Oracle Cloud Infrastructure-Dokumentation

addfields

Verwenden Sie den Befehl addfields, um aggregierte Daten in Gruppen zu generieren, die durch einen Gruppierungsbefehl wie stats, link oder timestats identifiziert werden. Die Ausgabe des Befehls enthält ein Feld für jede Aggregation in der stats-Unterabfrage.

Sie können den Befehl addfields mit den Laufzeitfeldern verwenden, die mit den Befehlen stats, eventstats und eval generiert werden.

Syntax

addfields <subquery> [, <subquery>]

Dabei kann subquery wie folgt erweitert werden: [ <logical_expression> / <boolean_expression> | <eventstats_functions> / <stats_functions> ]

Parameter

In der folgenden Tabelle sind die in diesem Befehl verwendeten Parameter sowie deren Beschreibungen aufgeführt.

Parameter Beschreibung

logical_expression, boolean_expression

Jede Unterabfrage muss mit einem logischen oder booleschen Ausdruck beginnen, um eine Teilmenge der Daten in jeder Gruppe auszuwählen. Weitere Informationen zu den Ausdrücken finden Sie unter search und where.

eventstats_functions Die eventstats-Funktionen, die auf Gruppeneigenschaften angewendet werden. Weitere Details zu den verfügbaren Funktionen finden Sie unter eventstats.

stats_functions

Die stats-Funktionen für die ausgewählten Daten. Weitere Details zu den verfügbaren Funktionen finden Sie unter stats.

Der Befehl addfields kann in den folgenden Modi verwendet werden:

  • Für Felder in der Logdatei:

    addfields [ <field> | stats ...]

  • Für Felder, die außerhalb von link mit eval erstellt werden: 

    addfields [ * | where <field> | stats ...]

  • Für Felder, die in link mit einem stats, eventstats oder eval erstellt werden: 

    addfields [ * | where <field> | eventstats ...]

Beispiele zur Verwendung dieses Befehls in typischen Szenarios finden Sie unter:

Die folgenden Befehle geben die Anzahl basierend auf dem Entitynamensmuster für jeden Entitytyp zurück:

* | link 'Entity Type' 
| addfields 
    [ substr(Entity, 0, 3) = 'adc' | stats count as 'ADC Count' ], 
    [ substr(Entity, 0, 3) = 'slc' | stats count as 'SLC Count']
* | stats count by 'Entity Type' 
| addfields 
    [ substr(Entity, 0, 3) = 'adc' | stats count as 'ADC Count' ], 
    [ substr(Entity, 0, 3) = 'slc' | stats count as 'SLC Count']

Die folgenden Befehle geben die Anzahl basierend auf dem Entitynamensmuster für jeden Entitytyp zurück:

* | link 'Entity Type' 
| stats avg('Content Size') as 'Content Size', earliest(Severity) as Severity 
| addfields 
    [ * | where 'Entity Type' = 'Cluster Database'     
        | sort 'Content Size' 
        | eventstats first('Content Size') by Severity 
    ]
* | stats avg('Content Size') as 'Content Size', earliest(Severity) as Severity by 'Entity Type'  
| addfields 
    [ * | where 'Entity Type' = 'Cluster Database' 
        | sort 'Content Size' 
        | eventstats first('Content Size') by Severity ]

Identifizieren Sie das letzte Ereignis anhand der Zeilennummer:

'Log Source' = 'Database Alert Logs' and Label != null and Entity = MyDB
| rename Entity as Database
| link span = 1minute Time, Database, Label
| sort Database, 'Start Time'
| eventstats rownum as 'Row Number' by Database
| addfields
   [ * | where Label = 'Abnormal Termination'
       | eventstats last('Row Number') as 'Crash Row'
   ]