机器数据分析平台

  • 机器数据分析平台 > 产品手册 > 字段管理 > 系统字段

    系统字段

    最近更新时间:2020-08-06 18:28:56

    当Pandora接收数据为数据建立索引时,会使用多个字段标记每个事件,平台自动添加的字段称为系统字段。
    系统字段有多种用途,比如:标识事件所在的索引、指定事件发生的时间、描述数据来源、来源类型等。
    Pandora在为数据建立索引时会使用某些字段中的值以正确创建事件,比如sourcetype。当数据建立索引后,您可以在搜索中使用系统字段。

    系统字段的完整列表如下:

    详细说明
    系统字段 "_time", "host", "sourcetype ", " repo ", "origin ", "_raw", "_all", "_id", "_ignored", "_index", "_parent", "_routing", "_size", "_timestamp", "_ttl", "_type", "_uid"
    字段说明 这些字段包含Pandora用于其内部流程的信息,以及有关事件的基本信息,例如主机、数据来源、来源类型、所处的索引、采集时间等

    典型系统字段详细说明如下:

    • 主机(host):数据来源的⽹络主机的主机名、IP 地址或完全限定的域名,您可以通过主机值找到源于特定设备的数据。

    • 数据来源(origin):数据来源的文件名称、监听地址、收集器名称等。

    • 来源类型(sourcetype):智能日志平台为数据设置格式的方式,包括设置时间戳和换行方式。

    • 时间戳(_time):每条日志的时间戳。

    • 原始日志(_raw):每条原始日志的字段名称。

    • 采集时间(collectTime):如果使用Express 采集器收集数据,会增加数据采集时间信息

    以上内容是否对您有帮助?
  • Qvm free helper
    Close