Copilot for SPL用户手册

SPL生成

原始日志中的待加工日志：

[
    {
        "content": "[2025-11-27 11:11:08,232][1a2b3c4d-5e6f-4789-a0b1-c2d3e][INFO] curl -H 'Host: 'http://sls.console.aliyun.com:8080/etl/api -d {\"APIVersion\":\"0.6.0\",\"AccessKeyId\":\"STS.NZ*****eq\",\"AccessKeySecret\":\"123\"}"
    }
]

和AI进行多轮对话，具体内容如下：

* | parse-regexp content, '\[([^]]+)\]\[([^]]+)\]\[([^]]+)\]\s+(.*)' as timestamp, trace_id, level, request_part
| extend headers = regexp_extract(request_part, "-H\s+'([^']+)'", 1),
body_str = regexp_extract(request_part, "-d\s+'(\{[^}]+\})'", 1),
url = regexp_extract(request_part, "'(http[^\s']+)'", 1),
method = regexp_extract(request_part, '-X\s+(\w+)', 1)
| parse-json body_str

* | extend json_str = regexp_extract(content, '\{.*\}')
| extend parsed_json = json_parse(json_str)
| parse-json parsed_json

* | extend json_str = regexp_extract(content, '\{.*\}')
| extend parsed_json = json_parse(json_str)
| parse-json parsed_json
| where level = 'ERROR'

SPL问答

用户问题：如何打包Json

AI助手答复：

正确答案：用 pack-fields 指令！

比如： * | pack-fields -include='\w+' as packed_json

这个语句的意思是：把所有字段都打包成一个叫 packed_json 的JSON对象，超方便！

SPL小贴士：

pack-fields 是专门用来打包字段的，比手动拼接字符串优雅多了！
-include='\w+' 表示包含所有字段（\w+ 是正则表达式，匹配字母数字下划线）
如果只想打包特定字段，可以写成 pack-fields request_info = method, uri, status 这样更灵活！
举个栗子： 假设你有这些字段：method=GET, uri=/api/v1/users, status=200 执行后会变成： packed_json = {"method":"GET","uri":"/api/v1/users","status":"200"}

SPL诊断

用户问题：

* | ||pack-fields -include='\w+' as packed_json

AI助手答复：

您的SPL语句中存在一个明显的语法错误： * | ||pack-fields -include='\w+' as packed_json

错误原因：
在SPL中，管道符 | 用于连接指令，但您写成了 ||（两个连续的管道符），这是非法语法！

正确写法应为：

* | pack-fields -include='\w+' as packed_json
建议：

删除多余的 |，保留单个管道符
如果要对特定字段打包，请使用更精确的字段列表，例如：
pack-fields method, uri, status as packed_json