Cloudwatch의 logs insights 쿼리 방법

사전지식

cloudwatch의 logs insights에서 사용하는 쿼리를 통해 필요한 정보를 확인할 수 있습니다.
이때 사용하는 쿼리 방법에 대해 안내합니다.

작업 환경

RDS에서 cloudwatch로 audit logs(감사 로그) 내보내기 설정

작업 방법

1. cloudwatch logs insights에서 아래와 같은 audit logs를 확인합니다.

1636533255425238,dw-live1,admin,172.31.13.155,7,144437641,QUERY,cfs2,'SELECT CMID , UMID , MSG_TYPE , IFNULL(REQUEST_TIME,0) REQUEST_TIME , IFNULL(SEND_TIME,0) SEND_TIME , RE_TYPE W bizg HERE W STATUS=1 AND SEND_TIME<DATE_SUB(DATE_SUB(NOW(), INTERVAL 60 MINUTE), INTERVAL IFNULL(TIMEOUT,180) SECOND) AND IFNULL(RE_PART,\'N\')=\'C\' LIMIT 1000',0

2. 위의 로그에서 3번째 항목인 사용자 계정만 확인하기 위해서 아래와 같은 쿼리가 가능합니다.

fields @message
| parse @message "*,*,*,*" as a, b, c, d
| stats count(*) by c

3. 쿼리를 통해 아래와 같은 결과물 확인이 가능합니다.
   

작업 결과

cloudwatch의 logs insights에서는 쿼리할 때 차이점이 존재합니다.
추가 특이사항으로는 시간에 대한 쿼리는 지원하지 않고 있으며, 콘솔 선택을 통해서만 가능합니다.
따라서 좀 더 수월하게 사용하시기 위해서는 로그를 s3로 보내고 athena를 사용하시는 것을 추천드립니다.