我正在按照这里的说明进行操作https://docs.aws.amazon.com/zh_cn/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html
但结果并不如我所期望的那样。
我当前的cloudwatch日志订阅过滤器模式如下:? "UNKNOWN_TOPIC_OR_PARTITION" ? " SEVERE " ? " severe " ? " FATAL " ? " fatal " - "closing session"
我想匹配任何带有" fatal "的模式,同时从结果中排除"closing session"。
然而,上述过滤器匹配了其他的日志输出:
在CloudWatch中无法使用事件过滤器...但您可以使用Logs Insights
CloudWatch -> CloudWatch Logs -> Logs Insights
或者
CloudWatch -> CloudWatch Logs -> 日志组 -> [您的服务日志] -> [Button Logs Insights]
Logs Insights
因此,在您的情况下,您可以在查询框中使用以下内容
fields @timestamp, @message
| sort @timestamp desc
| filter @message like /SEVERE|severe|FATAL|fatal|closing session/
现在点击运行查询,你将只看到符合筛选条件的日志。
尝试使用该筛选器设计模式:
[(w1="*UNKNOWN_TOPIC_OR_PARTITION*" || w1="*SEVERE*" || w1="*severe*" || w1="*FATAL*" || w1="*fatal*") && w1!="*closing session*"]
这一部分与所有的OR结合在一起,会导致你出现问题 - "closing session"。尝试将其移除并查看是否符合预期。
我不知道如何用单个过滤器获取您所需的语法,但为了获得相同的结果,您可以为要匹配的每个字符串创建一个单独的日志过滤器。在这种情况下,它们是:
"UNKNOWN_TOPIC_OR_PARTITION" - "closing session"" SEVERE " - "closing session"" severe " - "closing session"" FATAL " - "closing session"" fatal " - "closing session"现在您有了5个不同的指标。您可以使用指标数学来对它们进行求和,从而得到您需要的指标。请参阅此处以了解如何使用指标数学:
and @message not like /closing session/来排除包含该句子的日志。 - Iqbal S