Simple Log Service:Petunjuk transformasi data (versi baru)

Sintaks

| pack-fields -keep -ltrim -include=<include> -exclude=<exclude> as <output>

Parameter

Contoh

• Contoh 1: Mengemas semua field log ke dalam field test. Secara default, field asli yang dikemas dihapus.

  • Pernyataan SPL

    * | pack-fields -include='\w+' as test

  • Data masukan

    test1:123
    test2:456
    test3:789

  • Output

    test:{"test1": "123", "test2": "456", "test3": "789"}

• Contoh 2: Mengemas semua field log ke dalam field test tanpa menghapus field asli yang dikemas.

  • Pernyataan SPL

    * | pack-fields -keep -include='\w+' as test

  • Data masukan

    test1:123
    test2:456
    test3:789

  • Output

    test:{"test1": "123", "test2": "456", "test3": "789"}
    test1:123
    test2:456
    test3:789

• Contoh 3: Mengemas field test dan abcd ke dalam field content serta menyimpan field aslinya.

  • Pernyataan SPL

    * | pack-fields -keep -include='\w+' as content

  • Data masukan

    abcd@#%:123
    test:456
    abcd:789

  • Output

    abcd:789
    abcd@#%:123
    content:{"test": "456", "abcd": "789"}
    test:456

• Contoh 4: Mengemas semua field kecuali field test dan abcd ke dalam field content serta menghapus field asli yang dikemas.

  • Pernyataan SPL

    * | pack-fields -exclude='\w+' as content

  • Data masukan

    abcd@#%:123
    test:456
    abcd:789

  • Output

    abcd:789
    content:{"abcd@#%": "123"}
    test:456

• Contoh 5: Mengekstrak semua pasangan kunci-nilai yang sesuai dengan ekspresi reguler tertentu dari nilai field, lalu mengemasnya ke dalam field name.

  • Pernyataan SPL

    * | parse-kv -prefix='k_' -regexp dict, '(\w+):(\w+)' | pack-fields -include='k_.*' -ltrim = 'k_' as name

  • Data masukan

    dict: x:123, y:456, z:789

  • Output

    dict:x:123, y:456, z:789
    name:{"x": "123", "y": "456", "z": "789"}

Sintaks

| log-to-metric -wildcard -format -names=<names> -labels=<labels> -time_field=<time_field> -buckets=<buckets>

Parameter

Contoh

• Contoh 1: Mengubah log yang berisi field rt ke dalam format data deret waktu.

  • Pernyataan SPL

    * | log-to-metric -names='["rt"]'

  • Data masukan

    __time__: 1614739608
    rt: 123

  • Output

    __labels__:
    __name__:rt
    __time_nano__:1614739608
    __value__:123

• Contoh 2: Mengubah log yang berisi field rt ke dalam format data deret waktu, serta menggunakan field host sebagai label baru.

  • Pernyataan SPL

    * | log-to-metric -names='["rt"]' -labels='["host"]'

  • Data masukan

    __time__: 1614739608
    rt: 123
    host: myhost

  • Output

    __labels__:host#$#myhost
    __name__:rt
    __time_nano__:1614739608
    __value__:123

• Contoh 3: Mengubah log yang berisi field rt dan qps ke dalam format data deret waktu serta menggunakan field host sebagai label.

  • Pernyataan SPL

    * | log-to-metric -names='["rt", "qps"]' -labels='["host"]'

  • Data masukan

    __time__: 1614739608
    rt: 123
    qps: 10
    host: myhost

  • Output

    __labels__:host#$#myhost
    __name__:rt
    __time_nano__:1614739608
    __value__:123
    
    __labels__:host#$#myhost
    __name__:qps
    __time_nano__:1614739608
    __value__:10

• Contoh 4: Menggunakan pencocokan wildcard untuk mengubah log yang berisi field rt1 dan rt2 ke dalam format data deret waktu, serta menggunakan field host sebagai label baru.

  • Pernyataan SPL

    * | log-to-metric -wildcard -names='["rt*"]' -labels='["host"]'

  • Data masukan

    __time__: 1614739608
    rt1: 123
    rt2: 10
    host: myhost

  • Output

    __labels__:host#$#myhost
    __name__:rt1
    __time_nano__:1614739608
    __value__:123
    
    __labels__:host#$#myhost
    __name__:rt2
    __time_nano__:1614739608
    __value__:10

• Contoh 5: Mengubah log yang berisi field rt dan qps ke dalam format data deret waktu, menggunakan field host sebagai label baru, serta memformat nilai label baru secara otomatis.

  • Pernyataan SPL

    * | log-to-metric -format -names='["rt", "qps"]' -labels='["host"]'

  • Data masukan

    __time__: 1614739608
    rt: 123
    qps: 10
    host: myhost1|myhost2

  • Output

    __labels__:host#$#myhost1_myhost2
    __name__:rt
    __time_nano__:1614739608
    __value__:123
    
    __labels__:host#$#myhost1_myhost2
    __name__:qps
    __time_nano__:1614739608
    __value__:10

• Contoh 6: Mengubah log yang berisi field rt dan qps ke dalam format data deret waktu. Field tersebut diganti namanya menjadi max_rt dan total_qps, serta menggunakan field host sebagai label baru.

  • Pernyataan SPL

    * | project-rename max_rt = rt, total_qps = qps| log-to-metric -names='["max_rt", "total_qps"]' -labels='["host"]'

  • Data masukan

    __time__: 1614739608
    rt: 123
    qps: 10
    host: myhost

  • Output

    __labels__:host#$#myhost
    __name__:max_rt
    __time_nano__:1614739608
    __value__:123
    
    __labels__:host#$#myhost
    __name__:total_qps
    __time_nano__:1614739608
    __value__:10

• Contoh 7: Mengubah log yang berisi field rt dan qps ke dalam format data deret waktu. Field-field tersebut diganti namanya menjadi max_rt dan total_qps, sedangkan field host diganti namanya menjadi hostname untuk dijadikan label baru.

  • Pernyataan SPL

    * | project-rename max_rt = rt, total_qps = qps, hostname=host| log-to-metric -names='["max_rt", "total_qps"]' -labels='["hostname"]'

  • Data masukan

    __time__: 1614739608
    rt: 123
    qps: 10
    host: myhost

  • Output

    __labels__:hostname#$#myhost
    __name__:max_rt
    __time_nano__:1614739608
    __value__:123
    
    __labels__:hostname#$#myhost
    __name__:total_qps
    __time_nano__:1614739608
    __value__:10

• Contoh 8: Mengubah log yang berisi field remote_user ke dalam format data deret waktu. Gunakan field status sebagai label baru dan field time sebagai timestamp untuk data deret waktu.

  • Pernyataan SPL

    * | log-to-metric -names='["remote_user"]' -labels='["status"]' -time_field='time'

  • Data masukan

    time:1652943594
    remote_user:89
    request_length:4264
    request_method:GET
    status:200

  • Output

    __labels__:status#$#200
    __name__:remote_user
    __time_nano__:1652943594
    __value__:89

Sintaks

| metric-to-metric -format -add_labels=<add_labels> -del_labels=<del_labels> -rename_labels=<rename_labels> -buckets=<buckets>

Parameter

Contoh

• Contoh 1: Menambahkan label.

  • Pernyataan SPL

    * | extend qps = '10'|metric-to-metric -add_labels='["qps"]'

  • Data masukan

    __labels__:host#$#myhost
    __name__:rt
    __time_nano__:1614739608
    __value__:123

  • Output

    __labels__:host#$#myhost|qps#$#10
    __name__:rt
    __time_nano__:1614739608
    __value__:123

• Contoh 2: Menghapus label.

  • Pernyataan SPL

    * | metric-to-metric -del_labels='["qps"]'

  • Data masukan

    __labels__:host#$#myhost|qps#$#10
    __name__:rt
    __time_nano__:1614739608
    __value__:123

  • Output

    __labels__:host#$#myhost
    __name__:rt
    __time_nano__:1614739608
    __value__:123

• Contoh 3: Mengganti nama label.

  • Pernyataan SPL

    * | metric-to-metric -rename_labels='{"host":"etl_host"}'

  • Data masukan

    __labels__:host#$#myhost|qps#$#10
    __name__:rt
    __time_nano__:1614739608
    __value__:123

  • Output

    __labels__:etl_host#$#myhost|qps#$#10
    __name__:rt
    __time_nano__:1614739608
    __value__:123

• Contoh 4: Memformat data yang tidak valid.

  • Pernyataan SPL

    * | metric-to-metric -format

  • Data masukan

    __labels__:host#$#myhost|qps#$#10|asda$cc#$#j|ob|schema#$#|#$#|#$#xxxx
    __name__:rt
    __time_nano__:1614739608
    __value__:123

  • Output

    __labels__:asda_cc#$#j|host#$#myhost|qps#$#10
    __name__:rt
    __time_nano__:1614739608
    __value__:123