fields

fields を使用して、クエリ結果の特定のフィールドを表示します。

クエリに複数の fields コマンドが含まれ、display コマンドが含まれていない場合は、結果に、fields コマンドで指定されたすべてのフィールドが表示されます。

例: 特定のフィールドを表示する

以下は、20 個のログイベントを返し、それらを降順で表示するクエリの例です。@timestamp と @message の値がクエリ結果に表示されます。

fields @timestamp, @message
| sort @timestamp desc
| limit 20 

フィールド値を変更したり、クエリで使用できる新しいフィールドを作成したりするため、fields がサポートしている異なる関数や演算を使用するときは、display ではなく fields を使用します。

fields コマンドを as キーワードと共に使用すると、ログイベント内の関数とフィールドを使用して抽出フィールドを作成できます。例えば、fields ispresent as isRes はクエリの残りの部分で使用できる isRes という名前の抽出フィールドを作成します。