我想知道查询的计数。查询是
sourcetype="cargo_dc_shipping_log" OR sourcetype="cargo_dc_deliver_log" | stats count by X_REQUEST_ID | sort - count
Run Code Online (Sandbox Code Playgroud)

因此,您可以看到存在多个值为3的行。
提前致谢
小智 5
在这种特殊情况下,您的目标是获取此X_REQUEST_ID字段的计数摘要,对吗?
让我们开始您的初始查询:
sourcetype =“ cargo_dc_shipping_log”或sourcetype =“ cargo_dc_deliver_log” | 统计信息按X_REQUEST_ID | 排序-计数
我们在这里缺少的是如何根据您的汇总进行汇总。然后,我们可以排序:
sourcetype =“ cargo_dc_shipping_log”或sourcetype =“ cargo_dc_deliver_log” | X_REQUEST_ID将统计信息计为req_count | 统计信息按req_count | 排序-计数
让我知道是否适合您。