概述 -凯发k8国际|首页

j

api

spl接口

概述

spl是search processing language的简写,是高级搜索功能的实现。

uri

search/spl

参数

参数含义合法值默认值
source_group日志分组all和用户定义的日志分组名all
time_range搜索的时间范围
  • 以逗号分隔的两个以毫秒计的unix时间戳
  • 第二个值可用字符串now表示当前时间
  • 第一个值可用负号加数字加d或m表示距当前时间几天或几分钟,如-1d,-1m
-3d,now
query搜索语句需为spl的搜索语句: * | eval app=appname | eval rawlen=len(raw_message)
filter_field使用字段过滤使用字符串|-$!|分隔的field名和值。每个field的name和value之间用冒号分隔,value用双引号括起来;包括tag、 appname、 logtype也可通过此参数过滤:样例如logtype:"apache"|-$!|appache.status:"200"
order对结果排序descascdesc
page结果分页的页码大于等于0开始的数字0
size结果每页的数量大于等于1的数字20

参数样例

http://yottaapi.test:8190/v0/search/spl/?query=* | eval rawlen=len(raw_message) | stats avg(rawlen) as arl by hostname | sort by arl&ak=26d79d9f3e5033d4be8ad5c41355e9be&sign=5152e6d60a7811b84ac28445a266a636&qt=1454323425452&time_range=-200m,now

其中query经过了url转义,其原值为”* eval rawlen=len(raw_message) stats avg(rawlen) as arl by hostname sort by arl”。

返回结果说明

因为spl的语法用户可以自由组合,并且会不断扩充新语义,对应的返回格式为了能兼容现在和未来丰富的功能,我们对返回结果的表达进行了抽象:所有结果最终都会以用json表达的二维表格的形式返回,即体现为下述的fields,rows两个字段中。

具体返回格式为: