---
title: "CloudWatch Logs Insights"
type: concept
tags: [aws, observability, logging, analytics]
date: 2025-10-25
---

## Definition
CloudWatch Logs Insights，CloudWatch Logs 的结构化查询引擎，提供类 SQL 查询语言对日志进行实时分析、可视化和告警配置。

## Key Properties
- **查询语法**：`fields` + `filter` + `parse` + `sort` + `limit` 管道化组合
- **跨账户查询**：可在管理账户跨所有成员账户查询集中日志
- **结构化解析**：`parse` 命令支持正则表达式提取 JSON 嵌套字段（如 resource-type、status、logical-resource-id）
- **可视化**：查询结果可直接绑定 CloudWatch Dashboard 图表

## Example Query（StackSets 场景）
```
fields @timestamp, account, region
| parse @message /"resource-type":"(?<resource_type>[^"]+)"/
| parse @message /"status":"(?<status>[^"]+)"/"
| sort @timestamp desc
```
提取：时间戳、账户 ID、区域、资源类型、部署状态。

## Related Concepts
- [[CloudWatch Logs]]：Logs Insights 的数据来源
- [[可观测性]]：Logs Insights 是可观测性体系的核心查询层
- [[CloudFormation StackSets]]：典型查询对象为 StackSets 部署事件

## Source
[[AWS-CloudFormation-StackSets-多账户集中日志监控]]