Splunk查询计数
我想知道查询的计数。查询是
sourcetype="cargo_dc_shipping_log" OR sourcetype="cargo_dc_deliver_log" | stats count by X_REQUEST_ID | sort - count
因此,您可以看到存在多个值为3的行。
提前致谢
小智 5
在这种特殊情况下,您的目标是获取此X_REQUEST_ID字段的计数摘要,对吗?
让我们开始您的初始查询:
sourcetype =“ cargo_dc_shipping_log”或sourcetype =“ cargo_dc_deliver_log” | 统计信息按X_REQUEST_ID | 排序-计数
我们在这里缺少的是如何根据您的汇总进行汇总。然后,我们可以排序:
sourcetype =“ cargo_dc_shipping_log”或sourcetype =“ cargo_dc_deliver_log” | X_REQUEST_ID将统计信息计为req_count | 统计信息按req_count | 排序-计数
让我知道是否适合您。
| 归档时间: |
|
| 查看次数: |
5314 次 |
| 最近记录: |