SPL语法

参数

说明

cmd

指令名称。

option

指令执行参数，可选。使用时必须指定参数名，参数名以中划线（-）开头，参数顺序无要求。

支持如下2种参数类别：

• 键值参数-option=<option>：使用指令时以键值对的形式输入。

• 开关参数-option：指令定义中默认均为关闭状态，添加该参数即表示打开开关。

expression

指令对数据源执行处理逻辑，必填。使用时，无需指定参数名，但参数顺序必须与指令的定义保持一致。

表达式类别：

• SPL表达式

  • 字段名及其通配模式表达式，例如content。如果包含[a-zA-Z_]以外的字符，需要使用双引号（""）包裹，例如"__tag__:__path__"。

  • 字段赋值表达式，直接对字段赋值例如level='INFO'，或者将正则表达式的提取结果赋值给字段例如msg=regex_extract(content, '\S+')。

• SQL表达式

  • 数据计算表达式返回值，例如cast(status as int)>=500。

output

处理结果中的输出字段。例如| parse-csv content as a, b, c。

指令类别

指令名称

说明

字段操作指令

project

保留与给定模式相匹配的字段、同时可重命名指定字段。指令执行过程中，先完成所有字段保留表达式的执行，再执行重命名表达式。

project-away

移除与给定模式相匹配的字段，原样保留其他所有字段。

project-rename

重命名指定字段，并保留其他所有字段原样。

expand-values

展开指定字段的第一层JSON对象，生成多条结果。

结构化数据SQL计算指令

extend

通过SQL表达式计算结果产生新字段。支持的SQL函数列表，请参见SPL支持的SQL函数列表。

where

根据SQL表达式过滤数据，保留满足SQL表达式的数据条目。where指令支持的SQL函数列表，请参见SPL支持的SQL函数列表。

弱结构化数据提取指令

parse-regexp

提取指定字段中的正则表达式分组匹配信息。

parse-csv

提取指定字段中的CSV格式的信息。

parse-json

提取指定字段中的第一层JSON信息。

parse-kv

提取指定字段中的键值对信息。