我有一个类似的 splunk 查询
index=myIndex* source="source/path/of/logs/*.log" "Elephant"
因此,这会产生大约 2,000 个结果,这些结果是来自我的一个 API 的 JSON 响应,其中包括 world "Elephant"。这正是我想要的 -但是,其中一些结果具有重复carId字段,我只希望 Splunk 向我显示唯一的搜索结果
Splunk 的结果如下所示:
MyApiRequests {"carId":3454353435,"make":"toyota","year":"2015","model":"camry","value":25000.00}
现在,我只想过滤掉那些carId独特的。我不想要重复的。因此,我预计 2,000 个结果的原始值会减少很多。
谁能帮助我制定 Splunk 查询来实现这一目标?
stats将成为你在这里的朋友。
考虑以下:
index=myIndex* source="source/path/of/logs/*.log" "Elephant" carId=*
| stats values(*) as * by carId
你可以使用dedup
index=myIndex* source="source/path/of/logs/*.log" "Elephant" | dedup carId
| 归档时间: |
|
| 查看次数: |
42027 次 |
| 最近记录: |