Splunk:按 Id 计数
Splunk: count by Id
我在 Splunk 中进行了如下查询:
source="/log/ABCDE/cABCDEFGH/ABCDE.log" doSomeTasks
我现在想通过 Id 来计算日志文件中的条目(Id 是一个提取的字段)。但我只想每 Id 计算一次,而不是每次执行 doSomeTasks 时。我该怎么做?
要计算字段值的唯一实例,请使用 distinct_count 或 dc 函数。
source="/log/ABCDE/cABCDEFGH/ABCDE.log" doSomeTasks
| stats dc(Id) as IdCount
我在 Splunk 中进行了如下查询:
source="/log/ABCDE/cABCDEFGH/ABCDE.log" doSomeTasks
我现在想通过 Id 来计算日志文件中的条目(Id 是一个提取的字段)。但我只想每 Id 计算一次,而不是每次执行 doSomeTasks 时。我该怎么做?
要计算字段值的唯一实例,请使用 distinct_count 或 dc 函数。
source="/log/ABCDE/cABCDEFGH/ABCDE.log" doSomeTasks
| stats dc(Id) as IdCount