Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
dedup
Verwenden Sie dedup
, um doppelte Ergebnisse auf der Grundlage bestimmter Werte in von Ihnen angegebenen Feldern zu entfernen. Sie können dedup
mit einem oder mehreren Feldern verwenden. Wenn Sie ein Feld mit dedup
angeben, wird für jeden eindeutigen Wert dieses Felds nur ein Protokollereignis zurückgegeben. Wenn Sie mehrere Felder angeben, wird für jede eindeutige Kombination von Werten für diese Felder ein Protokollereignis zurückgegeben.
Duplikate werden auf der Grundlage der Sortierreihenfolge verworfen, wobei nur das erste Ergebnis in der Sortierreihenfolge beibehalten wird. Wir empfehlen, Ihre Ergebnisse zu sortieren, bevor Sie den Befehl dedup
dafür ausführen. Wenn die Ergebnisse nicht sortiert werden, bevor sie den Befehl dedup
durchlaufen, wird die absteigende Standard-Sortierreihenfolge mit @timestamp
verwendet.
Nullwerte werden bei der Auswertung nicht als Duplikate betrachtet. Protokollereignisse mit Nullwerten für eines der angegebenen Felder werden beibehalten. Um Felder mit Nullwerten zu eliminieren, verwenden Sie filter
mit der Funktion isPresent(field)
.
Der einzige Abfragebefehl, den Sie in einer Abfrage nach dem Befehl dedup
verwenden können, ist limit
.
Beispiel: Nur das letzte Protokollereignis für jeden eindeutigen Wert des Felds mit dem Namen server
anzeigen
Das folgende Beispiel zeigt die Felder timestamp
, server
, severity
und message
nur für das letzte Ereignis für jeden eindeutigen Wert von server
an.
fields @timestamp, server, severity, message | sort @timestamp desc | dedup server
Weitere Beispiele für CloudWatch Logs Insights-Abfragen finden Sie unterAllgemeine Abfragen.