dedup - CloudWatch Amazon-Protokolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

dedup

Verwenden Sie dedup, um doppelte Ergebnisse auf der Grundlage bestimmter Werte in von Ihnen angegebenen Feldern zu entfernen. Sie können dedup mit einem oder mehreren Feldern verwenden. Wenn Sie ein Feld mit dedup angeben, wird für jeden eindeutigen Wert dieses Felds nur ein Protokollereignis zurückgegeben. Wenn Sie mehrere Felder angeben, wird für jede eindeutige Kombination von Werten für diese Felder ein Protokollereignis zurückgegeben.

Duplikate werden auf der Grundlage der Sortierreihenfolge verworfen, wobei nur das erste Ergebnis in der Sortierreihenfolge beibehalten wird. Wir empfehlen, Ihre Ergebnisse zu sortieren, bevor Sie den Befehl dedup dafür ausführen. Wenn die Ergebnisse nicht sortiert werden, bevor sie den Befehl dedup durchlaufen, wird die absteigende Standard-Sortierreihenfolge mit @timestamp verwendet.

Nullwerte werden bei der Auswertung nicht als Duplikate betrachtet. Protokollereignisse mit Nullwerten für eines der angegebenen Felder werden beibehalten. Um Felder mit Nullwerten zu eliminieren, verwenden Sie filter mit der Funktion isPresent(field).

Der einzige Abfragebefehl, den Sie in einer Abfrage nach dem Befehl dedup verwenden können, ist limit.

Beispiel: Nur das letzte Protokollereignis für jeden eindeutigen Wert des Felds mit dem Namen server anzeigen

Das folgende Beispiel zeigt die Felder timestamp, server, severity und message nur für das letzte Ereignis für jeden eindeutigen Wert von server an.

fields @timestamp, server, severity, message | sort @timestamp desc | dedup server

Weitere Beispiele für CloudWatch Logs Insights-Abfragen finden Sie unterAllgemeine Abfragen.