如何使用AWS CloudWatch Insight查询AWS CloudWatch日志？

Question

我有很多AWS Lambda日志，我需要查询这些日志以找到相关的日志流名称，

我在日志中记录一个特定的字符串，

我需要做一个类似的或精确的查询。

日志格式类似于-

Request ID => 572bf6d2-e3ff-45dc-bf7d-c9c858dd5ccd

我可以不使用UUID字符串-查询日志。

​

​

，但是如果我在查询中提到UUID，它将不会显示结果-

​

使用的查询-

fields @timestamp, @message
| filter @message like /Request ID =>/
| sort @timestamp desc
| limit 20

fields @timestamp, @message
| filter @message like /Request ID => 572bf6d2-e3ff-45dc-bf7d-c9c858dd5ccd/
| sort @timestamp desc
| limit 20

Answer 1

您是否尝试在第一个查询中添加消息字段上的附加筛选器以进一步缩小结果范围？

fields @timestamp, @message
| filter @message like /Request ID =>/
| filter @message like /572bf6d2-e3ff-45dc-bf7d-c9c858dd5ccd/
| sort @timestamp desc
| limit 20

或者，如果您的所有日志都采用相同的格式，则可以使用解析关键字拆分您的UUID字段，并使用以下内容在其上进行搜索

fields @timestamp, @message
| parse @message "* * Request ID => *" as datetime, someid, requestuuid
| filter uuid like /572bf6d2-e3ff-45dc-bf7d-c9c858dd5ccd/
| sort @timestamp desc
| limit 20

还可以尝试扩大查询右上角的相对时间范围，以防在尝试第一次查询后，正在寻找的请求超出了1小时的范围。

Answer 2

我建议使用like操作符，而不是使用两个in过滤器，如下所示。这样，您的代码就更短、更干净了。

​

fields @timestamp, @message
| filter @message in ["Request ID =>", "572bf6d2-e3ff-45dc-bf7d-c9c858dd5ccd"]
| sort @timestamp desc
| limit 20

​