logging - Splunk“stats”命令只考虑项目的一个子集
问题描述
当我做:
index="..." | search "needle:"
| rex "expected field: *(?<field1>[A-Z]*) date: *(?<adate>[0-9][0-9]/[0-9][0-9]/[0-9]{4})"
它正确显示了 10K+ 日志,而当我尝试如下聚合时:
index="..." | search "needle:"
| rex "expected field: *(?<field1>[A-Z]*) date: *(?<adate>[0-9][0-9]/[0-9][0-9]/[0-9]{4})"
| stats count(adate) by field1
它只需要field1项目的一个实例(或几个实例),就像所有其他 field1 实例不计入统计信息一样。
知道我做错了什么吗?
解决方案
推荐阅读
- android - 为什么 ConstraintLayout 中的 Barrier 行为如此奇怪?
- javascript - 检查谷歌分析 IP 匿名化的集成
- forms - Xamarin Forms 中的 PopAsync 后 UWP AdControl 空白
- c# - 转换枚举?诠释?使用反射时失败
- sql-server - 尽管有索引,查询仍需要很长时间
- json - ArrayField 与 JSONField 作为 Django 中的 base_field
- angular - Angular4背景图片
- java - 为了访问java中其他地方的数据,我应该把它放在哪里?
- sharedpreferences - 如何将 CheckBoxPreference 键调用到 SettingsPreferences.java 文件
- c - 布林带中的分段错误