Splunk 選択されたフィールドに追加したい

検索するときの細かい話ですが、選択されたフィールド selected field に追加する方法

デフォルトではhost,source,sourcetypeが設定されている

１．GUIから設定

「すべてのフィールド」を押下
例えば、forksを追加したい場合は左側のチェックボックスを入れる

２．confファイルで設定

splunk/etc/app/配下の ui-prefs.conf を設定
例えば、サーチアップにforksを追加したい場合は

[search]
display.events.fields = ["host","source","sourcetype","forks"]

を追加

以下answersリンク
https://answers.splunk.com/answers/185864/selected-fields-in-fields-side-bar.html

結果はどちらの手順でもこんな感じです。

以上です。