如果行匹配,则在 Splunk 中添加值
Add values in Splunk if rows match
我有一个 splunk 查询 returns 应用程序每天的流量。
AppID AppBindID ServerIP HostName AppServer tree DailyCount
17159 cn=id1 123.45.678.10 server1 serverA LDAP 3
17159 cn=id1 123.45.678.10 server1 serverA LDAP 7
17159 cn=id2 123.45.678.11 server1 serverA LDAP 3
我希望能够识别第 1-6 列数据中的重复项,然后添加第 7 列中的值以形成一个唯一行。
期望的输出:
AppID AppBindID ServerIP HostName AppServer tree DailyCount
17159 cn=id1 123.45.678.10 server1 serverA LDAP 10
17159 cn=id2 123.45.678.11 server1 serverA LDAP 3
您可以使用统计信息根据其他几个字段对一个字段求和。
index=... | stats sum(DailyCount) as DailyCount by AppId, AppBindID, ServerIP, Hostname, AppServer, tree
我有一个 splunk 查询 returns 应用程序每天的流量。
AppID AppBindID ServerIP HostName AppServer tree DailyCount
17159 cn=id1 123.45.678.10 server1 serverA LDAP 3
17159 cn=id1 123.45.678.10 server1 serverA LDAP 7
17159 cn=id2 123.45.678.11 server1 serverA LDAP 3
我希望能够识别第 1-6 列数据中的重复项,然后添加第 7 列中的值以形成一个唯一行。
期望的输出:
AppID AppBindID ServerIP HostName AppServer tree DailyCount
17159 cn=id1 123.45.678.10 server1 serverA LDAP 10
17159 cn=id2 123.45.678.11 server1 serverA LDAP 3
您可以使用统计信息根据其他几个字段对一个字段求和。
index=... | stats sum(DailyCount) as DailyCount by AppId, AppBindID, ServerIP, Hostname, AppServer, tree