fields

fields 命令用于指定应在搜索结果中包含或排除哪些字段。

语法

fields 命令的语法如下:

fields [+|-] <field-list>

参数

fields 命令支持以下参数。

参数 必需/可选 描述
<field-list> 必需 要保留或移除的字段列表,以逗号或空格分隔。支持通配符模式。
[+|-] 可选 如果使用加号 (+),则仅包含 field-list 中指定的字段。如果使用减号 (-),则排除 field-list 中指定的所有字段。默认值为 +

示例 1:从搜索结果中选择指定字段

以下查询展示了如何从搜索结果中获取 account_numberfirstnamelastname 字段:

source=accounts
| fields account_number, firstname, lastname

该查询返回以下结果:

../../../../_images/fileds-1.png

示例 2:从搜索结果中移除指定字段

以下查询展示了如何从搜索结果中移除 account_number 字段:

source=accounts
| fields account_number, firstname, lastname
| fields - account_number

该查询返回以下结果:

../../../../_images/fileds-2.png

示例 3:使用空格分隔的字段选择

字段可以使用空格而非逗号来指定,提供更简洁的语法:

source=accounts
| fields firstname, lastname, age

该查询返回以下结果:

../../../../_images/fileds-3.png