Как исключить поле времени из результатов Sumo Logic?

Question

Как исключить поле метаданных времени (_messagetime) из моего набора результатов?
Я пробовал:

field -_messagetime

Но это дает мне ошибку

Field _messagetime not found, please check the spelling and try again.

Использование:

fields -time

также не удаляет поле.

В настоящее время я могу обойти это, используя агрегат (число), который не влияет на данные.

[EDIT] Вот пример запроса:

Удаление сообщения (_raw) работает. Но удаление времени (_messagetime) - нет.

Эти результаты используются в качестве оповещений по электронной почте, поэтому удаление поля «Время» с экрана на самом деле не вариант.

Answer 1

Самый простой способ - просто отключить поле в окне браузера полей в левой части результатов:

Другой вариант - агрегировать, а затем удалить поле агрегирования, даже если вы просто агрегируете на _raw (который является необработанным сообщением):

_sourceCategory=blah
| count by _raw
| fields -_count

Если у вас все еще есть проблемы, можете ли вы поделиться остальной частью вашего запроса?

---

Редактировать на основе вашего нового запроса:

*
| parse "Description=\"*\"" as Description
| parse "Date=\"*\"" as Date
| count by Description, Date, Action
| fields -_count

Answer 2

Насколько я знаю, поле Time появилось в результате операции с временным интервалом. Следующее должно сделать трюк | fields - _timeslice