rename
rename 命令用于重命名搜索结果中的一个或多个字段。
rename 命令对不存在的字段的处理方式如下:
将不存在的字段重命名为不存在的字段:搜索结果不发生任何变化。
将不存在的字段重命名为已存在的字段:已存在的目标字段将从搜索结果中移除。
将已存在的字段重命名为已存在的字段:已存在的目标字段被移除,源字段被重命名为目标字段。
rename 命令不会被重写为查询领域特定语言 (DSL)。它仅在协调节点上执行。
语法
rename 命令的语法如下:
rename <source-field> AS <target-field>["," <source-field> AS <target-field>]...
参数
rename 命令支持以下参数。
| 参数 | 必需/可选 | 描述 |
|---|---|---|
<source-field> |
必需 | 要重命名的字段名称。支持使用 * 的通配符模式。 |
<target-field> |
必需 | 要重命名成的名称。必须包含与源字段相同数量的通配符。 |
示例 1:重命名字段
以下查询重命名一个字段:
source=accounts
| rename account_number as an
| fields an
该查询返回以下结果:
示例 2:重命名多个字段
以下查询重命名多个字段:
source=accounts
| rename account_number as an, employer as emp
| fields an, emp
该查询返回以下结果:
