Cloud Watchのダッシュボードにエラーレスポンスのログ一覧を出したかったのですが、ログフィルターの構文がまた違ってくるようです。
以下のようになります。
FIELDS @message
| PARSE @message " * * * * * * * * * * * * * " as date,time,sIp,csmethod,csUriStem,csUriQuery,sPort,csUsername,cIp,UserAgent,Referer,scStatus,scSubstatus,scWin32Status,timeTaken
| FILTER scStatus >= 400
| DISPLAY @timestamp, scStatus, @message
iisで宣言されているのと同じヘッダーにしたいところですが、ハイフンは使えないようですので、私はキャメル記法にしました。
とにかく * が何個続くんだ、というところですね。
