解锁DQL高级玩法——对日志关键信息提取和分析

可观测性用观测云2025-09-26 19:38

背景

许多用户在日志查询方面已经积累了一定的使用习惯,尤其是习惯于使用某些查询语法进行高效检索。现在,日志数据全面接入观测云并通过 DataKit 进行采集,用户最关心的问题是:能否通过 DQL 实现以往熟悉的查询方式,甚至更进一步提升效率?答案是肯定的,DQL 不仅具备高度灵活性,还能提供更强大的日志处理能力。下面我们通过一个脱敏后的真实案例,逐步演示如何利用 DQL 高效解析和统计日志。

示例日志

一行典型的业务日志(已脱敏):

json 复制代码 
{
  "timestamp": "2025-06-10 11:09:06.558",
  "level": "INFO",
  "thread": "XXXXXXXXXXXXXXXXXXXXXX6",
  "mdc": {
    "traceId": "f961xxxxd4ab8",
    "spanId": "96b41dxxxxxx5111c",
    "x-st-correlation": "XXXXXXXXXXXXXXXXXX23"
  },
  "message": "User :aaaabbbdd is rate limited",
  "context": "default"
}

需求分析

用户常见的查询需求可概括为以下几步:

  1. 从日志中提取特定信息(如 userid:aaaabbdd)
  2. 对提取出的信息进行数量统计
  3. 对统计结果进行排序

以往在某些查询平台中,用户可能会编写类似以下的语句(语法仅为示意):

csharp 复制代码 
_index=tier3_app_auth _source=aaa _sourceCategory=prod "is rate limited" | parse ""message":"User :* is rate limited"" as userId | count by userId | sort by _count desc as you can see the log is "User : is rate limited".

接下来我们将展示如何通过 DQL 实现相同甚至更优的效果。

DQL 实现

为了清晰体现从解析到统计的完整流程,我们分两步实现:

Step1:提取 userid

通过 DQL 的 regexp_extract() 函数,使用正则表达式从 message 字段中提取 userid:

csharp 复制代码 
# explain
 L('日志索引')::`日志来源`:(regexp_extract(message,'正则表达式', 1) as m1)
 
# DQL
L('default')::`san1`:(regexp_extract(message,'User :(.*) is rate limited', 1) as m1)

该语句执行后返回提取出的 ml 字段,即 userid。

字段说明 示例值
default 日志索引(Index)
san1 日志来源(Source)
message 要解析的字段
1 正则里第 1 个捕获组

函数 regexp_extract 中对应参数解释如下:

非命名参数 描述 类型 是否必填 默认值
字段名称 查询的字段 string
正则表达式 包含捕获组的正则表达式 string
返回的分组 返回的第 n 个分组 int 0(表示匹配整个正则表达式),1(表示匹配正则表达式中第一组,以此类推...)

查询返回的结果如下(m1列就是日志原文中提取出来的 uesrid):

Step2:统计与排序

接下来我们使用嵌套查询,对上一步提取出的 ml(userid)进行计数和排序:

python 复制代码 
# datasource 数据来源
# target_clause 指定要查询的列
# by-clause 分组依据
# sorder-by-clause 排序查询结果

'''
L::(
    __datasource__
):(
    __target_clause__
) by-clause 
sorder-by-clause
 '''

# DQL结构拆解
'''

L::(
    L('default')::`san1`:(
        regexp_extract(message,'User :(.*) is rate limited', 1) as m1
     )
):(
    count(`m1`) as c1
) by m1 
sorder by c1 desc

'''


# DQL
L::(L('default')::`san1`:(regexp_extract(message,'User :(.*) is rate limited', 1) as m1)):(count(`m1`) as c1) by m1 sorder by c1 desc

执行结果:

  • ml:提取出的 userid
  • c1:该 userid 出现的次数
  • 结果按 c1 降序排列

总结

通过正则提取 + 嵌套查询的组合,DQL 能够高效完成日志解析、统计和排序等复杂操作。依托观测云的高性能日志处理引擎,即使在大规模数据场景下,查询仍能秒级返回结果。DQL 语法简洁却功能强大,支持用户在不改变原有检索习惯的基础上,进一步提升日志分析效率与灵活性。

相关推荐
晨晖21 小时前
springboot的Thymeleaf语法
java·spring boot·后端
seven97_top1 小时前
SpringCloud 常见面试题(二)
后端·spring·spring cloud
b***66611 小时前
【springboot】健康检查 监控
java·spring boot·后端
databook2 小时前
让你的动画“活”过来:Manim 节奏控制指南 (Rate Functions)
后端·python·动效
n***33352 小时前
SpringBoot返回文件让前端下载的几种方式
前端·spring boot·后端
XUN4J2 小时前
深入浅出谈谈RPC框架
后端
Java水解2 小时前
功能全面的PostgreSQL图形化管理工具pgAdmin3实战详解
后端·postgresql
毕设源码-邱学长2 小时前
【开题答辩全过程】以 基于SpringBoot的医院血库管理系统设计与实现为例,包含答辩的问题和答案
java·spring boot·后端
舒一笑2 小时前
PandaCoder 的解构与新生:为中文开发者造一束专注的光
后端·程序员·intellij idea
清风徐来QCQ3 小时前
Spring Boot 静态资源路径映射
java·spring boot·后端
热门推荐
01GitHub 镜像站点02BongoCat - 跨平台键盘猫动画工具03【保姆级教程】免费使用Gemini3的5种方法!免翻墙/国内直连04UV安装并设置国内源05Google Antigravity:无法登录?早期错误、登录修复和用户反馈指南06安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)07Linux下V2Ray安装配置指南08今天 Cloudflare 全球事故,连 GPT 和你的网站都一起“掉线”了09全球最强模型Grok4,国内已可免费使用!(附教程)1046个Nano-banana 精选提示词,持续更新中