有什么方法可以1)过滤和2)通过API或CLI从Cloudwatch中检索原始日志数据？我需要从Cloudwatch提取日志事件的子集进行分析。

我不需要创建指标或类似的指标。这是为了及时对特定事件进行历史研究。

我已经进入控制台中的日志查看器，但是我试图拉出特定的行以在某个时间左右告诉我一个故事。日志查看器几乎不可能用于此目的。如果我有实际的日志文件，则只需grep并在大约3秒钟内完成。但是我没有。

澄清

在Cloudwatch Logs的描述中，它说:“如果需要，您可以查看原始日志数据(仅在Web View 中？)以查看问题的根源。可以存储和访问日志数据(仅在Web View 中？)。只要您需要使用耐用性高，成本低的存储，就不必担心填充硬盘驱动器。” -斜体是我的

如果此控制台 View 是获取源数据的唯一方法，那么出于我的目的，通过Cloudwatch存储日志不是可接受的解决方案。我需要以足够的灵活性获取实际数据以搜索模式，而不是单击数十页的行并进行复制/粘贴。看来，获取源数据的更好方法可能不可用。

有关使用AWSCLI(简单的方法以及cwlogs插件的用法)，请参见http://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/SearchDataFilterPattern.html

有关模式语法(plain text，[space separated]和{JSON syntax}一样)，请参见:http://docs.aws.amazon.com/AmazonCloudWatch/latest/DeveloperGuide/FilterAndPatternSyntax.html

有关python命令行实用程序awslogs的信息，请参见https://github.com/jorgebastida/awslogs。

AWSCLI:AWS日志过滤器日志事件

AWSCLI是AWS服务的官方CLI，现在它也支持日志。

要显示帮助:

$ aws logs filter-log-events help

$ aws logs filter-log-events \
    --start-time 1447167000000 \
    --end-time 1447167600000 \
    --log-group-name /var/log/syslog \
    --filter-pattern ERROR \
    --output text

$ aws logs filter-log-events \
    --start-time `date -d 2015-11-10T14:50:00Z +%s`000 \
    --end-time `date -d 2015-11-10T15:00:00Z +%s`000 \
    --log-group-name /var/log/syslog \
    --filter-pattern ERROR \
    --output text| grep "^EVENTS"|cut -f 5

$ aws logs filter \
    --start-time 2015-11-10T14:50:00Z \
    --end-time 2015-11-10T15:00:00Z \
    --log-group-name /var/log/syslog \
    --filter-pattern ERROR

$ pip install awscli-cwlogs --upgrade \
--extra-index-url=http://aws-cloudwatch.s3-website-us-east-1.amazonaws.com/ \
--trusted-host aws-cloudwatch.s3-website-us-east-1.amazonaws.com
$ aws configure set plugins.cwlogs cwlogs

$ pip install awslogs

$ awslogs groups

$ awslogs streams /var/log/syslog

$ awslogs get --watch /var/log/syslog

$ awslogs get /var/log/syslog -s 2015-11-10T15:45:00 -e 2015-11-10T15:50:00