如何从Sumo Logic结果中排除时间字段?
如何从结果集中排除时间(_messagetime)元数据字段?
我尝试过:
field -_messagetime
但这给了我错误
Field _messagetime not found, please check the spelling and try again.
使用:
fields -time
也不会删除该字段。
目前,我正在使用对数据没有影响的聚合(计数)来解决这个问题。
[编辑]
这是一个示例查询:
删除消息(_raw)有效。但是删除时间(_messagetime)并没有。
这些结果被用作电子邮件警报,因此从“显示”中删除“时间”字段并不是真正的选择。
2 个答案:
答案 0 :(得分:1)
最简单的方法是在结果左侧的字段浏览器窗口中关闭该字段:
另一种选择是先聚合然后删除聚合字段-即使您只是在_raw上聚合(原始消息):
_sourceCategory=blah
| count by _raw
| fields -_count
如果您仍然遇到问题,可以共享其余查询吗?
根据您的新查询进行编辑:
*
| parse "Description=\"*\"" as Description
| parse "Date=\"*\"" as Date
| count by Description, Date, Action
| fields -_count
答案 1 :(得分:0)
据我所知,时间字段是时间片操作的结果。以下应该做的把戏
| fields - _timeslice
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?