本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
fields
使用 fields 在查询结果中显示特定字段。
如果您的查询包含多个 fields 命令,且不包括 display 命令,则会显示在 fields 命令中指定的所有字段。
示例:显示特定字段
以下示例显示一个查询,将返回 20 个日志事件并按降序显示这些事件。查询结果将显示 @timestamp 和 @message 的值。
fields @timestamp, @message | sort @timestamp desc | limit 20
当您希望使用 fields 支持的不同函数和操作来修改字段值并创建可在查询中使用的新字段时,请使用 fields 而不是 display。
您可以将 fields 命令与关键字 as 配合使用,以创建使用您的日志事件中的字段和函数的提取字段。例如,fields ispresent as isRes 将创建一个名为 isRes 的提取字段,并且该提取字段可在查询的其余部分中使用。