splunk - 单个 splunk 事件多次包含相同的字段值对。如何获取单个事件?
问题描述
"Env=abc"是每个 Splunk 事件都包含多个编号的字段/值对。次。如何仅获取其中一个以显示在时间表中?
前任:
Env=abc Env=abc Env=abc Env=abc Env=abc Env=abc Env=abc Env=abc
我希望“abc”在我的图表中只显示一次。但是,我看到我的图表显示如下:
abc abc abc abc abc etc.
解决方案
您应该使用该| timechart xxx by Env命令从事件中获取所需的计算,例如事件计数、不同的主机等。
您也可以使用| dedup Env为 Env 的每个不同值仅返回 1 个结果,然后执行 your |timechart,但这将是具有该值的任意事件,因此取决于您要执行的计算是否适合。
如果您只想显示随着时间的推移每个 Env 是否有任何事件,我会做| timechart dc(Env) by Env
推荐阅读
- reactjs - 使用 Reactstrap 响应式表的带有固定标题的可滚动表
- laravel - 使用 laravel 和 vue js 从数据库中获取文件
- sas - 如何使用 SAS 从特定行中获取第一个和最后一个 MISSING 值
- ctypes - Python ctypes将指针传递给可变指针
- python - 如何使用缩写语法在 Django Serializer 中显示所有字段,包括相关字段?
- python - XACML 可以通过 Python 中的 lxml 进行验证吗?
- jdbc - 在应用程序中打包外部 jdbc 驱动程序以在 JBoss 中使用
- html - Flex由于某种原因没有垂直对齐?
- r - ggplot 没有分开地块
- sql - PostgreSQL 中类似的 UPDATE 指令