日志服务数据加工: 查询字符串语法-阿里云开发者社区

日志服务数据加工: 查询字符串语法

来自：阿里云存储服务 2019-07-20 3127

简介： 本文介绍日志服务数据家中中的查询字符串语法, 其类似日志服务查询以及lucene语法, 极大简化条件判断的逻辑编写.

+关注继续查看

概述

搜索字符串是ETL语言中用于快速过滤的语法, 语法基本上与日志服务的查询语法, 以及lucene 语法相同. 可以极大简化数据加工的条件判断的逻辑.

类型	函数	使用场景
表达式函数-事件判断函数	e_search	使用查询字符串判断事件的字段值是否满足特定条件, 返回True或False
表达式函数-资源函数	res_log_logstore_pull	拉取Logstore资源返回表格, 构建表格中, 使用查询字符串配置黑白名单, 来判断每行是保留还是丢弃.
全局事件函数-搜索表格映射	e_search_table_map	关键字是查询字符串, 值是匹配的值的字典进行映射

功能概览

功能	字段	全文
子串搜索	支持	支持
通配符`*?`搜索	支持	支持
完全匹配搜索	支持	-
正则表达式搜索	支持	-
数值范围搜索	支持	-
数值比较	支持	-
关系and, or, not以及自由组合	支持	支持

搜索值转义

包含", \时需要用\转义.
例如:

content: "abc\"xy\\z" 合法

希望搜索*, ?时, 也需要用\转义, 否则会被视为通配符匹配
包含中文, 字母, 数字, 下划线, 小横线, *, ?等情况不需要用双引号, 其他情况需要用双引号括起来.
例如:

status: "\*\?()[]:=" 值含特殊字符的值, 推荐放在"中, 除了*?和需要转义外, 其他不用转义
status: active\*test 值只包含*或?, 可以不用双引号
status: active\?test 值只包含*或?, 可以不用双引号
content: ()[]:= 非法

字段名转义

字段名不能使用双引号, 包含特殊字符时直接使用\转义,
包含中文, 字母, 数字, 下划线, 小横线等情况不需要用双引号, 其他情况需要.
例如:
"\*$\1+1$\?: abc") 字段不可以用双引号, 特殊字符用转义

__tag__\:__container_name__: abc 用转义
中文字段: abc" 中文不需要转义
"content": abc 非法, 字段名不能用双引号括起来

注意: 值用字符串用双引号括起来, 不支持单引号
e_search("domain: '/url/test.jsp'")是错误的, 只能e_search('domain: "/url/test.jsp"')

子串搜索

语法

e_search("子串")
e_search("字段名: 子串")

全文搜索

对所有字段进行搜索子串

样例	场景
`e_search("active error")`	多个子串搜索, 默认关系是OR
`e_search('"active error"')`	搜索完整带空格的子串
`e_search('"错误"')`	中文子串

字段搜索

对特定字段进行搜索

样例	场景
`e_search("status: active")`	子串搜索
`e_search('author: "john smith"')`	带空格子串搜索
`e_search('fileld: active error')`	相当于 field:active OR "error"

通配符搜索

* ? 匹配: *表示 0个或多个字符串, ? 表示一个字符, 也可以表示一个宽字符如中文.

全文搜索

对所有字段进行搜索子串

样例	场景
`e_search("active*test")`	匹配0到多个, 不需要用双引号括起来
`e_search("发生*错误")`	中文匹配, 可以匹配`发生错误`, `发生严重错误`等
`e_search("active?good")`	`?` 可以不用双引号
`e_search("ac*tive?good")`	也可以应用于完全匹配
`e_search("active??good")`	支持多个混合使用

字段搜索

对特定字段进行搜索子串

样例	场景
`e_search("status: active*test")`	匹配0到多个
`e_search("status: active?good")`	匹配一个

完全匹配

不同于子串搜索, 只需要局部匹配即可, 完全匹配要求对字段值从开头到结尾的值完全匹配.

语法

e_search("字段名==子串")

样例

样例	场景
`e_search('author== "john smith"')`	字段author必须完全等于john smith
`e_search("status== ac*tive?good")`	可以与通配符结合使用

正则表达式匹配

语法

使用正则表达式匹配, 比通配符更强大的匹配方式.

e_search("字段名~=正则表达式字符串")

因为正则表达式大量使用\, 推使用r修饰搜索字符串.
注意: 默认使用的是局部匹配, 而不是完全匹配, 如果需要完全匹配只需要在开头和结尾加上^和$即可

样例

样例	场景
`e_search(r'status~= "\d+"')`	status字段包含数字
`e_search(r'status~= "^\d+$"')`	status字段等于数字

数值比较

范围类比较

语法

这里是左右闭区间, 支持*表示无边界.

e_search("字段: [左值, 右值]"   # >= 左值, <= 右值
e_search("字段: [*, 右值]")        # <= 右值
e_search("字段: [左值, *]")        #  >= 左值

样例

e_search('count: [100, 200]')   # >=100 and  <=200
e_search('count: [*, 200]')   # <=200
e_search('count: [200, *]')   # >=200

数值直接比较

语法样例

直接使用>, >=, =, <, <=比较:

e_search('age >= 18')   # >= 18
e_search('age > 18')   #  > 18
e_search('age = 18')   #  = 18
e_search('age <= 18')   #  <=18
e_search('age < 18')   #  <18

逻辑关系

全局逻辑关系

支持任意搜索之间的逻辑关系, 也支持用 ( ) 进行嵌套.

逻辑	关键字
且	and AND && 大小写不敏感
或	or OR 双竖线大写小不敏感
否	not ! 大小写不敏感

样例

e_search("abc OR xyz")  # 大小写不敏感
e_search("abc and (xyz or zzz)")
e_search("abc and not (xyz and not zzz)")
e_search("abc && xyz")        # and
e_search("abc || xyz")        # or
e_search("abc || !xyz")        # or not

子串匹配逻辑关系

在子串匹配是也支持逻辑关系:

样例

e_search("field: (abc OR xyz)")  # 字段field包含 abc 或 xyz
e_search("field: (abc OR not xyz)")  # 字段field包含 abc 或 不包含xyz
e_search("field: (abc && !xyz)")  # 字段field包含 abc 且 不包含xyz

字段判断

也可以使用搜索字符串对字段做定性判断:

样例	场景
`e_search("field: *")`	字段存在(任意值)
`e_search('field: ""')`	字段存在(至少包含一个子空串)
`e_search("not field:*")`	字段不存在
`e_search('not field:""')`	字段不存在
`e_search('field==""')`	字段存在, 值为空
`e_search('field~=".+"')`	字段存在, 值不为空
`e_search('not field~=".+"')`	字段不存在或值为空
`e_search('not field==""')`	字段不存在或值不为空

进一步参考

日志服务最佳实践汇总(持续更新)
完整DSL语法介绍与参考PDF下载(持续更新)
数据加工指南
- 介绍:
- 快速开始:
- 语法:
- 管理配置:
  - 子账号授权配置

欢迎扫码加入官方钉钉群获得实时更新与阿里云工程师的及时直接的支持:

监控

监控监控宕机监控问题进程监控调用监控

开发者社区 > 阿里云存储服务

作者高分内容

Log4j “核弹级”漏洞攻击预警方案 1363 现代智能告警运维平台——SLS新版告警学习路径发布 139 智能告警——企业IT系统神经中枢 196 可观测告警运维系统调研——SLS告警与多款方案对比 3817 这才是可观测告警运维平台——20个SLS告警运维场景 770

HapplyFox

数据库连接字符串

SQLServer 连接字符串 MySql 连接字符串 Data Source=127.0.0.1;Database=DBName;User Id=root;Password=root;

984 0

www12345

fastjson解析json字符串,key缺少双引号导致下游服务无法解析

背景说明在使用fastjson 1.2.60版本将对象转化为json字符串时，为处理Map值为null的情况，采用了WRITE_MAP_NULL_FEATURES属性，但该属性解析出来的key中缺少双引号，在key包含特殊字符时，如“-”和“:"，下游服务在进行反序列化时出现无法解析的错误，从而出现问题。

3036 0

embracefly

基于日志服务(SLS)实现电商数据加工与分析

基于日志服务(SLS)实现电商数据加工与分析本文要点（json函数、ip映射函数专题）如何使用阿里云日志服务-数据加工做清洗数据如何使用阿里云日志服务强大的SQL做数据分析如何配置数据仪表大盘日志数据样例本文中的日志数据，以某大型电商一段时间的成交量数据为背景来展开工作的。

1692 0

余二五

Python 学习笔记 - 列表，字符串，数据操作和字典

931 0

吞吞吐吐的

ADO.NET:连接数据字符串

700 0

游贤明

将字典或者数组转换成JSON数据或者字符串

2867 0

成喆

日志服务数据加工培训直播资料汇总: 扫平日志分析路上障碍, 实时海量日志加工实践

日志服务数据加工系列培训资料汇总: 扫平日志分析路上障碍, 实时海量日志加工实践

1321 0

炉火纯青

如何使用Retrofit获取服务器返回来的JSON字符串

有关Retrofit的简单集成攻略，大家可以参考我此前的一篇文章有关更多API文档的查阅请大家到Retrofit官网查看。在大家使用网络请求的时候，往往会出现一种情况：需要在拿到服务器返回来的JSON字符串，而Retrofit会默认将Json解析，而又没有直接暴露出拿到Json字符串的方法，经过在网上一定的查阅，再次给大家一个简单的办法，就能够拿到Json字符串。

797 0

德哥

HTAP数据库 PostgreSQL 场景与性能测试之 12 - (OLTP) 字符串搜索 - 前后模糊查询

602 0

余二五

数据类型字符串

699 0

+关注

成喆

不忘初心方得始终

101

文章

问答

作者高分内容

来源圈子

阿里云存储服务

183549

阿里云存储基于飞天盘古2.0分布式存储系统，产品包括对象存储OSS、块存储Block Storage、共享文件存储NAS、表格存储、日志存储与分析、归档存储及混合云存储等，充分满足用户数据存储和迁移上云需求，连续三年跻身全球云存储魔力象限四强。

+ 订阅

文章排行榜

最热

日志服务数据加工: 查询字符串语法-阿里云开发者社区

日志服务数据加工: 查询字符串语法

概述

相关函数

功能概览

搜索值转义

字段名转义

子串搜索

语法

全文搜索

字段搜索

通配符搜索

全文搜索

字段搜索

完全匹配

语法

样例

正则表达式匹配

语法

样例

数值比较

范围类比较

语法

样例

数值直接比较

语法样例

逻辑关系

全局逻辑关系

样例

子串匹配逻辑关系

样例

字段判断

进一步参考