as operator

フィールドの名前変更

フィールドの名前を変更すると、元のフィールドはそのまま残りますが、新しいフィールドが追加されます。

既存のフィールド ip_addr の名前を src_ip に変更するには、次の構文を使用します。

ip_addr as src_ip

そこで、次のようなクエリ全文があるとします。

_sourceCategory=Apache/Access
| parse "* - - " as ip_addr
| ip_addr as src_ip

この場合、結果は次のようになります。

定数フィールドの新規作成

次の例では、既存のフィールド (src_ip) を新しい定数 (127.10.10.1) でシードします。

_sourceCategory=Apache/Access
| "127.10.10.1" as src_ip

このステートメントでは、次で示しているように、返されるすべてのメッセージについて、127.10.10.1 の値を変数 src_ip に「ハードコード化」します。

次の例では、新しいフィールド (test_src_ip) を作成し、定数 (127.10.10.1) でシードします。

_sourceCategory=Apache/Access
| parse "* - -" as src_ip
| "127.10.10.1" as test_src_ip

次のような結果が得られます。

他の operator と組み合わせた as の使用

as operator は、たとえば、ログ行を何行か作成して、次のクエリのような特定の値でシードする場合のテストに便利です。

_sourceCategory=Apache/Access
| limit 5
| "127.10.10.1" as src_ip
| "404" as status_code
| "www.sumologic.com" as url

次のような結果が得られます。

次の例では、as を parse の後で使用し、パターン "* - - " の変数に src_ip という名前を付けます。

_sourceCategory=Apache/Access
| parse "* - - " as src_ip

この例では、as を使用して _count フィールドの名前を errors に変更します。  

_sourceCategory=Apache/Access status_code=404
| count(status_code) as errors