基本字段
编辑基本字段编辑
base 字段集包含所有位于事件根部的字段。这些字段在所有类型的事件中都是通用的。
基本字段详细信息编辑
| 字段 | 描述 | 级别 |
|---|---|---|
|
事件起源的日期/时间。 这是从事件中提取的日期/时间,通常代表事件何时由源生成。 如果事件源没有原始时间戳,此值通常由管道接收事件的首次时间填充。 所有事件的必需字段。 类型:日期 示例: |
核心 |
|
|
自定义键值对。 可用于向事件添加元信息。不应包含嵌套对象。所有值都存储为关键字。 示例: 类型:对象 示例: |
核心 |
|
|
对于日志事件,message 字段包含日志消息,针对日志查看器进行了优化。 对于没有原始消息字段的结构化日志,可以将其他字段连接起来以形成事件的人类可读摘要。 如果存在多个消息,可以将其合并为一条消息。 类型:match_only_text 示例: |
核心 |
|
|
用于标记每个事件的关键字列表。 类型:关键字 注意:此字段应包含一个值数组。 示例: |
核心 |