fields

使用 fields 在查詢結果中顯示特定欄位。

如果您的查詢包含多個 fields 命令且未包含 display 命令，則結果會顯示在 fields 命令中指定的所有欄位。

範例：顯示特定欄位

下列範例顯示一個查詢，它傳回 20 個日誌事件並按降序顯示它們。會在查詢結果中顯示 @timestamp 和 @message 的值。

fields @timestamp, @message
| sort @timestamp desc
| limit 20 

當您想要使用 fields 支援的不同函數和操作來修改欄位值並建立可在查詢中使用的新欄位時，使用 fields 而非 display。

您可以搭配使用 fields 命令和關鍵字 as，在日誌事件中建立使用欄位和函數的擷取欄位。例如：fields ispresent as isRes 會建立一個名為 isRes 的擷取欄位，而擷取欄位可在其餘查詢中使用。