.*?)/ | stats avg(latency2) by @method2,
@user2
```
**`loggingTime`, `loggingType` 및 `loggingMessage` 필드를 추출하고 `ERROR` 또는 `INFO` 문자열이 포함된 이벤트를 기록하도록 필터링한 다음 `ERROR` 문자열이 포함된 이벤트에 대해 `loggingMessage` 및 `loggingType` 필드만 표시합니다.**
```
FIELDS @message
| PARSE @message "* [*] *" as loggingTime, loggingType, loggingMessage
| FILTER loggingType IN ["ERROR", "INFO"]
| DISPLAY loggingMessage, loggingType = "ERROR" as isError
```
# sort
`sort`를 사용하여 지정된 필드에 로그 이벤트를 오름차순(`asc`) 또는 내림차순(`desc`)으로 표시합니다. 이를 `limit` 명령과 함께 사용하여 '상위 N개' 또는 '하위 N개' 쿼리를 생성할 수 있습니다.
이 정렬 알고리즘은 자연 정렬의 업데이트된 버전입니다. 오름차순으로 정렬하면 다음 로직이 사용됩니다.
+ 숫자가 아닌 모든 값은 모든 숫자 값 앞에 옵니다. *숫자 값*은 숫자와 다른 문자의 혼합이 아니라 숫자만 포함하는 값입니다.
+ 숫자가 아닌 값의 경우 알고리즘은 비교를 위해 연속된 숫자와 연속된 영문자를 별도의 청크로 그룹화합니다. 알고리즘은 숫자가 아닌 부분을 유니코드 값으로 정렬하고 숫자 부분은 먼저 길이로 정렬한 다음 숫자 값으로 정렬합니다.
유니코드 순서에 대한 자세한 내용은 [유니코드 문자 목록](https://en.wikipedia.org/wiki/List_of_Unicode_characters)을 참조하세요.
예를 들어, 다음은 오름차순 정렬 결과입니다.
```
!: >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> sorted by unicode order
#
*%04
0# >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> Alphanumeric starting with numbers
5A
111A >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> Starts with more digits than 5A, so it sorted to be later than 5A
2345_
@ >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 2345 is compared with @ in the unicode order,
@_
A >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> Values starting with letters
A9876fghj
a12345hfh
0 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> Number values
01
1
2
3
```
내림차순으로 정렬하면 정렬 결과가 반대가 됩니다.
예를 들어, Amazon VPC 흐름 로그에 대한 다음 쿼리는 호스트 전반의 상위 15개 패킷 전송을 찾습니다.
```
stats sum(packets) as packetsTransferred by srcAddr, dstAddr
| sort packetsTransferred desc
| limit 15
```
# 통계
`stats`를 사용하여 막대형 차트, 꺾은선형 차트, 누적 영역 차트와 같은 로그 데이터의 시각화를 생성합니다. 이를 통해 로그 데이터에서 패턴을 더 효율적으로 식별할 수 있습니다. CloudWatch Logs Insights는 `stats` 함수와 집계 함수를 하나 이상 사용하는 쿼리에 대한 시각화를 생성합니다.
예를 들어, Route 53 로그 그룹의 다음 쿼리는 시간당 Route 53 레코드의 분포를 쿼리 유형별로 보여주는 시각화를 반환합니다.
```
stats count(*) by queryType, bin(1h)
```
이러한 쿼리는 모두 막대 차트를 생성할 수 있습니다. 쿼리가 `bin()` 함수를 사용하여 필드별로 데이터를 그룹화하는 경우 선형 차트 및 누적 영역 차트도 볼 수 있습니다.
`bin` 함수에서는 다음과 같은 시간 단위 및 약어가 지원됩니다. 둘 이상의 문자를 포함하는 모든 단위 및 약어의 경우 s를 추가하여 복수화할 수 있습니다. 따라서 `hr` 및 `hrs` 모두 시간을 지정하는 데 사용됩니다.
+ `millisecond` `ms` `msec`
+ `second` `s` `sec`
+ `minute` `m` `min`
+ `hour` `h` `hr`
+ `day` `d`
+ `week` `w`
+ `month` `mo` `mon`
+ `quarter` `q` `qtr`
+ `year` `y` `yr`
**Topics**
+ [시계열 데이터 시각화](#CWL_Insights-Visualizing-TimeSeries)
+ [필드별로 그룹화된 로그 데이터 시각화](#CWL_Insights-Visualizing-ByFields)
+ [단일 쿼리에서 여러 통계 명령 사용](#CWL_QuerySyntax-stats-multi)
+ [통계와 함께 사용할 함수](#CWL_QuerySyntax-stats-functions)
## 시계열 데이터 시각화
시계열 시각화는 다음과 같은 특성을 가진 쿼리에 사용할 수 있습니다.
+ 쿼리에 집계 함수가 하나 이상 포함되어 있습니다. 자세한 정보는 [Aggregation Functions in the Stats Command](#CWL_Insights_Aggregation_Functions) 섹션을 참조하세요.
+ 쿼리가 `bin()` 함수를 사용하여 필드 하나를 기준으로 데이터를 그룹화합니다.
이러한 쿼리는 선형 차트, 누적 영역 차트, 막대 차트 및 파이 차트를 생성할 수 있습니다.
**예제**
전체 자습서는 [자습서: 시계열 시각화를 생성하는 쿼리 실행](CWL_AnalyzeLogData_VisualizationQuery.md) 섹션을 참조하세요.
다음은 시계열 시각화에 사용할 수 있는 예제 쿼리입니다.
다음 쿼리는 5분마다 생성된 데이터 포인트와 함께 `myfield1` 필드의 평균 값에 대한 시각화를 생성합니다. 각 데이터 포인트는 이전 5분 동안 생성된 로그의 `myfield1` 값 평균을 집계한 것입니다.
```
stats avg(myfield1) by bin(5m)
```
다음 쿼리는 5분마다 생성된 데이터 포인트와 함께 여러 필드를 기준으로 세 값의 시각화를 생성합니다. 쿼리가 집계 함수를 포함하고 있고 그룹화 필드로 `bin()`을 사용하기 때문에 시각화가 생성됩니다.
```
stats avg(myfield1), min(myfield2), max(myfield3) by bin(5m)
```
**선형 차트 및 누적 영역 차트 제한 사항**
로그 항목 정보를 집계하지만 `bin()` 함수를 사용하지 않는 쿼리는 막대 차트를 생성할 수 있습니다. 그러나 이러한 쿼리는 선형 차트 또는 누적 영역 차트를 생성할 수 없습니다. 이러한 쿼리 유형에 대한 자세한 내용은 [필드별로 그룹화된 로그 데이터 시각화](#CWL_Insights-Visualizing-ByFields)을 참조하세요.
## 필드별로 그룹화된 로그 데이터 시각화
`stats` 함수와 하나 이상의 집계 함수를 사용하는 쿼리에 대해 막대 차트를 생성할 수 있습니다. 자세한 정보는 [Aggregation Functions in the Stats Command](#CWL_Insights_Aggregation_Functions) 섹션을 참조하세요.
시각화를 보려면 쿼리를 실행합니다. 그런 다음 **시각화** 탭을 선택하고 **줄** 옆의 화살표를 선택한 다음, **막대**를 선택합니다. 막대 차트에서는 시각화가 최대 100개 막대로 제한됩니다.
**예제**
전체 자습서는 [자습서: 로그 필드로 그룹화된 시각화를 생성하는 쿼리 실행](CWL_AnalyzeLogData_VisualizationFieldQuery.md) 섹션을 참조하세요. 다음 단락에는 필드별 시각화에 대한 더 많은 예제 쿼리가 포함되어 있습니다.
다음 VPC 흐름 로그 쿼리는 각 대상 주소에 대해 세션당 전송된 평균 바이트의 수를 찾습니다.
```
stats avg(bytes) by dstAddr
```
각 결과 값에 대해 둘 이상의 막대가 포함된 차트를 생성할 수도 있습니다. 예를 들어, 다음 VPC 흐름 로그 쿼리는 각 대상 주소에 대해 세션당 전송된 평균 및 최대 바이트의 수를 찾습니다.
```
stats avg(bytes), max(bytes) by dstAddr
```
다음 쿼리는 각 쿼리 유형에 대해 Amazon Route 53 쿼리 로그의 수를 찾습니다.
```
stats count(*) by queryType
```
## 단일 쿼리에서 여러 통계 명령 사용
단일 쿼리에 최대 두 개의 `stats` 명령을 사용할 수 있습니다. 이렇게 하면 첫 번째 집계의 출력에 대해 추가 집계를 수행할 수 있습니다.
**예: 두 개의 `stats` 명령을 사용한 쿼리**
예를 들어, 다음 쿼리는 먼저 5분 빈(bin)의 총 트래픽 볼륨을 찾아낸 다음 해당 5분 빈 중 최고, 최저, 평균 트래픽 볼륨을 계산합니다.
```
FIELDS strlen(@message) AS message_length
| STATS sum(message_length)/1024/1024 as logs_mb BY bin(5m)
| STATS max(logs_mb) AS peak_ingest_mb,
min(logs_mb) AS min_ingest_mb,
avg(logs_mb) AS avg_ingest_mb
```
**예: 여러 통계 명령을 다른 함수(`filter`, `fields`, `bin`)와 결합**
단일 쿼리에서 두 개의 `stats` 명령을 다른 명령(`filter` 및 `fields`)과 결합할 수 있습니다. 예를 들어, 다음 쿼리는 세션에서 고유한 IP 주소의 수 및 클라이언트 플랫폼별 세션의 수를 찾고, 해당 IP 주소를 필터링한 다음, 마지막으로 클라이언트 플랫폼별 평균 세션 요청을 찾습니다.
```
STATS count_distinct(client_ip) AS session_ips,
count(*) AS requests BY session_id, client_platform
| FILTER session_ips > 1
| STATS count(*) AS multiple_ip_sessions,
sum(requests) / count(*) AS avg_session_requests BY client_platform
```
여러 `stats` 명령을 사용하여 쿼리에서 `bin` 및 `dateceil` 함수를 사용할 수 있습니다. 예를 들어, 다음 쿼리는 먼저 메시지를 5분 블록으로 결합한 다음 5분 블록을 10분 블록으로 집계하고 각 10분 블록 내의 최고, 최저 및 평균 트래픽 볼륨을 계산합니다.
```
FIELDS strlen(@message) AS message_length
| STATS sum(message_length) / 1024 / 1024 AS logs_mb BY BIN(5m) as @t
| STATS max(logs_mb) AS peak_ingest_mb,
min(logs_mb) AS min_ingest_mb,
avg(logs_mb) AS avg_ingest_mb BY dateceil(@t, 10m)
```
**참고 및 제한 사항**
쿼리당 최대 두 개의 `stats` 명령을 사용할 수 있습니다. 이 할당량은 변경할 수 없습니다.
`sort` 또는 `limit` 명령을 사용하는 경우 이 명령은 두 번째 `stats` 명령 뒤에 나타나야 합니다. 두 번째 `stats` 명령 앞에 있는 경우 쿼리는 유효하지 않습니다.
쿼리에 두 개의 `stats` 명령이 있는 경우 첫 번째 `stats` 집계가 완료될 때까지 쿼리의 일부 결과가 표시되지 않습니다.
단일 쿼리의 두 번째 `stats` 명령에서는 첫 번째 `stats` 명령에 정의된 필드만 참조할 수 있습니다. 예를 들어, 첫 번째 `stats` 집계 후에는 `@message` 필드를 사용할 수 없으므로 다음 쿼리는 유효하지 않습니다.
```
FIELDS @message
| STATS SUM(Fault) by Operation
# You can only reference `SUM(Fault)` or Operation at this point
| STATS MAX(strlen(@message)) AS MaxMessageSize # Invalid reference to @message
```
첫 번째 `stats` 명령 이후에 참조하는 모든 필드는 첫 번째 `stats` 명령에서 정의해야 합니다.
```
STATS sum(x) as sum_x by y, z
| STATS max(sum_x) as max_x by z
# You can only reference `max(sum_x)`, max_x or z at this point
```
**중요**
`bin` 함수는 항상 `@timestamp` 필드를 묵시적으로 사용합니다. 즉, 첫 번째 `stats` 명령을 사용하여 `timestamp` 필드를 전파하지 않으면 두 번째 `stats` 명령에서 `bin` 함수를 사용할 수 없습니다. 예를 들어, 다음 쿼리는 유효하지 않습니다.
```
FIELDS strlen(@message) AS message_length
| STATS sum(message_length) AS ingested_bytes BY @logStream
| STATS avg(ingested_bytes) BY bin(5m) # Invalid reference to @timestamp field
```
대신 첫 번째 `stats` 명령에서 `@timestamp` 필드를 정의하면 다음 예제와 같이 두 번째 `stats` 명령에서 `dateceil`과 함께 필드를 사용할 수 있습니다.
```
FIELDS strlen(@message) AS message_length
| STATS sum(message_length) AS ingested_bytes, max(@timestamp) as @t BY @logStream
| STATS avg(ingested_bytes) BY dateceil(@t, 5m)
```
## 통계와 함께 사용할 함수
CloudWatch Logs Insights는 통계 집계 함수와 통계 비집계 함수를 모두 지원합니다.
`stats` 명령에서 statsaggregation 함수를 사용하고 다른 함수의 인수로 사용합니다.
| 함수 | 결과 유형 | 설명 |
| --- | --- | --- |
| `avg(fieldName: NumericLogField)` | number | 지정된 필드의 값 평균. |
| `count()` `count(fieldName: LogField)` | number | 로그 이벤트를 계산합니다. `count()`(또는`count(*)`)는 쿼리에서 반환하는 이벤트 수를 모두 세고 `count(fieldName)`은 지정한 필드 이름이 포함된 레코드 수를 모두 계산합니다. |
| `count_distinct(fieldName: LogField)` | number | 필드에 대해 고유한 값의 수를 반환합니다. 필드의 카디널리티가 매우 높은 경우(고유한 값이 많이 포함되어 있음) `count_distinct`가 반환하는 값은 근사치입니다. |
| `max(fieldName: LogField)` | LogFieldValue | 쿼리된 로그에서 이 로그 필드에 대한 최댓값입니다. |
| `min(fieldName: LogField)` | LogFieldValue | 쿼리된 로그에서 이 로그 필드에 대한 최솟값입니다. |
| `pct(fieldName: LogFieldValue, percent: number)` | LogFieldValue | 백분위수는 데이터세트에서 값의 상대적 위치를 나타냅니다. 예를 들어, `pct(@duration, 95)`는 `@duration`의 값 중 95퍼센트가 이 값보다 낮고 5퍼센트는 이 값보다 큰 `@duration` 값을 반환합니다. |
| `stddev(fieldName: NumericLogField)` | number | 지정된 필드의 값에 대한 표준 편차. |
| `sum(fieldName: NumericLogField)` | number | 지정된 필드의 값에 대한 합계. |
**통계 비집계 함수**
비집계 함수를 `stats` 명령에서 사용하고 다른 함수의 인수로 사용합니다.
| 함수 | 결과 유형 | 설명 |
| --- | --- | --- |
| `earliest(fieldName: LogField)` | LogField | 쿼리된 로그에서 가장 이른 타임스탬프가 있는 로그 이벤트에서 `fieldName`의 값을 반환합니다. |
| `latest(fieldName: LogField)` | LogField | 쿼리된 로그에서 최신 타임스탬프가 있는 로그 이벤트에서 `fieldName`의 값을 반환합니다. |
| `sortsFirst(fieldName: LogField)` | LogField | 쿼리된 로그에서 가장 빨리 정렬된 `fieldName`의 값을 반환합니다. |
| `sortsLast(fieldName: LogField)` | LogField | 쿼리된 로그에서 가장 늦게 정렬된 `fieldName`의 값을 반환합니다. |
# limit
`limit`을 사용하여 쿼리에서 반환할 로그 이벤트의 수를 지정할 수 있습니다. `limit`를 생략하면 쿼리는 최대 10,000개의 로그 이벤트를 결과로 반환합니다.
예를 들어, 다음 예제에서는 최신 로그 이벤트 25개만 반환합니다.
```
fields @timestamp, @message | sort @timestamp desc | limit 25
```
# dedup
`dedup`을 사용하여 지정한 필드의 특정 값을 기준으로 중복 결과를 제거합니다. 하나 이상의 필드와 함께 `dedup`을 사용할 수 있습니다. `dedup`을 사용하여 하나의 필드를 지정하면 해당 필드의 각 고유 값에 대해 하나의 로그 이벤트만 반환됩니다. 여러 필드를 지정하면 해당 필드의 고유한 값 조합마다 하나의 로그 이벤트가 반환됩니다.
중복 항목은 정렬 순서에 따라 삭제되며 정렬 순서의 첫 번째 결과만 유지됩니다. `dedup` 명령을 실행하기 전에 결과를 정렬하는 것이 좋습니다. `dedup`을 실행하기 전에 결과가 정렬되지 않으면 `@timestamp`을 사용하는 기본 내림차순 정렬 순서가 사용됩니다.
Null 값은 평가를 위해 중복으로 간주되지 않습니다. 지정된 필드에 대해 null 값이 있는 로그 이벤트는 유지됩니다. Null 값이 있는 필드를 제거하려면 `isPresent(field)` 함수를 사용하여 **`filter`**을 사용합니다.
`dedup` 명령 이후 쿼리에서 사용할 수 있는 유일한 쿼리 명령은 `limit`입니다.
쿼리`dedup`에서를 사용하면 콘솔에 **Y 레코드 X 표시**와 같은 메시지가 표시됩니다. 여기서 X는 중복 제거된 결과 수이고 Y는 중복 제거 전에 일치하는 총 레코드 수입니다. 이는 중복 레코드가 제거되었음을 나타내며 데이터가 누락되었음을 의미하지 않습니다.
**예: 이름이 `server`인 필드의 각 고유 값에 대한 최신 로그 이벤트만 보기**
다음 예제에서는 `server`의 각 고유 값에 대해 최신 이벤트에 대한 `timestamp`, `server`, `severity` 및 `message` 필드를 표시합니다.
```
fields @timestamp, server, severity, message
| sort @timestamp desc
| dedup server
```
CloudWatch Logs Insights 쿼리의 더 많은 샘플은 [일반 쿼리](CWL_QuerySyntax-examples.md#CWL_QuerySyntax-examples-general) 섹션을 참조하세요.
# unmask
`unmask`를 사용하여 데이터 보호 정책으로 인해 일부 내용이 마스킹된 로그 이벤트의 모든 내용을 표시할 수 있습니다. 이 명령을 사용하려면 `logs:Unmask` 권한이 있어야 합니다.
로그 그룹의 데이터 보호에 대한 자세한 내용은 [마스킹 처리를 통해 민감한 로그 데이터를 보호하도록 지원](mask-sensitive-log-data.md) 섹션을 참조하세요.
# unnest
`unnest`를 사용하면 입력으로 가져온 목록을 평면화하여 목록의 각 요소에 대해 단일 레코드로 여러 레코드를 생성할 수 있습니다. 필드에 포함된 항목의 수에 따라 이 명령은 현재 레코드를 삭제하고 새 레코드를 생성합니다. 각 레코드에는 항목을 나타내는 `unnested_field`가 포함됩니다. 다른 모든 필드는 원본 레코드에서 가져옵니다.
`unnest`의 입력값은 `LIST`이며, 이는 `jsonParse` 함수에서 나옵니다. 자세한 내용은 [Structure types](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_QuerySyntax-operations-functions.html#CWL_QuerySyntax-structure-types)을 참조하세요. `MAP`, `String` 및 `numbers`와 같은 다른 모든 유형은 `unnest`에서 하나의 항목이 있는 목록으로 처리됩니다.
**명령 구조**
다음 예제는 이 명령의 형식을 설명합니다.
```
unnest field into unnested_field
```
**예제 쿼리**
다음 예제에서는 JSON 객체 문자열을 구문 분석하고 필드 이벤트 목록을 확장합니다.
```
fields jsonParse(@message) as json_message
| unnest json_message.events into event
| display event.name
```
이 예제 쿼리의 로그 이벤트는 다음과 같은 JSON 문자열일 수 있습니다.
```
{
"events": [
{
"name": "exception"
},
{
"name": "user action"
}
]
}
```
이 경우 샘플 쿼리는 쿼리 결과에서 두 개의 레코드를 생성합니다. 하나는 `event.name`을 `exception`로, 다른 하나는 `event.name`을 **사용자 작업**으로 생성합니다.
**예제 쿼리**
다음 예제에서는 목록을 평면화한 다음 항목을 필터링합니다.
```
fields jsonParse(@message) as js
| unnest js.accounts into account
| filter account.type = "internal"
```
**예제 쿼리**
다음 예제에서는 집계 목록을 평면화합니다.
```
fields jsonParse(trimmedData) as accounts
| unnest accounts into account
| stats sum(account.droppedSpans) as n by account.accountId
| sort n desc
| limit 10
```
# lookup
`lookup`를 사용하여 조회 테이블의 참조 데이터로 쿼리 결과를 보강합니다. 조회 테이블에는 Amazon CloudWatch Logs에 업로드하는 CSV 데이터가 포함되어 있습니다. 쿼리가 실행되면 `lookup` 명령은 로그 이벤트의 필드를 조회 테이블의 필드와 일치시키고 지정된 출력 필드를 결과에 추가합니다.
사용자 IDs를 사용자 세부 정보에 매핑하거나, 제품 코드를 제품 정보에 매핑하거나, 오류 코드를 오류 설명에 매핑하는 등의 데이터 보강 시나리오에는 조회 테이블을 사용합니다.
## 조회 테이블 생성 및 관리
쿼리에서 `lookup` 명령을 사용하려면 먼저 조회 테이블을 생성해야 합니다. CloudWatch 콘솔에서 또는 Amazon CloudWatch Logs API를 사용하여 조회 테이블을 생성하고 관리할 수 있습니다.
**조회 테이블을 생성하려면(콘솔)**
1. [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/)에서 CloudWatch 콘솔을 엽니다.
1. 탐색 창에서 **설정을** 선택한 다음 **로그** 탭을 선택합니다.
1. **조회 테이블**로 스크롤하고 **관리를** 선택합니다.
1. **조회 테이블 생성을** 선택합니다.
1. 조회 테이블의 이름을 입력합니다. 이름은 영숫자 문자, 하이픈 및 밑줄만 포함할 수 있습니다.
1. (선택 사항) 설명을 입력합니다.
1. CSV 파일을 업로드합니다. 파일에는 열 이름이 있는 헤더 행이 포함되어야 하며 UTF-8 인코딩을 사용하고 10MB를 초과하지 않아야 합니다.
1. (선택 사항) 테이블 데이터를 암호화할 AWS KMS 키를 지정합니다.
1. **생성(Create)**을 선택합니다.
조회 테이블을 생성한 후 CloudWatch Logs Insights 쿼리 편집기에서 조회 테이블을 볼 수 있습니다. **테이블 조회** 탭을 선택하여 사용 가능한 테이블과 해당 필드를 찾습니다.
조회 테이블을 업데이트하려면 테이블을 선택하고 **작업**, **업데이트를** 선택합니다. 기존 콘텐츠를 모두 바꾸려면 새 CSV 파일을 업로드합니다. 조회 테이블을 삭제하려면 **작업**, **삭제**를 선택합니다.
**참고**
당 계정당 최대 100개의 조회 테이블을 생성할 수 있습니다 AWS 리전. CSV 파일은 최대 10MB일 수 있습니다. Amazon CloudWatch Logs API를 사용하여 조회 테이블을 관리할 수도 있습니다. 자세한 내용은 Amazon CloudWatch Logs API 참조의 [CreateLookupTable](https://docs.aws.amazon.com/AmazonCloudWatchLogs/latest/APIReference/API_CreateLookupTable.html)을 참조하세요. *Amazon CloudWatch *
**참고**
조회 테이블이 KMS 키로 암호화된 경우 호출자는 조회 테이블을 참조하는 쿼리와 함께 `StartQuery` API를 사용하려면 키(조회 테이블을 암호화하는 데 사용되는 KMS 키)에 대한 `kms:Decrypt` 권한이 있어야 합니다. 자세한 내용은 [를 사용하여 CloudWatch Logs의 조회 테이블 암호화 AWS Key Management Service](encrypt-lookup-tables-kms.md) 단원을 참조하십시오.
## 조회를 위한 쿼리 구문
**명령 구조**
다음은이 명령의 형식을 보여줍니다.
```
lookup table lookup-field as log-field [,...] output-mode output-field[,...]
```
명령은 다음 인수를 사용합니다.
+ `table` - 사용할 조회 테이블의 이름입니다.
+ `lookup-field` - 일치하는 조회 테이블의 필드입니다.
+ `log-field` - 일치하는 로그 이벤트의 필드입니다. 일치는 정확하고 대/소문자를 구분합니다.
+ `output-mode` - 결과에 출력 필드를 `OUTPUT` 추가하려면를 지정합니다. 동일한 이름의 필드가 로그 이벤트에 이미 있는 경우 덮어씁니다.
+ `output-field` - 조회 테이블에서 결과에 추가할 하나 이상의 필드입니다.
**예: 사용자 세부 정보로 로그 이벤트 강화**
`id` 필드가 포함된 이벤트가 있는 로그 그룹과 `id`, `name`, `email`및 열이 `user_data` 있는 이름이 인 조회 테이블이 있다고 가정해 보겠습니다`department`. 다음 쿼리는 조회 테이블의 사용자 이름, 이메일 및 부서로 각 로그 이벤트를 보강합니다.
```
fields action, status, name, email, department
| lookup user_data id OUTPUT name, email, department
```
**예: 집계와 함께 조회 사용**
집계 함수와 함께 조회 출력 필드를 사용할 수 있습니다. 다음 쿼리는 사용자 세부 정보로 로그 이벤트를 보강한 다음 이메일 주소별로 그룹화된 이벤트를 계산합니다.
```
fields user_id, action, username, email, department
| lookup user_data user_id OUTPUT username, email, department
| stats count(*) by email
```
**예: 필터와 함께 조회 사용**
조회에서 반환된 필드를 기준으로 결과를 필터링할 수 있습니다. 다음 쿼리는 로그 이벤트를 보강한 다음 특정 부서의 이벤트만 표시하도록 필터링합니다.
```
fields user_id, action
| lookup user_data user_id OUTPUT username, email, department
| filter department = "Engineering"
```
# 부울, 비교, 숫자, 날짜/시간 및 기타 함수
CloudWatch Logs Insights는 다음 섹션에 설명된 것처럼 쿼리에서 다른 많은 연산과 함수를 지원합니다.
**Topics**
+ [산술 연산자](#CWL_QuerySyntax-operations-arithmetic)
+ [부울 연산](#CWL_QuerySyntax-operations-Boolean)
+ [비교 연산자](#CWL_QuerySyntax-operations-comparison)
+ [숫자 연산자](#CWL_QuerySyntax-operations-numeric)
+ [구조 유형](#CWL_QuerySyntax-structure-types)
+ [날짜/시간 함수](#CWL_QuerySyntax-datetime)
+ [일반 함수](#CWL_QuerySyntax-general-functions)
+ [JSON 함수](#CWL_QuerySyntax-json-functions)
+ [IP 주소 문자열 함수](#CWL_QuerySyntax-IPaddress-functions)
+ [문자열 함수](#CWL_QuerySyntax-string-functions)
## 산술 연산자
산술 연산자에서는 숫자 데이터 형식을 인수로 수락하고 숫자 결과를 반환합니다. 산술 연산자를 `filter` 및 `fields` 명령에서 사용하고 다른 함수의 인수로 사용합니다.
| 연산 | 설명 |
| --- | --- |
| `a + b` | 덧셈 |
| `a - b` | 뺄셈 |
| `a * b` | 곱셈 |
| `a / b` | 나눗셈 |
| `a ^ b` | 거듭제곱(`2 ^ 3`에서 `8` 반환) |
| `a % b` | 나머지 또는 모듈러스(`10 % 3`에서 `1` 반환) |
## 부울 연산
부울 연산자 `and`, `or` 및 `not`을 사용합니다.
**참고**
**TRUE** 또는 **FALSE**의 값을 반환하는 함수에서만 부울 연산자를 사용합니다.
## 비교 연산자
비교 연산자에서는 모든 데이터 형식을 인수로 수락하고 부울 결과를 반환합니다. 비교 연산은 `filter` 명령에서 사용하고 다른 함수의 인수로 사용합니다.
| 연산자 | 설명 |
| --- | --- |
| `=` | 같음 |
| `!=` | 같지 않음 |
| `<` | 보다 작음 |
| `>` | 보다 큼 |
| `<=` | 작거나 같음 |
| `>=` | 크거나 같음 |
## 숫자 연산자
숫자 연산은 숫자 데이터 형식을 인수로 수락하고 숫자 결과를 반환합니다. 숫자 연산은 `filter` 및 `fields` 명령에서 사용하고 다른 함수의 인수로 사용합니다.
| 연산 | 결과 유형 | 설명 |
| --- | --- | --- |
| `abs(a: number)` | number | 절대값 |
| `ceil(a: number)` | number | 천장값으로 반올림(`a`의 값보다 큰 수 중 가장 작은 정수) |
| `floor(a: number)` | number | 바닥값으로 반올림(`a` 값보다 작은 수 중 가장 큰 정수) |
| `greatest(a: number, ...numbers: number[])` | number | 가장 큰 값 반환 |
| `least(a: number, ...numbers: number[])` | number | 가장 작은 값 반환 |
| `log(a: number)` | number | 자연 로그 |
| `sqrt(a: number)` | number | 제곱근 |
## 구조 유형
맵 또는 목록은 쿼리에 속성을 액세스하고 사용할 수 있는 CloudWatch Logs Insights의 구조 유형입니다.
**예: 맵 또는 목록을 가져오는 방법**
`jsonParse`를 사용하여 json 문자열인 필드를 맵 또는 목록으로 구문 분석합니다.
```
fields jsonParse(@message) as json_message
```
**예: 속성에 액세스하려면**
점 액세스 연산자(map.attribute)를 사용하여 맵의 항목에 액세스합니다. 맵의 속성에 특수 문자가 포함된 경우 백틱을 사용하여 속성 이름(map.attributes.`special.char`)을 묶습니다.
```
fields jsonParse(@message) as json_message
| stats count() by json_message.status_code
```
브래킷 액세스 연산자(list[index])를 사용하여 목록 내 특정 위치에서 항목을 검색합니다.
```
fields jsonParse(@message) as json_message
| filter json_message.users[1].action = "PutData"
```
키 이름에 특수 문자가 있는 경우 특수 문자를 백틱(``)으로 래핑합니다.
```
fields jsonParse(@message) as json_message
| filter json_message.`user.id` = "123"
```
**예: 빈 결과**
맵과 목록은 문자열, 숫자 및 날짜/시간 함수에 대해 null로 처리됩니다.
```
fields jsonParse(@message) as json_message
| display toupper(json_message)
```
맵 및 목록을 다른 필드와 비교하면 `false`가 됩니다.
**참고**
`dedup`, `pattern`, `sort` 및 `stats`에서 맵 및 목록을 사용하는 것은 지원되지 않습니다.
## 날짜/시간 함수
**날짜/시간 함수**
날짜/시간 함수를 `fields` 및 `filter` 명령에서 사용하고 다른 함수의 인수로 사용합니다. 이러한 함수를 사용하여 집계 함수가 포함된 쿼리에 대한 시간 버킷을 생성합니다. 숫자와 다음 중 하나로 구성된 기간을 사용합니다.
+ `ms` - 밀리초
+ `s` - 초
+ `m` - 분
+ `h` - 시간
예를 들어, `10m`은 10분을, `1h`은 1시간을 나타냅니다.
**참고**
datetime 함수에 가장 적합한 시간 단위를 사용합니다. CloudWatch Logs는 선택한 시간 단위에 따라 요청의 한도를 지정합니다. 예를 들어, CloudWatch Logs는 `s`을 사용하는 모든 요청의 최대값을 60으로 한정합니다. 따라서 `bin(300s)`을 지정하면 CloudWatch Logs는 실제로 이를 60초로 구현합니다. 60은 분당 초의 수이므로 CloudWatch Logs는 `s`에 60보다 큰 숫자를 사용하지 않기 때문입니다. 5분 버킷을 생성하려면 `bin(5m)`을 대신 사용합니다.
`ms`의 한도는 1000이고, `s`와 `m`의 한도는 60이며, `h`의 한도는 24입니다.
다음 표에는 쿼리 명령에 사용할 수 있는 다양한 날짜 시간 함수의 목록이 포함되어 있습니다. 이 표에는 각 함수의 결과 유형이 나열되며 각 함수에 대한 설명이 포함되어 있습니다.
**작은 정보**
쿼리 명령을 생성할 때 시간 간격 선택기를 사용하여 쿼리할 기간을 선택할 수 있습니다. 예를 들어, 5\$130분 간격, 1, 3, 12시간 간격 또는 사용자 지정 시간 범위 중에서 설정할 수 있습니다. 특정 날짜 사이의 기간을 설정할 수도 있습니다.
| 함수 | 결과 유형 | 설명 |
| --- | --- | --- |
| `bin(period: Period)` | 타임스탬프 | `@timestamp` 값을 지정한 기간으로 반올림한 다음 자릅니다. 예를 들어, `bin(5m)`은 `@timestamp`의 값을 가장 가까운 5분 단위로 반올림합니다. 이를 사용하여 쿼리에서 여러 로그 항목을 함께 그룹화할 수 있습니다. 다음 예제에서는 시간당 발생한 예외 수를 반환합니다. filter @message like /Exception/
| stats count(*) as exceptionCount by bin(1h)
| sort exceptionCount desc
`bin` 함수에서는 다음과 같은 시간 단위 및 약어가 지원됩니다. 둘 이상의 문자를 포함하는 모든 단위 및 약어의 경우 s를 추가하여 복수화할 수 있습니다. 따라서 `hr` 및 `hrs` 모두 시간을 지정하는 데 사용됩니다. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/AmazonCloudWatch/latest/logs/CWL_QuerySyntax-operations-functions.html) |
| `datefloor(timestamp: Timestamp, period: Period)` | 타임스탬프 | 타임스탬프를 지정한 기간으로 자릅니다. 예를 들어, `datefloor(@timestamp, 1h)`은 `@timestamp`의 모든 값을 해당 시간 아래로 자릅니다. |
| `dateceil(timestamp: Timestamp, period: Period)` | 타임스탬프 | 타임스탬프를 지정한 기간으로 반올림한 다음 자릅니다. 예를 들어, `dateceil(@timestamp, 1h)`은 `@timestamp`의 모든 값을 해당 시간 위로 자릅니다. |
| `fromMillis(fieldName: number)` | 타임스탬프 | 입력 필드를 Unix 에포크 밀리초로 해석하여 타임스탬프로 변환합니다. |
| `toMillis(fieldName: Timestamp)` | number | 지정된 필드에 있는 타임스탬프를 Unix Epoch 밀리초를 나타내는 숫자로 변환합니다. 예를 들어, `toMillis(@timestamp)`은 타임스탬프를 `2022-01-14T13:18:031.000-08:00`에서 `1642195111000`로 변환합니다. |
| `now()` | number | 쿼리 처리가 시작된 시간을 epoch 초 단위로 반환합니다. 이 함수는 인수를 필요로 하지 않습니다. 이를 사용하여 현재 시간에 따라 쿼리 결과를 필터링할 수 있습니다. 예를 들어, 다음 쿼리는 지난 2시간 동안의 모든 4xx 오류를 반환합니다. parse @message "Status Code: *;" as statusCode\n
| filter statusCode >= 400 and statusCode <= 499 \n
| filter toMillis(@timestamp) >= (now() * 1000 - 7200000)
다음 예제에서는 `error` 또는 `failure` 단어가 포함된 지난 5시간 동안의 모든 로그 항목을 반환합니다. fields @timestamp, @message
| filter @message like /(?i)(error|failure)/
| filter toMillis(@timestamp) >= (now() * 1000 - 18000000)
|
**참고**
현재 CloudWatch Logs Insights는 사람이 읽을 수 있는 타임스탬프가 있는 로그 필터링을 지원하지 않습니다.
## 일반 함수
**일반 함수**
일반 함수를 `fields` 및 `filter` 명령에서 사용하고 다른 함수의 인수로 사용합니다.
| 함수 | 결과 유형 | 설명 |
| --- | --- | --- |
| `ispresent(fieldName: LogField)` | 부울 | 이 필드가 존재하는 경우 `true` 반환 |
| `coalesce(fieldName: LogField, ...fieldNames: LogField[])` | LogField | 목록에서 null이 아닌 첫 번째 값 반환 |
## JSON 함수
**JSON 함수**
JSON 함수를 `fields` 및 `filter` 명령과 다른 함수의 인수로 사용합니다.
| 함수 | 결과 유형 | 설명 |
| --- | --- | --- |
| `jsonParse(fieldName: string)` | 맵 \$1 목록 \$1 비어 있음 | 입력이 JSON 객체 또는 JSON 배열의 문자열 표현일 때 맵 또는 목록을 반환합니다. 입력이 표현 중 하나가 아닌 경우 빈 값을 반환합니다. |
| `jsonStringify(fieldName: Map \| List)` | 문자열 | 맵 또는 목록 데이터에서 JSON 문자열을 반환합니다. |
## IP 주소 문자열 함수
**IP 주소 문자열 함수**
IP 주소 문자열 함수를 `filter` 및 `fields` 명령에서 사용하고 다른 함수의 인수로 사용합니다.
| 함수 | 결과 유형 | 설명 |
| --- | --- | --- |
| `isValidIp(fieldName: string)` | 부울 | 필드가 유효한 IPv4 또는 IPv6 주소인 경우 `true`을 반환합니다. |
| `isValidIpV4(fieldName: string)` | 부울 | 필드가 유효한 IPv4 주소인 경우 `true`을 반환합니다. |
| `isValidIpV6(fieldName: string)` | 부울 | 필드가 유효한 IPv6 주소인 경우 `true`을 반환합니다. |
| `isIpInSubnet(fieldName: string, subnet: string)` | 부울 | 필드가 지정된 v4 또는 v6 서브넷 내 유효한 IPv4 또는 IPv6 주소인 경우 `true`을 반환합니다. 서브넷을 지정할 때는 `192.0.2.0/24` 또는 `2001:db8::/32`와 같은 CIDR 표기법을 사용합니다. 여기서는 `192.0.2.0` 또는`2001:db8::`이 CIDR 블록의 시작입니다. |
| `isIpv4InSubnet(fieldName: string, subnet: string)` | 부울 | 필드가 지정된 v4 서브넷 내 유효한 IPv4 주소인 경우 `true`을 반환합니다. 서브넷을 지정할 때는 `192.0.2.0/24`와 같은 CIDR 표기법을 사용합니다. 여기서는 `192.0.2.0`이 CIDR 블록의 시작입니다. |
| `isIpv6InSubnet(fieldName: string, subnet: string)` | 부울 | 필드가 지정된 v6 서브넷 내 유효한 IPv6 주소인 경우 `true`을 반환합니다. 서브넷을 지정할 때는 `2001:db8::/32`와 같은 CIDR 표기법을 사용합니다. 여기서는 `2001:db8::`이 CIDR 블록의 시작입니다. |
## 문자열 함수
**문자열 함수**
문자열 함수를 `fields` 및 `filter` 명령에서 사용하고 다른 함수의 인수로 사용합니다.
| 함수 | 결과 유형 | 설명 |
| --- | --- | --- |
| `isempty(fieldName: string)` | 숫자 | 필드가 누락되어 있거나 빈 문자열인 경우 `1`을 반환합니다. |
| `isblank(fieldName: string)` | 숫자 | 필드가 누락되어 있거나 빈 문자열이거나 빈 공백만 포함된 경우 `1`을 반환합니다. |
| `concat(str: string, ...strings: string[])` | 문자열 | 문자열을 연결합니다. |
| `ltrim(str: string)` `ltrim(str: string, trimChars: string)` | 문자열 | 함수에 두 번째 인수가 없는 경우에는 문자열의 왼쪽에서 공백을 제거합니다. 함수에 두 번째 문자열 인수가 없는 경우에는 공백을 제거하지 않습니다. 대신 `str`의 왼쪽에서 `trimChars`의 문자를 제거합니다. 예를 들어, `ltrim("xyZxyfooxyZ","xyZ")`은 `"fooxyZ"`을 반환합니다. |
| `rtrim(str: string)` `rtrim(str: string, trimChars: string)` | 문자열 | 함수에 두 번째 인수가 없는 경우에는 문자열의 오른쪽에서 공백을 제거합니다. 함수에 두 번째 문자열 인수가 없는 경우에는 공백을 제거하지 않습니다. 대신 `str`의 오른쪽에서 `trimChars`의 문자를 제거합니다. 예를 들어, `rtrim("xyZfooxyxyZ","xyZ")`은 `"xyZfoo"`을 반환합니다. |
| `trim(str: string)` `trim(str: string, trimChars: string)` | 문자열 | 함수에 두 번째 인수가 없는 경우에는 문자열의 양쪽 끝에서 공백을 제거합니다. 함수에 두 번째 문자열 인수가 없는 경우에는 공백을 제거하지 않습니다. 대신 `str`의 양쪽에서 `trimChars`의 문자를 제거합니다. 예를 들어, `trim("xyZxyfooxyxyZ","xyZ")`은 `"foo"`을 반환합니다. |
| `strlen(str: string)` | number | 문자열 길이를 Unicode 코드 포인트로 반환합니다. |
| `toupper(str: string)` | 문자열 | 문자열을 대문자로 변환합니다. |
| `tolower(str: string)` | 문자열 | 문자열을 소문자로 변환합니다. |
| `substr(str: string, startIndex: number)` `substr(str: string, startIndex: number, length: number)` | 문자열 | 숫자 인수가 지정한 인덱스의 하위 문자열을 문자열 끝에 반환합니다. 함수에 두 번째 숫자 인수가 있는 경우 해당 인수에는 검색되는 하위 문자열의 길이가 포함됩니다. 예를 들어, `substr("xyZfooxyZ",3, 3)`은 `"foo"`을 반환합니다. |
| `replace(fieldName: string, searchValue: string, replaceValue: string)` | 문자열 | `fieldName: string`에서 `searchValue`의 모든 인스턴스를 `replaceValue`로 바꿉니다. 예를 들어, `replace(logGroup,"smoke_test","Smoke")` 함수는 `logGroup` 필드에 문자열 값 `smoke_test`를 포함한 로그 이벤트를 검색하고 해당 값을 `Smoke` 문자열로 바꿉니다. |
| `strcontains(str: string, searchValue: string)` | number | `str`에 `searchValue`와 0이 포함되어 있으면 1을 반환합니다. |
# 특수 문자가 포함된 필드
필드에 `@` 기호 또는 마침표(`.`) 이외의 영숫자가 아닌 문자가 포함된 경우 필드를 백틱 문자(```)로 둘러싸야 합니다. 예를 들어, `foo-bar` 로그 필드는 영숫자가 아닌 문자 하이픈(`-`)을 포함하고 있기 때문에 백틱(``foo-bar``)으로 묶어야 합니다.
# 쿼리에 별칭 및 코멘트 사용
별칭이 포함된 쿼리를 생성합니다. 별칭은 로그 필드의 이름을 바꾸거나 값을 필드로 추출할 때 사용합니다. 키워드 `as`를 사용하여 로그 필드 또는 결과에 별칭을 제공합니다. 쿼리에서 별칭을 2개 이상 사용할 수 있습니다. 다음과 같은 명령에서 별칭을 사용할 수 있습니다.
+ `fields`
+ `parse`
+ `sort`
+ ` stats `
다음 예제에서는 별칭이 있는 쿼리를 생성하는 방법을 보여줍니다.
**예제**
쿼리의 명령 `fields`에 별칭이 포함되어 있습니다.
```
fields @timestamp, @message, accountId as ID
| sort @timestamp desc
| limit 20
```
쿼리를 통해 `@timestamp`, `@message` 및 `accountId` 필드에 대한 값이 반환됩니다. 결과는 내림차순으로 정렬되며 20개로 제한됩니다. `accountId`에 대한 값이 `ID`라는 별칭 아래에 나열됩니다.
**예제**
쿼리의 명령 `sort` 및 `stats`에 별칭이 포함되어 있습니다.
```
stats count(*) by duration as time
| sort time desc
```
쿼리에서는 로그 그룹에서 발생하는 `duration` 필드의 수를 계산하고 결과를 내림차순으로 정렬합니다. `duration`에 대한 값이 `time`라는 별칭 아래에 나열됩니다.
## 코멘트 사용
CloudWatch Logs Insights는 쿼리의 코멘트를 지원합니다. 해시 문자(**\$1**)를 사용하여 코멘트를 시작합니다. 코멘트를 사용하여 쿼리 또는 문서 쿼리의 줄을 무시할 수 있습니다.
**예: 쿼리**
다음 쿼리가 실행되면 두 번째 줄이 무시됩니다.
```
fields @timestamp, @message, accountId
# | filter accountId not like "7983124201998"
| sort @timestamp desc
| limit 20
```