Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
expand
Wird verwendetexpand, um aus einem Feld, das ein JSON-Array enthält, ein separates Protokollereignis für jedes Element im Array zu erstellen. Alle anderen Felder aus dem ursprünglichen Protokollereignis werden in jedem neuen Ereignis dupliziert.
Syntax
expandfieldName
Beispiel
Wenn ein Protokollereignis items = ["apple","banana","cherry"] und enthälthost = "web-01", werden drei Protokollereignisse expand items erzeugt: {items: "apple", host: "web-01"}{items: "banana", host: "web-01"}, und{items: "cherry", host: "web-01"}.
expand items | stats count(*) by items, host
