SLS SPL(SLS Processing Language)是日志服务推出的一款针对弱结构化数据的高性能日志处理语言,可在 Logtail 端、查询扫描、流式消费等多种场景使用,具有交互式、探索式、使用简洁等特点。
SPL 采用管道式语法,使用 | 符号将不同指令串联,上一条指令的输出作为下一条指令的输入。主要支持三类指令:
- 结构化数据 SQL 计算指令:
where用于行过滤,extend用于列扩展和数值计算,支持 SQL 函数调用。 - 字段操作指令:
project保留匹配字段,project-away移除匹配字段,project-rename重命名字段,实现列裁剪和投影。 - 非结构化数据提取指令:
parse-regexp正则提取,parse-json提取 JSON 字段,parse-csv解析 CSV 格式数据。
示例语法:* | extend latency=cast(latency as BIGINT) | where status='200' AND latency>100