1. Syslog Query
Cloudwatch Insight에서 Query하여 Log stream을 분석할 수 있습니다. 간단한 Query 구문을 분석해봅니다.
PARSE @message "* * * * *: *" as a, b, c, Hosts, Service, States
| fields concat(a, ' ', b, ' ', c) as Dates
| display Dates, Hosts, Service, States
| limit 5메세지 예시를 통해 Query를 가볍게 살펴보겠습니다.
Apr 13 16:19:14 STG systemd[2040]: Reached target Basic System.@message는 예시와 같습니다.
@message = Apr 13 16:19:14 STG systemd[2040]: Reached target Basic System.
@message 뒤에 오는 따옴표 사이의 값에 따라 Parsing 결과가 달라집니다. @message를 “* * * * *: *” 여섯 부분으로 나눠서 Parsing하였습니다.
{
a : Apr,
b : 13,
c : 16:19:14,
Hosts : STG,
Service: systemd[2040],
States : Reached target Basic System.
}
Concat은 문자열을 합칠 수 있습니다. a, b, c 문자 사이에 띄워쓰기 한칸을 포함하여 새로운 변수 Dates를 생성합니다.
Dates = Apr 13 16:19:14
결과로 보여줄 변수를 선택합니다. 선택한 순서대로 출력합니다.
추가로, Parsing에 사용한 변수도 사용할 수 있습니다.
PARSE @message "* * * * *: *" as a, b, c, Hosts, Service, States
| fields concat(a, ' ', b, ' ', c) as Dates
| display Dates, Hosts, Service, States
| limit 5
2. Syslog Query (Filter)
PARSE @message "* * * * *: *" as a, b, c, Hosts, Service, States
| fields concat(a, ' ', b, ' ', c) as Dates
| filter (States =~ /(?i)cannot/ or States =~ /(?i)fail/)
| display Dates, Hosts, Service, States
| limit 20Filter 구문을 활용하면, 필요한 레코드만 출력할 수 있습니다.
포함된 내용이 있으면, 해당하는 내용만 출력할 수 있습니다.
대소문자 구분을 하지 않습니다.
기본적으로, Query는 대소문자 구분을 합니다.
여러 조건 중 일치하는 조건 하나가 있는 경우 참으로 간주하여 해당하는 것만 출력합니다.