CloudWatchのログのインサイトで部分一致検索をする方法についてのメモ
部分一致検索の方法
- filterコマンドを使用し、検索対象のフィールドを指定します(通常は
@message) - like演算子を使用し検索したいワードを指定
- 検索ワードをスラッシュ(/)またはクオテーション("")で囲む
実行例
例えば、"error"という単語を含むログを検索する場合は以下のようになります。
fields @timestamp, @message
| filter @message like /error/
| sort @timestamp desc
| limit 1000
このクエリは大文字小文字を区別しないため"ERROR"や"Error"なども検索結果に含まれます
複数ワードでの部分一致検索
複数のワードを組み合わせて検索する場合はANDやOR演算子を使用する。
fields @timestamp, @message
| filter @message like /error_1/ AND @message like /error_2/
| sort @timestamp desc
| limit 1000