0

こんにちは、Splunk にはこの形式のイベントがいくつかあります。

Location : 何らかの値 (同じ値が複数のイベントに存在する可能性があります)

Client : 何らかの値 (同じ値が複数のイベントに存在する可能性があります)

TransactionNumber : 何らかの値 (イベントごとに一意)

Transaction Time : 何らかの値 (イベントごとに固有)

今、私はこの形式のテーブルが欲しいです -

テーブル

基本的に、各場所には複数のクライアントがあり、各クライアントは異なるトランザクションを持つことができます。トランザクション番号とトランザクション時間は一意であり、1 対 1 のマッピングがあります。

私はsplunkでこのクエリを使用しています-

| | 統計リスト (TransactionNumber) リスト (TransactionTime) by Location Client

何が起こっているのかというと、場所とクライアントの一意の組み合わせを取得していますが、特定の場所に対して一意のクライアントをリストする必要があります。

これは私が得ているものです-

ここに画像の説明を入力

同じことを達成するためにクエリをどのように変更できますか?

4

2 に答える 2

1

_internal インデックスを使用した完全な例を次に示します。

index=_internal

| stats list(log_level) list(component) by sourcetype source

| streamstats count as sno by sourcetype 
| eval sourcetype=if(sno=1,sourcetype,"") 
| fields - sno

あなたのユースケースでは、これはうまくいくはずだと思います

| stats list(TransactionNumber) list(TransactionTime) by Location Client
| streamstats count as sno by Location 
| eval Location=if(sno=1,Location,"") 
| fields - sno

これで問題が解決した場合は、少し時間を取って回答を受け入れてください。これを行うには、回答の横にあるチェック マークをクリックして、グレー表示から入力済みに切り替えます。

乾杯

于 2020-09-01T15:11:41.117 に答える