Splunk 按 Id 选择最新条目和分组
Splunk pick latest entry and group by Id
我是 splunk 查询的新手,有人可以帮忙吗?我正在尝试获取每个 id
的最新条目
示例数据:
id=Id1 p1=12 p2=32 time=10:13
id=Id2 p1=34 p2=54 time=10:14
id=Id1 p1=1 p2=99 time=11:33
id=Id2 p1=5 p2=67 time=13:00
预期输出:
Id1 1 99
Id2 5 67
dedup 命令可以做到这一点。它根据指定字段删除所有重复事件,同时保留最新事件。
... | dedup id | ...
您也可以使用 stats。此示例为每个 id 选择 p2 的最新值。 stats 命令通常比 dedup 快,但会受到丢弃它不使用的字段的副作用(示例中仅保留 'p2' 和 'id')。
... | stats latest(p2) as p2 by id | ...
根据 RichG 的回答,
... | stats latest(*) as * by id | ...
不会丢弃任何字段。
我是 splunk 查询的新手,有人可以帮忙吗?我正在尝试获取每个 id
的最新条目示例数据:
id=Id1 p1=12 p2=32 time=10:13
id=Id2 p1=34 p2=54 time=10:14
id=Id1 p1=1 p2=99 time=11:33
id=Id2 p1=5 p2=67 time=13:00
预期输出:
Id1 1 99
Id2 5 67
dedup 命令可以做到这一点。它根据指定字段删除所有重复事件,同时保留最新事件。
... | dedup id | ...
您也可以使用 stats。此示例为每个 id 选择 p2 的最新值。 stats 命令通常比 dedup 快,但会受到丢弃它不使用的字段的副作用(示例中仅保留 'p2' 和 'id')。
... | stats latest(p2) as p2 by id | ...
根据 RichG 的回答,
... | stats latest(*) as * by id | ...
不会丢弃任何字段。