あまりサンプルがないように思えたのでメモとして残しておく
1000文字以上のメッセージを出力
fields @timestamp, @message, strlen(@message) as str_len
| sort str_len desc
| filter strlen(@message) > 1000
| limit 200
Lambdaの課金処理時間が1000ms以上のものを抽出
fields @timestamp, @message
| parse @message '*Billed Duration: * ms*' as m1, lambda_time, m3
| filter lambda_time > 1000
| limit 200