字段别名是用来统一多种不同数据源的重要方法。比如不同品牌的Web服务器请求日志,不同品牌的防火墙日志等。由于不同型号不同品牌的原因,同样的数据会在不同来源类型中有不同的字段名称。但是业务需求经常会要求我们将不同的数据字段映射成同一个字段名称,进行协同查询和搜索。这时候就需要到字段别名功能。
字段别名创建步骤
在字段别名管理界面,可以点击创建字段别名按钮,或者选择通过配置文件方式导入字段别名。在弹出的创建字段别名窗口中,可以设置以下内容:
1.名称:设置字段别名规则的名称,作为唯一标识
2.来源类型:字段别名会绑定到这个来源类型上作用
3.字段映射:可以设置多个字段映射关系,比如图中将源字段a映射到b,c字段映射到d字
4.覆盖原始字段: 如果目标字段已经存在于当前日志中,是否使用当前字段值覆盖目标字段的原始值
字段别名设置成功后,我们对该来源类型数据进行搜索就可以看到数据中增加了新字段 b 和 d ,其值与源字段相同。我们同样可以对新字段进行统计和分析工作。
文档反馈
(如有产品使用问题,请 提交工单)
售前 
售后 