Documentation Oracle Cloud Infrastructure

addfields

Utilisez la commande addfields pour générer des données agrégées dans des groupes identifiés par une commande de regroupement telle que stats, link ou timestats. La sortie de la commande inclut un champ pour chaque agrégation dans la sous-requête stats.

Vous pouvez utiliser la commande addfields avec les champs d'exécution générés à l'aide des commandes stats, eventstats et eval.

Syntaxe

addfields <subquery> [, <subquery>]

subquery peut être développé comme suit : [ <logical_expression> / <boolean_expression> | <eventstats_functions> / <stats_functions> ]

Paramètres

Le tableau suivant répertorie les paramètres utilisés dans cette commande, ainsi que leur description.

Paramètre Description

logical_expression, boolean_expression

Chaque sous-requête doit commencer par une expression logique ou booléenne pour sélectionner un sous-ensemble de données au sein de chaque groupe. Pour plus d'informations sur les expressions, reportez-vous à search et à where.

eventstats_functions Fonctions eventstats à appliquer aux propriétés de groupe. Pour plus d'informations sur les fonctions disponibles, reportez-vous à eventstats.

stats_functions

Fonctions stats à appliquer aux données sélectionnées. Pour plus d'informations sur les fonctions disponibles, reportez-vous à stats.

La commande addfields peut être utilisée dans les modes suivants :

  • Pour les champs trouvés dans le fichier journal :

    addfields [ <field> | stats ...]

  • Pour les champs créés en dehors de link à l'aide de eval : 

    addfields [ * | where <field> | stats ...]

  • Pour les champs créés dans link à l'aide de stats, eventstats ou eval : 

    addfields [ * | where <field> | eventstats ...]

Pour obtenir des exemples d'utilisation de cette commande dans des scénarios standard, reportez-vous aux sections suivantes :

Les commandes suivantes renvoient des décomptes en fonction du modèle de nom d'entité pour chaque type d'entité :

* | link 'Entity Type' 
| addfields 
    [ substr(Entity, 0, 3) = 'adc' | stats count as 'ADC Count' ], 
    [ substr(Entity, 0, 3) = 'slc' | stats count as 'SLC Count']
* | stats count by 'Entity Type' 
| addfields 
    [ substr(Entity, 0, 3) = 'adc' | stats count as 'ADC Count' ], 
    [ substr(Entity, 0, 3) = 'slc' | stats count as 'SLC Count']

Les commandes suivantes renvoient des décomptes en fonction du modèle de nom d'entité pour chaque type d'entité :

* | link 'Entity Type' 
| stats avg('Content Size') as 'Content Size', earliest(Severity) as Severity 
| addfields 
    [ * | where 'Entity Type' = 'Cluster Database'     
        | sort 'Content Size' 
        | eventstats first('Content Size') by Severity 
    ]
* | stats avg('Content Size') as 'Content Size', earliest(Severity) as Severity by 'Entity Type'  
| addfields 
    [ * | where 'Entity Type' = 'Cluster Database' 
        | sort 'Content Size' 
        | eventstats first('Content Size') by Severity ]

Identifiez le dernier événement à l'aide du numéro de ligne :

'Log Source' = 'Database Alert Logs' and Label != null and Entity = MyDB
| rename Entity as Database
| link span = 1minute Time, Database, Label
| sort Database, 'Start Time'
| eventstats rownum as 'Row Number' by Database
| addfields
   [ * | where Label = 'Abnormal Termination'
       | eventstats last('Row Number') as 'Crash Row'
   ]