标签: aws-cloudwatch-log-insights

我正在尝试对不太新的AWS Cloudwatch Log Insights执行非常简单的查询

我正在关注他们的文档，以使用ispresent功能过滤日志。

查询如下：

fields @timestamp, status
| filter ispresent(status) != 0

但这给我一个错误（超级无益We are having trouble understanding the query）

如何通过仅显示带有status字段的日志来过滤日志？

使用AWS CloudWatch Insights分析一些日志文件后，我可以使用以下方式绘制时间仓中汇总的计数：

| stats count(*) by bin(1h)

如预期的那样，这将产生一个图表，汇总每个时间段中的所有日志。

我想通过一个值是A和B的“组”字段来拆分此数据。

| stats count(*) by group, bin(1h)

这将按预期返回跨时间段的日志计数，但是可视化选项卡显示“无可用可视化”。我想返回一个时间序列图，其中A组为一个系列，B组为一个系列。

我在哪里出错，或者这根本不可能？

是否可以使用 aws 云监视日志见解在与正则表达式匹配的消息之前显示 n 条消息。我必须在多个日志事件中放置一个过滤器。日志消息序列示例：

<time> INFO Fetching data for apple.
<time> INFO Fetching data for mango.
<time> INFO Fetching data for orange.
<time> ERROR error message. 
<time> INFO Fetching data for banana.
<time> ERROR error message. 
<time> INFO Fetching data for jackfruit.
<time> INFO Fetching data for figs.

假设我有 log group /aws/lambda/backend，它跟踪我的 Python lambda 函数的日志。我想调试常见问题，例如异常和超时，并查找相关日志条目。

但该函数并发流量很大，因此日志组中有很多日志流。如何在不访问每个单独的日志流并执行搜索的情况下查找所有日志中的日志条目？

我正在尝试使用 cloudwatch Insights 解析以下日志。

2021.10.25 19:56:20:459 UTC | Info       | HTTP | GOOGLE_cf95a06b-b5fa-4f70-bc18-28fc30dfd9cc

    Tx [http] 200.61.132.110:80 -> 200.61.132.89:31812 StatusCode=200

洞察查询：

fields @timestamp, @message
| filter @message like "StatusCode="
| parse @message "* | * | * | *" as aa, bb, cc, dd
| display dd

我明白了：

GOOGLE_cf95a66b-b5fa-4f70-bc10-28fc30fdd9cc Tx [http] 200.61.132.110:80 -> 200.61.132.89:31812 StatusCode=200

如何解析单个项目示例“GOOGLE_cf95a66b-b5fa-4f70-bc10-28fc30fdd9cc”和“StatusCode=200”

非常感谢任何指点？

如何使用 AWS Cloudwatch Log Insights 的替换功能？

该文档没有给出工作示例。

给定包含路径的日志，例如/api/lumberjack/123/axe/456/fashion

我在尝试：

fields message
| parse message "path=* " as path
| fields replace(path, /[0123456789]+/, 'ID') as uniqpath
| stats count(*) by uniqpath

我期望的结果如下：

uniqpath | count
/api/lumberjack/ID/axe/ID/fashion | 12
/api/lumberjack/ID/beardedness | 44

但它却抱怨“无效的参数，收到：（路径）但预期：（str：字符串，searchValue：字符串，replaceValue：字符串）”