您可以使用e_drop函数或e_keep函数过滤日志,也可以使用e_if函数与e_drop()参数、e_if_else函数与e_drop()参数过滤日志。
常用规则如下所示:
- e_keep(e_has(...) ):满足条件时保留,不满足条件时丢弃。
- e_drop(e_has(...) ):满足条件时丢弃,不满足条件时保留。
- e_if_else(e_has("..."), e_keep(), e_drop()):满足条件时保留,不满足条件时丢弃。
- e_if(e_has("not ..."), e_drop()):满足条件时丢弃,不满足条件时保留。
- e_if(e_has("..."), e_keep()):无意义的加工规则。
示例
- 原始日志
#日志1 __tag__:observed_ts: 1597214851 entry: app_view id: 8412 self_tag: test_ok #日志2 entry: h5_view id: 8415 self_tag: test_ok2 - 加工规则
丢弃没有entry字段和__tag__:observed_ts字段的日志。e_if(e_not_has("entry"),e_drop()) e_if(e_not_has("__tag__:observed_ts"),e_drop()) - 加工结果
__tag__:observed_ts: 1597214851 entry: app_view id: 8412 self_tag: test_ok
