Как исключить поле времени из результатов Sumo Logic?

Question

Как исключить поле времени из результатов Sumo Logic?

Как исключить поле метаданных Time (_messagetime) из моего набора результатов?
Я пробовал:

field -_messagetime

Но это дает мне ошибку

Field _messagetime not found, please check the spelling and try again.

С помощью:

fields -time

также не удаляет поле.

В настоящее время я обхожу это с помощью агрегата (подсчета), который не влияет на данные.

[РЕДАКТИРОВАТЬ] Вот пример запроса:

Удаление сообщения (_raw) работает. Но удаление времени (_messagetime) не делает.

Эти результаты используются в качестве оповещений по электронной почте, поэтому удаление поля "Время" с экрана не является возможным вариантом.

3

sumologic

Источник

user9825 08 янв '19 в 09:52

2 ответа

Другие вопросы по тегам sumologic

user1305718 09 янв '19 в 15:49 2019-01-09 15:49 · Answer 1 · 2019-01-09 15:49

Самый простой способ - просто отключить поле в окне обозревателя полей в левой части результатов:

Другой вариант - агрегировать, а затем удалить поле агрегирования, даже если вы просто агрегируете на _raw (который является необработанным сообщением):

_sourceCategory=blah
| count by _raw
| fields -_count

Если у вас все еще есть проблемы, можете ли вы поделиться остальной частью вашего запроса?

Изменить на основе вашего нового запроса:

*
| parse "Description=\"*\"" as Description
| parse "Date=\"*\"" as Date
| count by Description, Date, Action
| fields -_count

user1523758 08 янв '19 в 11:49 2019-01-08 11:49 · Answer 2 · 2019-01-08 11:49

Насколько я знаю, поле Time появилось в результате операции с временным интервалом. Следующее должно сделать трюк| fields - _timeslice

0

Источник

user1523758 08 янв '19 в 11:49