SPL から APL へのトランスレータ

型安全性: status などのフィールドは文字列として保存されることがよくあります。数値比較の前に必ずキャストしてください: toint(status) >= 500（status >= 500 ではなく）。

---

重要な相違点

1. APL では時間が明示的: SPL のタイムピッカーは変換されません — where _time between (ago(1h) .. now()) を追加してください
2. 構造: SPL index=... | command → APL ['dataset'] | operator
3. Join はプレビュー: 50k 行に制限、inner/innerunique/leftouter のみ
4. cidrmatch の引数が逆: SPL cidrmatch(cidr, ip) → APL ipv4_is_in_range(ip, cidr)

---

コマンド マッピング一覧

SPL	APL	備考
search index=...	['dataset']	インデックスをデータセットで置き換え
search field=value	where field == "value"	明示的な where
where	where	同じ
stats	summarize	異なる集約構文
eval	extend	フィールド作成・変更
table / fields	project	列を選択
fields -	project-away	列を削除
rename x as y	project-rename y = x	名前変更
sort / sort -	order by ... asc/desc	ソート
head N	take N	行数制限
top N field	summarize count() by field | top N by count_	2ステップ
dedup field	summarize arg_max(_time, *) by field	最新版を保持
rex	parse または extract()	正規表現抽出
join	join	プレビュー機能
append	union	データセット結合
mvexpand	mv-expand	配列を展開
timechart span=X	summarize ... by bin(_time, X)	手動ビニング
rare N field	summarize count() by field | order by count_ asc | take N	下位 N
spath	parse_json() または json['path']	JSON アクセス
transaction	直接の同等物なし	summarize + make_list を使用

完全なマッピング: reference/command-mapping.md

---

Stats → Summarize

# SPL
| stats count by status

# APL  
| summarize count() by status

主要な関数マッピング

SPL	APL
count	count()
count(field)	countif(isnotnull(field))
dc(field)	dcount(field)
avg/sum/min/max	同じ
median(field)	percentile(field, 50)
perc95(field)	percentile(field, 95)
first/last	arg_min/arg_max(_time, field)
list(field)	make_list(field)
values(field)	make_set(field)

条件付きカウント パターン

# SPL
| stats count(eval(status>=500)) as errors by host

# APL
| summarize errors = countif(status >= 500) by host

完全な関数リスト: reference/function-mapping.md

---

Eval → Extend

# SPL
| eval new_field = old_field * 2

# APL
| extend new_field = old_field * 2

主要な関数マッピング

SPL	APL	備考
if(c, t, f)	iff(c, t, f)	'f' が2つ
case(c1,v1,...)	case(c1,v1,...,default)	デフォルト必須
len(str)	strlen(str)
lower/upper	tolower/toupper
substr	substring	APL では 0 インデックス
replace	replace_string
tonumber	toint/tolong/toreal	明示的な型指定
match(s,r)	s matches regex "r"	オペレータ
split(s, d)	split(s, d)	同じ
mvjoin(mv, d)	strcat_array(arr, d)	配列を結合
mvcount(mv)	array_length(arr)	配列長

Case ステートメント パターン

# SPL
| eval level = case(
    status >= 500, "error",
    status >= 400, "warning",
    1==1, "ok"
  )

# APL  
| extend level = case(
    status >= 500, "error",
    status >= 400, "warning",
    "ok"
  )

注: SPL の 1==1 キャッチオールは APL では暗黙的なデフォルトになります。

---

Rex → Parse/Extract

# SPL
| rex field=message "user=(?<username>\w+)"

# APL - 正規表現で解析
| parse kind=regex message with @"user=(?P<username>\w+)"

# APL - extract 関数  
| extend username = extract("user=(\\w+)", 1, message)

シンプルなパターン（正規表現以外）

# SPL
| rex field=uri "^/api/(?<version>v\d+)/(?<endpoint>\w+)"

# APL
| parse uri with "/api/" version "/" endpoint

---

時間処理

SPL のタイムピッカーは変換されません。常に明示的な時間範囲を追加します:

# SPL (タイムピッカー: 過去 24 時間)
index=logs

# APL
['logs'] | where _time between (ago(24h) .. now())

Timechart 翻訳

# SPL
| timechart span=5m count by status

# APL
| summarize count() by bin(_time, 5m), status

---

一般的なパターン

エラー率計算

# SPL
| stats count(eval(status>=500)) as errors, count as total by host
| eval error_rate = errors/total*100

# APL
| summarize errors = countif(status >= 500), total = count() by host
| extend error_rate = toreal(errors) / total * 100

サブクエリ（subsearch）

# SPL
index=logs [search index=errors | fields user_id | format]

# APL
let error_users = ['errors'] | where _time between (ago(1h) .. now()) | distinct user_id;
['logs']
| where _time between (ago(1h) .. now())
| where user_id in (error_users)

データセットの結合

# SPL
| join user_id [search index=users | fields user_id, name]

# APL
| join kind=inner (['users'] | project user_id, name) on user_id

Transaction のようなグループ化

# SPL
| transaction session_id maxspan=30m

# APL (直接の同等物なし — summarize で再構成)
| summarize 
    start_time = min(_time),
    end_time = max(_time),
    events = make_list(pack("time", _time, "action", action)),
    duration = max(_time) - min(_time)
  by session_id
| where duration <= 30m

---

文字列マッチングのパフォーマンス

SPL	APL	速度
field="value"	field == "value"	最速
field="*value*"	field contains "value"	中速
field="value*"	field startswith "value"	高速
match(field, regex)	field matches regex "..."	最遅

contains より has を優先してください（単語境界マッチングの方が高速）。大文字と小文字を区別する場合は _cs バリアントを使用してください（より高速）。

---

リファレンス

• reference/command-mapping.md — コマンド完全リスト
• reference/function-mapping.md — 関数完全リスト
• reference/examples.md — クエリ翻訳の完全な例
• APL ドキュメント: https://axiom.co/docs/apl/introduction