splunk - Splunk 选择最新条目并按 Id 分组

我是 splunk 查询的新手，请有人帮忙。我正在尝试获取每个 ID 的最新条目

样本数据：

id=Id1 p1=12 p2=32 time=10:13
id=Id2 p1=34 p2=54 time=10:14
id=Id1 p1=1 p2=99  time=11:33
id=Id2 p1=5 p2=67  time=13:00

预期输出：

Id1 1 99
Id2 5 67

标签： splunksplunk-query

该dedup命令将执行此操作。它根据指定的字段删除所有重复事件，同时保留最新的。

... | dedup id | ...

您也可以使用stats. 此示例为每个 id 选择 p2 的最新值。该stats命令通常比快dedup，但会产生丢弃它不使用的字段的副作用（在示例中仅保留“p2”和“id”）。

... | stats latest(p2) as p2 by id | ...