CloudWatchでログを抽出する

CloudWatchのログのインサイトでログを抽出した時のメモ。

対象のフィールドを指定

fields @timestamp, @message, @log

ログをソート

fields @timestamp, @message, @log
| sort @timestamp desc

文字列で絞り込み

fields @timestamp, @message, @log
| filter @message like /ERROR/

ログをパースしてフィールドして表示

fields @timestamp, @message, @log
| parse @message 'param1=*&' as param1

fields @timestamp, @message, @log
| parse @message "*\t*\t*\t*\t*" as datetime,statuscode,id,param1,param2

表示する項目を指定

fields @timestamp, @message, @log
| parse @message "*\t*\t*\t*\t*" as datetime,statuscode,id,param1,param2
| display datetime, statuscode