一、阿里云日志服务 SPL 语法归纳

1. SPL 简介

SPL（Search Processing Language）用于查询和处理日志数据，支持检索、过滤、分析日志。

2. 基本查询语法

• 查询所有日志：

  *

• 条件过滤：

  response_status: 'error'

• 多条件查询：
  • AND

    response_status: 'error' AND request_method: 'POST'

  • OR

    response_status: 'error' OR response_status: 'timeout'

  • 优先级控制

    (response_status: 'error' OR response_status: 'timeout') AND request_method: 'GET'

3. 字符模糊匹配

• *：匹配任意字符（包括零个）
• ?：匹配单个字符
• 示例：

  request_url: '*api*'

  request_method: 'S?t'

4. 时间范围查询

@timestamp >= '2025-02-01' AND @timestamp < '2025-02-14'

• 示例：

  response_status: 'error' AND @timestamp >= '2025-02-01' AND @timestamp < '2025-02-14'

5. 排序和限制

• 排序（降序）：

  * | sort @timestamp desc

• 限制返回数量：

  * | limit 10

6. 聚合查询

• 统计各 response_status 发生次数：

  * | stats count() by response_status

7. 注意事项

• SPL 区分大小写（字段名、字符串）。
• 避免前置通配符（* 在开头会影响性能）。

二、阿里云日志服务 SQL 语法归纳

1. SQL 查询基础

• 查询所有日志

  * | SELECT * FROM log

• 分页查询

  * | SELECT * FROM log LIMIT ${offset}, ${pageSize}

2. 条件查询

• 单条件查询

  * | SELECT * FROM log WHERE response_status = 'error'

• 多条件查询
  • AND

    * | SELECT * FROM log WHERE response_status = 'error' AND request_method = 'POST'

  • OR

    * | SELECT * FROM log WHERE response_status = 'error' OR response_status = 'timeout'

  • 括号控制优先级

    * | SELECT * FROM log WHERE (response_status = 'error' OR response_status = 'timeout') AND request_method = 'GET'

3. 时间范围查询

• 查询特定时间范围内的日志

  * | SELECT * FROM log WHERE @timestamp BETWEEN '2025-02-01' AND '2025-02-14'

4. 排序和限制

• 按时间降序排序

  * | SELECT * FROM log ORDER BY @timestamp DESC

• 限制返回结果数量

  * | SELECT * FROM log LIMIT 10

5. 聚合查询

• 按 response_status 统计日志数量

  * | SELECT response_status, COUNT(*) AS count FROM log GROUP BY response_status

• 计算某字段的最大、最小、平均值

  * | SELECT MAX(duration), MIN(duration), AVG(duration) FROM log

6. 常见函数

• COUNT()：统计记录数量
• SUM()：求和
• AVG()：计算平均值
• MAX() / MIN()：获取最大/最小值

7. 注意事项

• SQL 区分大小写（字段名、字符串）。
• 避免前置通配符（* 在开头会影响查询性能）。
• GROUP BY 和聚合函数结合使用，避免 SQL 语法错误。