Documentação do Oracle Cloud Infrastructure

addfields

Use o comando addfields para gerar dados agregados dentro de grupos identificados por qualquer comando de agrupamento, como stats, link ou timestats. A saída do comando inclui um campo para cada agregação na subconsulta stats.

Você pode usar o comando addfields com os campos de runtime que são gerados usando os comandos stats, eventstats e eval.

Sintaxe

addfields <subquery> [, <subquery>]

em que subquery pode ser expandido da seguinte forma: [ <logical_expression> / <boolean_expression> | <eventstats_functions> / <stats_functions> ]

Parâmetros

A tabela a seguir lista os parâmetros usados nesse comando, com suas descrições.

Parâmetro Descrição

logical_expression, boolean_expression

Cada subconsulta deve começar com uma expressão lógica ou booliana para selecionar um subconjunto de dados dentro de cada grupo. Consulte pesquisar e onde para obter detalhes sobre as expressões.

eventstats_functions As funções eventstats a serem aplicadas nas propriedades de grupo. Consulte eventstats para obter detalhes sobre as funções disponíveis.

stats_functions

As funções stats a serem aplicadas nos dados selecionados. Consulte stats para obter detalhes sobre as funções disponíveis.

O comando addfields pode ser usado nos seguintes modos:

  • Para campos que são encontrados no arquivo de log:

    addfields [ <field> | stats ...]

  • Para campos criados fora de link usando eval: 

    addfields [ * | where <field> | stats ...]

  • Para campos criados dentro de link usando um stats, eventstats ou eval: 

    addfields [ * | where <field> | eventstats ...]

Para obter exemplos de como usar esse comando em cenários típicos, consulte:

Os comandos a seguir retornam contagens com base no padrão de nome de entidade para cada tipo de entidade:

* | link 'Entity Type' 
| addfields 
    [ substr(Entity, 0, 3) = 'adc' | stats count as 'ADC Count' ], 
    [ substr(Entity, 0, 3) = 'slc' | stats count as 'SLC Count']
* | stats count by 'Entity Type' 
| addfields 
    [ substr(Entity, 0, 3) = 'adc' | stats count as 'ADC Count' ], 
    [ substr(Entity, 0, 3) = 'slc' | stats count as 'SLC Count']

Os comandos a seguir retornam contagens com base no padrão de nome de entidade para cada tipo de entidade:

* | link 'Entity Type' 
| stats avg('Content Size') as 'Content Size', earliest(Severity) as Severity 
| addfields 
    [ * | where 'Entity Type' = 'Cluster Database'     
        | sort 'Content Size' 
        | eventstats first('Content Size') by Severity 
    ]
* | stats avg('Content Size') as 'Content Size', earliest(Severity) as Severity by 'Entity Type'  
| addfields 
    [ * | where 'Entity Type' = 'Cluster Database' 
        | sort 'Content Size' 
        | eventstats first('Content Size') by Severity ]

Identifique o último evento usando o número da linha:

'Log Source' = 'Database Alert Logs' and Label != null and Entity = MyDB
| rename Entity as Database
| link span = 1minute Time, Database, Label
| sort Database, 'Start Time'
| eventstats rownum as 'Row Number' by Database
| addfields
   [ * | where Label = 'Abnormal Termination'
       | eventstats last('Row Number') as 'Crash Row'
   ]