AWS 日志关键字搜索技巧

公司一开始就上AWS，记录在AWS的搜索日志技巧

普通日志搜索

如果存在空格等字符串，不能直接输入带空格的，需要用双冒号括起来

"this is log key"

如果关键字存在斜杠或冒号，需要用来转义

"\"this is log key\""

JSON 日志搜索

存在JSON日志

{
  "eventType": "UpdateTrail",
  "sourceIPAddress": "111.111.111.111",
  "arrayKey": [
        "value",
        "another value"
  ],
  "objectList": [
       {
         "name": "a",
         "id": 1
       },
       {
         "name": "b",
         "id": 2
       }
  ],
  "SomeObject": null,
  "ThisFlag": true
}

• 根据某个普通key精准匹配

{ $.eventType = "UpdateTrail" }

• 根据某个普通key不等于某值匹配

{ $.sourceIPAddress != 123.123.* }

• 根据某个普通数组key精准匹配

{ $.arrayKey[0] = "value" }

• 根据某个对象数组的key精准匹配

{ $.objectList[1].id = 2 }

• 根据key为null匹配

{ $.SomeObject IS NULL }

• 根据key不存在匹配

{ $.SomeOtherObject NOT EXISTS }

• 根据布尔key匹配

{ $.ThisFlag IS TRUE }

• 组合条件

使用OR(||)和and(&&)将多个条件组合成一个复合表达式。允许使用圆括号，语法遵循标准操作顺序()> && > ||。

{ ($.eventType = "UpdateTrail") && ($.arrayKey[0] = "value") }

• 参考

Filter and Pattern Syntax