使用AWS CloudWatch Insights分析一些日志文件,我可以使用以下方法在时间仓中汇总一个计数:
| stats count(*) by bin(1h)
这将产生一个图形,如预期的那样,汇总了每个时间段中的所有日志。
我想通过一个'group'字段将数据拆分为A和B值。
| stats count(*) by group, bin(1h)
这将按预期返回跨时间段的日志计数,但是可视化选项卡显示'无可视化。'我希望它返回一个时间序列图,其中包含A组的序列和B组的序列。
我在哪里出错,或者这根本不可能吗?
| stats count(*) by group, bin(1h)
但是,您可以使用解析来人为地创建新变量,如下所示:
parse "[E*]" as @error
| parse "[I*]" as @info
| parse "[W*]" as @warning
| filter ispresent(@warning) or ispresent(@error) or ispresent(@info)
| stats count(@error) as error, count(@info) as info, count(@warning) as warning by bin(15m)
这里,我试图查看日志类型随时间的分布。我有三种格式的日志消息:“ [错误]”,“ [信息]”和“ [警告]”