Oracle Cloud Infrastructureドキュメント

addfields

addfieldsコマンドを使用して、statslinktimestatsなどのグループ化コマンドによって識別されたグループ内で集計データを生成します。コマンドの出力には、stats副問合せの集計ごとに1つのフィールドが含まれます。

addfieldsコマンドは、statseventstatsおよびevalコマンドを使用して生成されたランタイム・フィールドとともに使用できます。

構文

addfields <subquery> [, <subquery>]

ここで、subqueryは、次のように展開できます: [ <logical_expression> / <boolean_expression> | <eventstats_functions> / <stats_functions> ]

パラメータ

次の表に、このコマンドで使用されるパラメータとその説明を示します。

パラメータ 説明

logical_expressionboolean_expression

各副問合せは、各グループ内のデータのサブセットを選択する論理式またはブール式で始まる必要があります。式の詳細は、searchおよびwhereを参照してください。

eventstats_functions グループ・プロパティに適用するeventstatsファンクション。使用可能なファンクションの詳細は、eventstatsを参照してください。

stats_functions

選択したデータに適用するstatsファンクション。使用可能なファンクションの詳細は、statsを参照してください。

addfieldsコマンドは、次のモードで使用できます:

  • ログ・ファイルにあるフィールドの場合:

    addfields [ <field> | stats ...]

  • evalを使用してlinkの外部で作成されたフィールドの場合: 

    addfields [ * | where <field> | stats ...]

  • statseventstatsまたはevalを使用してlink内に作成されるフィールドの場合: 

    addfields [ * | where <field> | eventstats ...]

一般的なシナリオでこのコマンドを使用する例は、次を参照してください:

次のコマンドは、各エンティティ・タイプのエンティティ名パターンに基づいて件数を返します:

* | link 'Entity Type' 
| addfields 
    [ substr(Entity, 0, 3) = 'adc' | stats count as 'ADC Count' ], 
    [ substr(Entity, 0, 3) = 'slc' | stats count as 'SLC Count']
* | stats count by 'Entity Type' 
| addfields 
    [ substr(Entity, 0, 3) = 'adc' | stats count as 'ADC Count' ], 
    [ substr(Entity, 0, 3) = 'slc' | stats count as 'SLC Count']

次のコマンドは、各エンティティ・タイプのエンティティ名パターンに基づいて件数を返します:

* | link 'Entity Type' 
| stats avg('Content Size') as 'Content Size', earliest(Severity) as Severity 
| addfields 
    [ * | where 'Entity Type' = 'Cluster Database'     
        | sort 'Content Size' 
        | eventstats first('Content Size') by Severity 
    ]
* | stats avg('Content Size') as 'Content Size', earliest(Severity) as Severity by 'Entity Type'  
| addfields 
    [ * | where 'Entity Type' = 'Cluster Database' 
        | sort 'Content Size' 
        | eventstats first('Content Size') by Severity ]

行番号を使用して最後のイベントを識別します:

'Log Source' = 'Database Alert Logs' and Label != null and Entity = MyDB
| rename Entity as Database
| link span = 1minute Time, Database, Label
| sort Database, 'Start Time'
| eventstats rownum as 'Row Number' by Database
| addfields
   [ * | where Label = 'Abnormal Termination'
       | eventstats last('Row Number') as 'Crash Row'
   ]