CloudWatch Logs Insightの使い方

概要

CloudWatchLogsにはInsightというクエリを実行できるサービスがあります。
その使いかたをまとめていきます。

クエリ

filter

filterでkeyを指定してフィルタリングが可能です。or, andも使用できます。

field @message, @timestamp
| filter type = 'dog' or type = 'cat'

まとめてカウント

statsを使うことでカウントすることが可能です。

field @message, @timestamp
| stats count(*) as カウント名 by bin(5m)

sample query

mysql.audit.log0,1,2のmessageからexample_userの実行クエリを確認する。

fields @timestamp, @message
| filter @logStream like /^mysql\.audit\.log\.(0|1|2)$/
| filter @message like /example_user/
| sort @timestamp desc
| limit 20