我正在尝试将一个临时字段的内容与 CloudWatch Logs Insights 中的另一个字段的内容进行比较。内容是“CompanyRequestID”,从日志流@message 中解析,以及lambda 报告中的@requestId。requestIds 只是像 1234-678-5476 这样的字符串
在“英语”中,我试图写:
过滤 IF 解析的临时字段 (CompanyRequestID) 的内容完全等于 @requestId 的内容
fields @message, @timestamp, @requestId, @billedDuration
| parse @message "XXXX=*, CompanyGeneratedRequestID=*, XXXX=*" as X1, CompanyRequestID, X2
| display CompanyRequestID, @requestId, @billedDuration
如您所见,这些字段在表格中没有对齐,因为它们来自不同的“类型”。
我想基本上(但我不知道如何):
| filter CompanyRequestID = @requestId
| stats sum(@billedDuration)
一旦我可以过滤匹配的 requestIds,我就可以对 billedduration 等进行求和
提前致谢!新手,正在苦苦挣扎!