メインコンテンツまでスキップ
Sumo Logic Japanese

fields operator:

fields operator を使用すると、クエリの結果に表示するフィールドと、それらの順序を指定できます。fields operator を使用して、クエリとあまり関係のないフィールドを含む検索出力を整理できます。

fields operator には 2 つのモードがあります。

  • ホワイトリスト - 検索の出力には、指定されたフィールドのみが含まれます。
  • ブラックリスト - 検索の出力には、指定されたフィールド以外のすべてのフィールドが含まれます。

返されるフィールドの順序を指定する場合は、fields operator をクエリの最後で使用する必要があります。

ホワイトリスト

ホワイトリスト モードでは、指定したフィールドのみが検索出力に含まれます。たとえば、method と status_code 以外のすべてのフィールドを除外するには、クエリを次のように指定します。

_sourceCategory=Apache/Access 
| parse " \"* " as method
| parse "\" * " as status_code 
| fields method, status_code

検索結果は次のようになります。

Fields

ホワイトリスト クエリでは、すべてのシステム内部フィールド (名前の先頭が「_」であるフィールド) も渡すことができます。

ブラックリスト

ブラックリスト モードでは、指定したフィールドが除外され、それ以外のフィールドが検索出力に含まれます。ブラックリスト モードは、クエリにマイナス (-) 記号を含めることで指定します。たとえば、log_level、module、および process_id フィールドを除外するには、クエリを次のように指定します。

_sourceCategory=*apache* 
| fields - log_level, module, process_id

 

ブラックリスト クエリでは、すべてのシステム内部フィールド (名前の先頭が「_」であるフィールド) も除外できます。例:

_sourceCategory=*apache* 
| count by size 
| fields - _count

クエリで同じフィールドを繰り返し指定しないように注意してください。フィールドが重複しているとクエリが失敗します。 

非集計クエリと集計クエリの結果

クエリ結果に表示されるフィールドは、非集計クエリと集計クエリで異なります。

デフォルトでは、[Messages (メッセージ)] タブに表示される非集計クエリ結果には、# (結果リスト番号)、「Time」 (時刻)、および「Message」 (メッセージ) の各フィールドと、クエリでホワイトリストとして指定したフィールドが含まれます。

[Aggregate (集計)] タブに表示される集計クエリ結果には、クエリで指定したフィールドのみが含まれます。

たとえば、この非集計クエリでは:

_sourceCategory=Apache/Access
| parse " \"* " as method
| parse "\" * " as status_code
| fields method, status_code

検索結果は次のようになります。

Fields_nonaggregate

同じクエリに count by ステートメントを追加して集計クエリにすると:

_sourceCategory=Apache/Access
| parse " \"* " as method
| parse "\" * " as status_code
| count by method, status_code
| fields status_code, method

結果は次のようになります:

スペースや特殊文字を含むフィールド名の使用

Sumo Logic の検索言語では、フィールド名に a ~ z、A ~ Z、および _ を使用できます。その他の文字を使用する場合は、フィールド名を二重引用符で囲み、を % 文字でエスケープする必要があります。 

構文:    %"field_name"

次に例を示します。

| "Robot" as %"learning robot .33."

この例では、「learning robot .33.」というフィールドが「Robot」という値で作成されます。

フィールド順序の指定

デフォルトでは、非集計結果のフィールドはアルファベット順に並べられます。fields operator を使用することで、別の順序を指定できます。

たとえば、次のように指定すると:

| fields status_code, method

status_code フィールドが最初に表示され、その次に method フィールドが表示されます。

集計結果では、クエリでのリクエスト順にフィールドと列が並べられます。

たとえば、次のように指定すると:

| count by status_code, method

status_code フィールドが最初に表示され、その次に method フィールドが表示されます。

  • この記事は役に立ちましたか?