基础字段
编辑基础字段
编辑base字段集包含位于事件根的所有字段。这些字段在所有类型的事件中都是通用的。
基础字段详情
编辑| 字段 | 描述 | 级别 |
|---|---|---|
|
事件的产生日期/时间。 这是从事件中提取的日期/时间,通常代表事件由源生成的时刻。 如果事件源没有原始时间戳,则此值通常由事件首次被管道接收的时间填充。 所有事件的必需字段。 类型:日期 示例: |
核心 |
|
|
自定义键值对。 可用于向事件添加元信息。不应包含嵌套对象。所有值都存储为关键字。 示例: 类型:对象 示例: |
核心 |
|
|
对于日志事件,message 字段包含日志消息,针对在日志查看器中查看进行了优化。 对于没有原始 message 字段的结构化日志,可以连接其他字段以形成事件的可读摘要。 如果存在多个消息,可以将它们组合成一个消息。 类型:match_only_text 示例: |
核心 |
|
|
用于标记每个事件的关键字列表。 类型:关键字 注意:此字段应包含一个值数组。 示例: |
核心 |