AWS Log Insights 字符串包含查询

在使用 AWS CloudWatch Logs Insights 进行日志分析时，经常需要查找包含特定文本的日志消息。本文将介绍多种有效的方法来实现字符串包含查询。

常用方法

1. 使用 LIKE 运算符（推荐）

fields @timestamp, @message
| filter @message like /user not found/
| sort @timestamp desc
| limit 20

LIKE 运算符使用正则表达式进行模式匹配，是最常用且性能较好的方法。

TIP

使用 LIKE 时，建议使用 /pattern/ 语法而不是引号，这样可以获得更好的性能。

2. 使用 strcontains() 函数

fields @timestamp, @message
| filter strcontains(@message, "User not found")
| sort @timestamp desc
| limit 20

strcontains() 函数接受两个参数：第一个是待搜索的字符串字段，第二个是要查找的文本。

WARNING

注意参数顺序：strcontains(源字符串, 搜索文本)，如果顺序颠倒会导致查询失败。

3. 使用正则表达式匹配

fields @timestamp, @message
| filter @message =~ /.*User not found.*/
| sort @timestamp desc
| limit 20

正则表达式提供了最灵活的匹配方式，可以处理复杂的模式匹配需求。

高级用法：解析结构化日志

对于格式化的日志，可以先解析字段再进行精确过滤：

fields @timestamp, @message
| parse @message "[*] * *" as @level, @severity, @info
| filter @severity = "INFO"
| sort @timestamp desc
| limit 20

这种方法对于结构化日志（如 JSON 格式或固定格式的文本日志）特别有效，可以提高查询性能和准确性。

AI 辅助查询生成

AWS 现在提供了 AI 辅助的查询生成功能：

1. 在 Log Insights 界面点击 "Query generator"
2. 用自然语言描述你的查询需求
3. 系统会自动生成相应的查询语句

这个功能特别适合不熟悉查询语法的用户快速构建复杂的查询。

性能优化建议

• 尽量使用 LIKE 而不是正则表达式，除非需要复杂的模式匹配
• 对于大量数据，先进行时间范围筛选再应用字符串过滤
• 考虑使用解析功能将常用字段提取出来，便于后续查询

总结

AWS Log Insights 提供了多种方式来实现字符串包含查询，其中最常用的是 LIKE 运算符和 strcontains() 函数。根据具体需求和日志格式选择合适的方法，可以显著提高查询效率和准确性。