当Pandora接收数据为数据建立索引时,会使用多个字段标记每个事件,平台自动添加的字段称为系统字段。
系统字段有多种用途,比如:标识事件所在的索引、指定事件发生的时间、描述数据来源、来源类型等。
Pandora在为数据建立索引时会使用某些字段中的值以正确创建事件,比如sourcetype。当数据建立索引后,您可以在搜索中使用系统字段。
系统字段的完整列表如下:
| 详细说明 | |
|---|---|
| 系统字段 | "_time", "host", "sourcetype ", " repo ", "origin ", "_raw", "_all", "_id", "_ignored", "_index", "_parent", "_routing", "_size", "_timestamp", "_ttl", "_type", "_uid" |
| 字段说明 | 这些字段包含Pandora用于其内部流程的信息,以及有关事件的基本信息,例如主机、数据来源、来源类型、所处的索引、采集时间等 |
典型系统字段详细说明如下:
主机(host):数据来源的⽹络主机的主机名、IP 地址或完全限定的域名,您可以通过主机值找到源于特定设备的数据。
数据来源(origin):数据来源的文件名称、监听地址、收集器名称等。
来源类型(sourcetype):智能日志平台为数据设置格式的方式,包括设置时间戳和换行方式。
时间戳(_time):每条日志的时间戳。
原始日志(_raw):每条原始日志的字段名称。
采集时间(collectTime):如果使用Express 采集器收集数据,会增加数据采集时间信息
文档反馈
(如有产品使用问题,请 提交工单)
售前 
售后 