机器数据分析平台

  • 机器数据分析平台 > 产品手册 > SPL参考手册

    SPL参考手册

    最近更新时间:2019-10-18 15:09:53

    Pandora express 支持 SPL 高级搜索分析语法,它提供 100 多种命令,可以搜索、关联、分析、可视化任何日志数据。

    SPL 搜索分析语法以管道符的形式表达数据分析的过程,把数据分析拆分成步骤,每一步完成相应的数据分析,使用范式如下:

    <SPL命令> | <SPL命令> | …

    如:

    apache.status<=400 | stats avg(request_time) by host
    

    本文档主要为您介绍 spl 语法。

    spl 语法

    一条最简单的 spl 语句由命令、参数组成:

    stats <stats_function(field)>[as field][by field_list]
    

    其中,[ ] 括起的是可选参数。一条 spl 语句中,可选参数不是必须。
    如:

    stats avg(request_time)
    

    spl语句可能还有如下组合:

    • 输入参数组的命令

      replace (<string> WITH <string>)... [IN <field-list>]
      # 示例
      replace "192.168.1.1" with "machine1" in host
      
    • 命令和重复参数,省略号部分代表重复参数,表示重复 field AS field 参数。如:

      rename(field AS field)…
      # 示例
      rename _ip AS IPAddress, _china AS china
      

    spl 支持的命令

    spl 命令 描述
    bin 设置时间或数值的聚合粒度
    dedup 删除指定字段的具有相同值的日志
    eval 根据已有字段进行逻辑运算,将值代入已有字段或添加新字段
    eventstats 添加统计信息到搜索结果中
    fields 在搜索结果中保留或移除字段,默认保留字段
    jsonpath 从json数据中通过路径参数提取相关信息
    join 通过字段值进行关联查询
    limit 搜索结果中保留前 N 条结果
    lookup 关联外部表格对字段进行映射
    rare 计算数据中出现频率最低的值
    rename 重命名指定字段
    rex 通过正则表达式命名的群组提取字段
    search 搜索命令,用于匹配日志
    sort 按照指定的字段对搜索结果进⾏排序
    stats 对日志搜索结果统计分析
    transaction 通过多种约束条件将多个日志聚合成一条日志,形成完整的事务
    top 统计字段出现最多的值
    where 根据布尔表达式过滤搜索结果
    xmlpath 从xml数据中通过路径参数提取相关信息
    以上内容是否对您有帮助?
  • Icon helper
    Icon free helper
    Close