Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
fields
Verwenden Sie fields, um bestimmte Felder in Abfrageergebnissen anzuzeigen.
Wenn Ihre Abfrage mehrere fields-Befehle und keinen display-Befehl enthält, werden in den Ergebnissen alle Felder angezeigt, die in den fields-Befehlen angegeben sind.
Beispiel: Bestimmte Felder anzeigen
Das folgende Beispiel zeigt eine Abfrage, die 20 Protokollereignisse zurückgibt und sie in absteigender Reihenfolge anordnet. Die Werte für @timestamp und @message werden in den Abfrageergebnissen angezeigt.
fields @timestamp, @message | sort @timestamp desc | limit 20
Verwenden Sie diese Option fields anstelle von, display wenn Sie die verschiedenen Funktionen und Operationen verwenden möchten, die von unterstützt werden, fields um Feldwerte zu ändern und neue Felder zu erstellen, die in Abfragen verwendet werden können.
Sie können den fields-Befehl mit dem Schlüsselwort as verwenden, um extrahierte Felder zu erstellen, die Felder und Funktionen in Ihren Protokollereignissen verwenden. Beispielsweise erstellt fields ispresent as
isRes ein extrahiertes Feld mit dem Namen isRes und das extrahierte Feld kann für den Rest Ihrer Abfrage verwendet werden.
