CloudWatch Logs Insights のクエリ構文調査

公式ドキュメント
https://docs.aws.amazon.com/ja_jp/AmazonCloudWatch/latest/logs/CWL_QuerySyntax.html

CloudWatch Logs Insights は、ロググループに対するクエリの実行に使用できるクエリ言語をサポートしています。各クエリには、1 つ以上のクエリコマンドを Unix 形式のパイプ文字 (|) で区切って含めることができます。

実行したクエリは保存可能
クエリ実行されたデータ量毎に課金される

Cloud Watch Logs に送信されるログ毎に、以下の5つのフィールドが自動生成される

• @message
  生の未解析のログイベントが記録される。たぶん、生ログのこと。
• @timestamp
  生ログのtimestampフィールドに含まれるイベントタイムスタンプが記録される。
• @ingentionTime
  ログがCloud Watch Logsによって受信されて時間が記録される。
• @logstream
  ログイベントの追加先のストリームが記録される。
• @log
  ロググループの識別子。account-id:log-group-name で構成される識別子が割り振られる。

filter の使い方

基本的な使い方

// 文字列完全一致
filter カラム名 = '文字列'

// 文字列を含む
filter カラム名 like  '文字列'

// 文字列を含まない
filter カラム名 not like  '文字列'

// いずれかの文字列を含む
filter カラム名 like  '/文字列|文字列/'

// いずれかの文字列に一致する
filter カラム名 in ['文字列', '文字列']