如何在python中使用boto3查询cloudwatch日志

Question

我有一个将指标写入 Cloudwatch 的 lambda 函数。在写入指标的同时，它会在日志组中生成一些日志。

INFO:: username: simran+test@abc.com ClinicID: 7667 nodename: MacBook-Pro-2.local

INFO:: username: simran+test2@abc.com ClinicID: 7667 nodename: MacBook-Pro-2.local

INFO:: username: simran+test@abc.com ClinicID: 7668 nodename: MacBook-Pro-2.local

INFO:: username: simran+test3@abc.com ClinicID: 7667 nodename: MacBook-Pro-2.local

我想查询过去 x 小时的 AWS 日志，其中 x 可能是 12 到 24 小时之间的任何时间，基于任何参数。

例如：

1. 查询 Cloudwatch 过去 5 小时内的日志，其中ClinicID=7667

或

1. 查询 Cloudwatch 过去 5 小时内的日志，其中 ClinicID=7667 和 username='simran+test@abc.com'

或

1. 查询 Cloudwatch 过去 5 小时内的日志，其中username='simran+test@abc.com'

我在 Python 中使用boto3。请问这个可以指点一下吗？

Answer 1

我使用了awslogs。如果你安装它，你可以做到。 --watch 将跟踪新日志。

awslogs get /aws/lambda/log-group-1 --start="5h ago" --watch

您可以使用安装它

pip install awslogs

过滤你可以这样做：

awslogs get /aws/lambda/log-group-1  --filter-pattern '"ClinicID=7667"' --start "5h ago" --timestamp

它也支持多种过滤模式。

awslogs get /aws/lambda/log-group-1  --filter-pattern '"ClinicID=7667"' --filter-pattern '" username=simran+test@abc.com"' --start "5h ago" --timestamp

参考资料：

awslogs

awslogs . PyPI

Answer 2

您可以通过cloudWatchlogs client 和一些编码来实现这一点。您还可以自定义条件或使用 JSON 模块以获得精确的结果。

编辑

您可以使用describe_log_streams 获取流。如果您只想要最新的，只需设置限制 1，或者如果您想要多个，使用 for 循环在过滤时迭代所有流，如下所述。

    import boto3

    client = boto3.client('logs')


    ## For the latest
    stream_response = client.describe_log_streams(
        logGroupName="/aws/lambda/lambdaFnName", # Can be dynamic
        orderBy='LastEventTime',                 # For the latest events
        limit=1                                  # the last latest event, if you just want one
        )

    latestlogStreamName = stream_response["logStreams"]["logStreamName"]


    response = client.get_log_events(
        logGroupName="/aws/lambda/lambdaFnName",
        logStreamName=latestlogStreamName,
        startTime=12345678,
        endTime=12345678,
    )

    for event in response["events"]:
        if event["message"]["ClinicID"] == "7667":
            print(event["message"])
        elif event["message"]["username"] == "simran+test@abc.com":
            print(event["message"])
        #.
        #.
        # more if or else conditions

    ## For more than one Streams, e.g. latest 5
    stream_response = client.describe_log_streams(
        logGroupName="/aws/lambda/lambdaFnName", # Can be dynamic
        orderBy='LastEventTime',                 # For the latest events
        limit=5                                  
        )

    for log_stream in stream_response["logStreams"]:
        latestlogStreamName = log_stream["logStreamName"]

        response = client.get_log_events(
             logGroupName="/aws/lambda/lambdaFnName",
             logStreamName=latestlogStreamName,
             startTime=12345678,
             endTime=12345678,
        )
        ## For example, you want to search "ClinicID=7667", can be dynamic

        for event in response["events"]:
           if event["message"]["ClinicID"] == "7667":
             print(event["message"])
           elif event["message"]["username"] == "simran+test@abc.com":
             print(event["message"])
           #.
           #.
           # more if or else conditions

告诉我进展如何。

Answer 3

您可以使用 CloudWatch Logs Insights 获得所需的内容。

您将使用 start_query 和 get_query_results API：https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/logs.html

要开始您将使用的查询（对于您问题中的用例 2，1 和 3 相似）：

import boto3
from datetime import datetime, timedelta
import time

client = boto3.client('logs')

query = "fields @timestamp, @message | parse @message \"username: * ClinicID: * nodename: *\" as username, ClinicID, nodename | filter ClinicID = 7667 and username='simran+test@abc.com'"  

log_group = '/aws/lambda/NAME_OF_YOUR_LAMBDA_FUNCTION'

start_query_response = client.start_query(
    logGroupName=log_group,
    startTime=int((datetime.today() - timedelta(hours=5)).timestamp()),
    endTime=int(datetime.now().timestamp()),
    queryString=query,
)

query_id = start_query_response['queryId']

response = None

while response == None or response['status'] == 'Running':
    print('Waiting for query to complete ...')
    time.sleep(1)
    response = client.get_query_results(
        queryId=query_id
    )

响应将包含您的这种格式的数据（加上一些元数据）：

{
  'results': [
    [
      {
        'field': '@timestamp',
        'value': '2019-12-09 17:07:24.428'
      },
      {
        'field': '@message',
        'value': 'username: simran+test@abc.com ClinicID: 7667 nodename: MacBook-Pro-2.local\n'
      },
      {
        'field': 'username',
        'value': 'simran+test@abc.com'
      },
      {
        'field': 'ClinicID',
        'value': '7667'
      },
      {
        'field': 'nodename',
        'value': 'MacBook-Pro-2.local\n'
      }
    ]
  ]
}