splunk - 在排序列表中分组数据
问题描述
在 splunk 中,我想在排序后按顺序对数据进行分组。
示例事件
Time: 1:00 server: A .....
Time: 1:01 server: A ......
Time: 1:02 server: B ......
Time: 1:03 server: A ......
Time: 1:04 server: A ......
Time: 1:05 server: C ......
Time: 1:06 server: A ......
我想看看
Server: A Events: 2
Server: B Events: 1
Server: A Events: 2
Server: C Events: 1
Server: A Events: 1
如果我也能获得每组的开始和结束时间,则可以加分。
解决方案
尝试这样的事情:
index=ndx sourcetype=srctp server=*
| stats min(_time) as First max(_time) as Last count as Events by server
| rename server as Server
| eval First=strftime(First,"%c"), Last=strftime(Last,"%c")
| table First Last Events Server
应该给你一个如下表:
First | Last | Events | Server
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
<time> | <time> | 7 | serverA
ETC
推荐阅读
- java - Java 8 比较器不工作
- angular - 带有任何子应用程序的 Angular 容器应用程序
- servicestack - ServiceStack MQ:如何在 RequestContext 中填充数据
- python - 预测客户活动缺席
- ckeditor - 如何在 CKEditor 4 中设置默认字体和字体大小
- json - Keycloak admin-cli 抛出 - HTTP 错误 - 415 不支持的媒体类型
- android - 带有查询参数的 Jetpack Navigation 深层链接
- java - 获取具有与整数相同的构造函数的所有对象?
- android - 即使 loadInBackground 返回正确的数据,onLoadFinished 也会调用错误的数据
- python-3.x - 名称“驱动程序”未定义,Selenium Webdriver python3