CloudWatch 记录见解 strcontains 不起作用
CloudWatch logs insights strcontains not working
我有一个 CloudWatch 日志组,其中所有日志都是 JSON 看起来像
的对象
{
"job-name": "bb0e964b-a7f8-41e3-b1fc-8de4306c0b84",
"event-name": "PERSIST_LAMBDA_INVOKED",
"log-message": "Persistence lambda invoked for line 238."
}
我正在尝试获取 event-name 为 "HUMAN_TASK_FAILED"
的所有消息
请注意 event-name 是一个已发现的字段。
但是,以下查询 return 没有任何匹配项
fields @timestamp, @message, strcontains(event-name, "HUMAN_TASK_FAILED") as found
| filter found = 1
我也试过运行下面的查询来调试,
fields @timestamp, @message, strcontains(event-name, "HUMAN_TASK_FAILED") as found
但 found 列始终为空白(即使 event-name 为 "HUMAN_TASK_FAILED")
两个查询都可以。问题与字段格式有关。
CloudWatch Logs Insights 似乎不能很好地处理包含连字符(“-”)的字段。我已经测试了通过 event_name、运行 查询更改日志事件事件名称并且它工作正常。
我有一个 CloudWatch 日志组,其中所有日志都是 JSON 看起来像
的对象{
"job-name": "bb0e964b-a7f8-41e3-b1fc-8de4306c0b84",
"event-name": "PERSIST_LAMBDA_INVOKED",
"log-message": "Persistence lambda invoked for line 238."
}
我正在尝试获取 event-name 为 "HUMAN_TASK_FAILED"
请注意 event-name 是一个已发现的字段。
但是,以下查询 return 没有任何匹配项
fields @timestamp, @message, strcontains(event-name, "HUMAN_TASK_FAILED") as found
| filter found = 1
我也试过运行下面的查询来调试,
fields @timestamp, @message, strcontains(event-name, "HUMAN_TASK_FAILED") as found
但 found 列始终为空白(即使 event-name 为 "HUMAN_TASK_FAILED")
两个查询都可以。问题与字段格式有关。
CloudWatch Logs Insights 似乎不能很好地处理包含连字符(“-”)的字段。我已经测试了通过 event_name、运行 查询更改日志事件事件名称并且它工作正常。