SPL提供了丰富的指令用于弱结构化日志处理。project指令:从原始数据中选择保留指定字段,舍弃其他字段,实现列裁剪。project-away指令:去除指定字段,保留其余字段。project-rename指令:将字段重命名,例如将__tag__:__hostname__重命名为serviceHost。parse-json指令:将JSON字符串字段展开为结构化字段,第一层JSON键值对直接成为结果字段。parse-regexp指令:通过正则表达式捕获组从字符串中提取内容并命名,例如parse-regexp caller, '\w+/([\w\.]+):(\d+)' as fileName, fileNo可以从caller字段提取文件名和行号。extend指令:使用函数创建新字段,例如extend scheduleType = json_extract_scalar(schedule, '$.type')提取嵌套JSON中的值。这些指令通过管道符|串联,支持渐进式调试,每次增加一个指令即可查看中间结果。
加载中...