标签:pre try oca -- code 信息 table 查询 常用
只展示查询结果中的前10000条日志.
| head 10000
如果 字段1 的值为"a","b","c"中的任意一个,则 新字段1 的值为"结果1",否则 新字段1 的值为"结果2".
| eval 新字段1=if(字段1 in ("a","b","c"),"结果1","结果2")
生成IP对应的地区信息,会在结果中加入 Country,City 两个字段用来标明日志中IP的所在地.
| iplocation ip
| table Country,City,ip
标签:pre try oca -- code 信息 table 查询 常用
原文地址:https://www.cnblogs.com/congxinglong/p/13343211.html
