本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 解壓縮 CloudWatch Logs 後擷取訊息
<a name="Message_extraction"></a>

當您啟用解壓縮時，您也可以選擇啟用訊息擷取。使用訊息擷取時，Firehose 會從解壓縮的 CloudWatch Logs 記錄中篩選掉所有中繼資料，例如擁有者、日誌群組、日誌串流和其他中繼資料，並僅傳遞訊息欄位中的內容。如果您要將資料交付至 Splunk 目的地，您必須開啟訊息擷取，Splunk 才能剖析資料。以下是使用和不使用訊息擷取解壓縮後的範例輸出。

圖 1：解壓縮後未擷取訊息的範例輸出：

```
{
 "owner": "111111111111",
 "logGroup": "CloudTrail/logs",
 "logStream": "111111111111_CloudTrail/logs_us-east-1",
 "subscriptionFilters": [
 "Destination"
 ],
 "messageType": "DATA_MESSAGE",
 "logEvents": [
 {
 "id": "31953106606966983378809025079804211143289615424298221568",
 "timestamp": 1432826855000,
 "message": "{\"eventVersion\":\"1.03\",\"userIdentity\":{\"type\":\"Root1\"}"
 },
 {
 "id": "31953106606966983378809025079804211143289615424298221569",
 "timestamp": 1432826855000,
 "message": "{\"eventVersion\":\"1.03\",\"userIdentity\":{\"type\":\"Root2\"}"
 },
 {
 "id": "31953106606966983378809025079804211143289615424298221570",
 "timestamp": 1432826855000,
 "message": "{\"eventVersion\":\"1.03\",\"userIdentity\":{\"type\":\"Root3\"}"
 }
 ]
}
```

圖 2：使用訊息擷取解壓縮後的範例輸出：

```
{"eventVersion":"1.03","userIdentity":{"type":"Root1"}
{"eventVersion":"1.03","userIdentity":{"type":"Root2"}
{"eventVersion":"1.03","userIdentity":{"type":"Root3"}
```