fields
Mit diesem Befehl können Sie angeben, welche Felder basierend auf den Feldnamen zu den abgerufenen Ergebnissen hinzugefügt oder daraus entfernt werden sollen.
-
Original Log Contentwird standardmäßig hinzugefügt, wenn keinfields-Befehl angegeben ist. Das Standardfeld kann bei Bedarf ausgeschlossen werden. Wenn das Standardfeld ausgeschlossen und kein anderes Feld angegeben ist, wird eine leere Antwort mit nur der übereinstimmenden Anzahl verfügbarer Ergebnisse zurückgegeben, es sei denn, diese wurde ebenfalls explizit ausgeschlossen. -
Wenn mehrere Feldnamen mit demselben Präfix vorhanden sind, können Sie alle mit dem Platzhalter
*filtern. Beispiel: Anstelle von:fields Derived Field1, Derived Field2, Derived Field3Sie können folgende Elemente verwenden:
fields Derived*oder
field -Derived*Ebenso werden die Platzhalter
%und?ebenfalls unterstützt. Weitere Informationen zu Platzhaltern finden Sie unter Schlüsselwörter, Wortgruppen und Platzhalter verwenden.
Syntax
fields [+|-] <field_name> (,[+|-]<field_name>)*Parameter
In der folgenden Tabelle sind die mit diesem Befehl verwendeten Parameter und Variablen sowie deren Beschreibungen aufgeführt.
| Parameter | Beschreibung |
|---|---|
|
|
Verwenden Sie diese Variable, um das Feld anzugeben, aus oder in das Dateien hinzugefügt werden sollen. |
Beispiele zur Verwendung dieses Befehls in typischen Szenarios finden Sie unter:
Die folgende Abfrage gibt eine Liste von Logs mit Zeitstempel, Ziel, Zieltyp und Schweregrad zurück.
* | fields Time, Target, 'Target Type', Severity