日志服务语言LOG DSL(Domain Specific Language)提供全局操作函数作为加工规则的步骤。
全局操作函数类型如下:
| 函数类型 | 函数 | 操作说明 |
|---|---|---|
| 流程控制函数 | e_if |
多个条件操作的组合操作 |
e_if_else |
if-else操作 | |
e_switch |
满足一个条件操作后跳出 | |
e_compose |
组合操作 | |
| 事件操作函数 | e_drop |
事件丢弃 |
e_keep |
事件保留 | |
e_split |
事件分裂 | |
e_output |
事件输出 | |
e_coutput |
事件复制输出 | |
e_to_metric |
转化为时序数据 | |
| 字段操作函数 | v |
获取字段值 |
e_set |
设置新的字段值 | |
e_drop_fields |
字段删除 | |
e_keep_fields |
字段保留 | |
e_pack_fields |
打包日志字段到新的字段 | |
e_rename |
字段重命名 | |
| 字段值提取函数 | e_regex |
正则提取 |
e_json |
JSON展开或提取 | |
e_kv |
自动提取键值对 | |
e_kv_delimit |
基于分隔符提取键值对 | |
e_csv |
基于逗号或其他分隔符提取 | |
e_tsv |
基于tab分隔符提取 | |
e_psv |
基于pipe(|)分隔符提取
|
|
e_syslogrfc |
根据Syslog协议提取字段值 | |
e_anchor |
提取起始位置和终止位置中间的值 | |
| 映射富化函数 | e_dict_map |
字典映射 |
e_table_map |
表格映射 | |
e_search_map |
搜索映射 | |
| 增值内容函数 | e_threat_intelligence |
获取威胁情报信息 |