如何从我的结果集中排除时间 (_messagetime) 元数据字段?
我试过了:
field -_messagetime
但它给了我错误
Field _messagetime not found, please check the spelling and try again.
使用:
fields -time
也不删除该字段。
目前我正在通过使用对数据没有影响的聚合(计数)来解决这个问题。
[编辑] 这是一个示例查询:
删除消息 (_raw) 有效。但是删除时间(_messagetime)不会。
这些结果用作电子邮件警报,因此从显示中删除时间字段并不是一个真正的选择。
最简单的方法是在结果左侧的字段浏览器窗口中关闭该字段:
另一种选择是聚合然后删除聚合字段 - 即使您只是聚合 _raw (这是原始消息):
_sourceCategory=blah
| count by _raw
| fields -_count
如果您仍然遇到问题,您可以分享其余的查询吗?
根据您的新查询进行编辑:
*
| parse "Description=\"*\"" as Description
| parse "Date=\"*\"" as Date
| count by Description, Date, Action
| fields -_count
据我所知,Time 字段是时间片操作的结果。以下应该可以解决问题
| fields - _timeslice