新版 SPL

直接引用字段 level

| where level='ERROR'

旧版 DSL

需使用函数引用字段v("level")，不同的实现方式：

?

e_keep(v("level") == "ERROR")

?

e_drop(v("level") != "ERROR")

?

e_if(v("level") != "ERROR", e_drop())

?

e_keep(e_search("level==ERROR"))

新版 SPL

复用 SQL 的 like 表达式

| where level like '%E%'

旧版 DSL

不同的实现方式：

?

e_keep(op_in(v("level"), "E"))

?

e_keep(e_search("level: E")

?

e_if(op_not_in(v("level"), "E"), e_drop())

新版 SPL

保持 status 字段中间类型，无需多次转换

| extend cast(status as bigint) as status

| where status>=400 and status<500

旧版 DSL

e_keep(ct_int(v("status"))>=400 and ct_int(v("status"))<500)

新版 SPL

使用 SQL 的 null 表达式判断字段存在性

| where error is not null

旧版 DSL

使用 e_has 函数判断字段存在性

e_keep(e_has("error"))

新版 SPL

1.

设置固定值，并保留值类型，可直接使用

| extend kb=1024

| extend size=size/1024

2.

正则提取单个信息

| extend version=regexp_extract(data, '"version":\d+')

3.

JSON 提取，并赋值给字段，SPL 中 JSON 对象路径引用 JsonPath?[1]

| extend version=json_extract(data, '$.version')

旧版 DSL

1.

设置固定值，类型变为 str，使用时再次转换

e_set("kb", 1024)

e_set("size", ct_int(v("size")) / ct_int(v("kb")))

2.

正则提取，并赋值给字段

e_set("version", regex_select(v("data"), r'"version":\d+'))

3.

JSON 提取，并赋值给字段，JSON 查询语言 JMES 语法?[2]

e_set("version", json_select(v("data"), "version"))

新版 SPL

1.

精确选择字段

| project node="__tag__:node", path

2.

按模式选择字段，开启 wildcard 开关

| project -wildcard "__tag__:*"

3.

原地重命名部分字段

| project-rename node="__tag__:node"

4.

按模式排除字段，开启 wildcard 开关

| project-away -wildcard "__tag__:*"

旧版 DSL

1.

精确选择字段

e_keep_fields("__tag__:node", "path", regex=False)

2.

按模式选择字段

e_keep_fields("__tag__:.*", regex=True)

3.

原地重命名部分字段

e_rename("__tag__:node", node)

4.

按模式排除字段

e_drop_fields("__tag__:.*", regex=True)

新版 SPL

1.

SQL 表达式：IF 判断条件返回不同表达式的值

| extend valid=IF(type is not null, 'true', 'false')

2.

SQL 表达式：COALESCE 取第一个值不为空的表达式的值，或添加默认值

| extend size=COALESCE(input, output, 0)

3.

SQL 表达式：CASE-WHEN 通过条件判断，对数据进行归类、或选择

| extend size=CASE WHEN dir='I' THEN input WHEN dir='O' THEN output ELSE 0 END

旧版 DSL

1.

op_if 判断条件返回不同表达式的值

e_set("valid", op_if(e_has("type"), "true", "false"))

2.

op_coalesce 取第一个值不为空的表达式的值，或添加默认值

e_set("size", op_coalesce(v("input"), v("output"), "0"))

3.

e_if_else 控制流程，构造字段

e_if_else(

e_has("type"),

e_set("valid", "true"),

e_set("valid", "false"),

)

新版 SPL

1.

提取日志时间字段 __time__

| extend time=date_parse(time, '%Y/%m/%d %H-%i-%S')

| extend __time__=cast(to_unixtime(time) as bigint)

2.

时间格式规范化

| extend time=date_parse(time, '%Y/%m/%d %H-%i-%S')

| extend time=date_format(time, '%Y-%m-%d %H:%i:%S')

旧版 DSL

1.

提取日志时间字段 __time__

e_set(

"__time__",

dt_parsetimestamp(

v("time"),

fmt="%Y/%m/%d %H-%M-%S",

),

)

2.

时间格式规范化

e_set(

"time",

dt_strftime(

dt_parse(

v("time"),

fmt="%Y/%m/%d %H-%M-%S",

),

fmt="%Y-%m-%d %H:%M:%S",

),

)

新版 SPL

parse-regexp 指令

| parse-regexp data, '(\S+)\s+(\w+)' as time, level

旧版 DSL

e_regex 函数

e_regex("data", r"(\S+)\s+(\w+)", ["time", "level"])

新版 SPL

parse-json 指令，JSON 对象路径引用 JsonPath?

| parse-json -path='$.x.y.z' data

旧版 DSL

e_json 函数，JSON 查询语言 JMES 语法?

e_json("data", depth=1, jmes="x.y.z")

新版 SPL

?

单字符分隔符 CSV RFC 4180[3]，支持指定分隔符、引用符

| parse-csv -delim='\0' -quote='"' data as time, addr, user

?

多字符分隔符

| parse-csv -delim='^_^' data AS time, addr, user

旧版 DSL

e_csv 函数

e_csv("data", ["time", "addr", "user"], sep="\0", quote='"')