只保留字段source、sourcetype、host和所有以error开始的字段,则需要构造SPL语句|fieldssource,sourcetype,host,error_
举一反三
- 只保留host和ip字段,删除所有内部字段,则需要构造SPL语句| fields host, ip | fields - _*
- 从结果中删除host和ip字段,则需要构造SPL语句( )
- 统计字段ran中的数字个数,则需要构造SPL语句| stats count(ran)
- 在每个事件中创建一个名为status的字段,如果错误值是200,则在status字段中设置值,否则将状态值设置为Error。 A: | eval status = if(error == 200, OK, Error) B: | eval status = if(error == 200, "OK", "Error") C: | eval status = if(error = 200, "OK", "Error")
- AC怎么识别https网站的URL() A: Host内容 B: Servername字段 C: 颁发给字段 D: U-A字段