS::CloudWatch::Alarm，然后将信息发送到该值。我查看了两者的文档MetricFilter和Alarm服务。Dimension更接近我想要的，但还不能从日志中读取信息。

我原以为这是一个常见的用例，并且会有文档。我在这里错过了什么明显的东西吗？这里有人解决了这个问题吗？

AWS::Logs::MetricFilter堵塞：

AWS::CloudWatch::Alarm堵塞

我们正在使用awslogs将 Apache 组合格式的日志收集到Cloudwatch中。一切都很好，但是我们遇到了timestamp could not be parsed from message错误。

示例日志条目：

::ffff:10.0.0.1 - blahblah [17/Aug/2017:20:31:07 +0000] "GET /favicon-16x16.png HTTP/1.1" 304 - "http://blahblah:3000/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.90 Safari/537.36"

我们对这组日志文件的配置如下所示，包括我们的datetime_format条目：

[access_logs] log_group_name = cromwell log_stream_name = react-172.31.43.245-access file = /home/admin/aperian-react/log/*access.log datetime_format = "%d/%b/%Y:%H%M:%S %z" multi_line_start_pattern = ::ffff: time_zone = UTC encoding = ascii

如您所见，日期时间位于中线。这与大多数系统日志等示例不同。我们可以更改日志格式，但我们不希望这样做，因为它们也会流入其他系统。

我正在尝试在 CloudWatch 中设置自定义仪表板，但不了解“期间”如何影响我的数据的显示方式。

在 AWS 文档中找不到此变量的任何覆盖范围，因此我们将不胜感激！

我正在尝试在附加了 IAM 角色的 RedHat 实例上使用 CloudWatch 日志代理。该角色具有对 CloudWatch 的完全访问权限。我使用此处的说明安装并设置了代理：

http://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/QuickStartEC2Instance.html#running-ec2-step-2

即使 IAM 角色肯定附加到实例，我仍然在 /var/log/awslogs.log 中看到此消息：

NoCredentialsError：无法找到凭据

当我运行时aws configure list，我可以看到 IAM 角色的详细信息。

以下是 的内容/var/awslogs/etc/aws.conf。

那么为什么 CloudWatch 日志代理找不到和使用 IAM 角色呢？

我设置了一个 SNS 通知，以便在 IAM 政策发生变化时向我发送电子邮件。发生更改时，CloudTrail 会向 CloudWatch 发送日志，触发附加到 SNS 主题的警报。此链接中的更多详细信息。

这是我通过邮件收到的示例：

这里唯一相关的信息是AWS Account ID. 有没有办法也包括变化？谁制作的，何时何地？或者可能从 cloudwatch 日志中发送少量信息，例如"eventName"？

有没有办法跳转到 AWS CloudWatch 日志中的特定时间，而不是一次无休止地滚动 20 或 30 行？

我可以过滤到最后 X 小时/分钟/等。但这还不够细化。我还可以使用搜索功能过滤特定的日志行。但是在过滤到特定的日志行之后，我想查看该日志行（上下文）周围的行。如果我尝试删除过滤器，那么它会将我带回默认过滤器，这意味着我在日志中失去了我的位置，我必须再次返回滚动浏览大量日志行。

这是有关LogGroup通过 Cloud Formation 创建 Cloud Watch 的文档。他们说：

保留天数

日志事件在 CloudWatch Logs 中保留的天数。当日志事件过期时，CloudWatch Logs 会自动将其删除。有关有效值，请参阅 Amazon CloudWatch Logs API Reference 中的 PutRetentionPolicy。

要求：否

因此，如果我创建不带参数的 LogGroup，RetentionInDaysCloud Watch 会永远保留这些日志吗？或者RetentionInDays他们默认使用什么值？