以 table 格式转换时,splunk 查询未显示所有记录
splunk query not showing all records when converted in table format
sourcetype=my-job "Get Connection Details" | spath input=Message | search FileName=* | rename event.Values.Connections{}.ClientName as ThirdParty
此查询 returns 一些 N 条记录,但只要我应用下面的过滤器
| dedup FileName| table FileName, ThirdParty | fillnull value=N/A | sort ThirdParty desc
查询仅显示 N-M 条记录。
因此它没有在结果中显示所有第三方
我通过减小日志文件大小暂时解决了问题。
sourcetype=my-job "Get Connection Details" | spath input=Message | search FileName=* | rename event.Values.Connections{}.ClientName as ThirdParty
此查询 returns 一些 N 条记录,但只要我应用下面的过滤器
| dedup FileName| table FileName, ThirdParty | fillnull value=N/A | sort ThirdParty desc
查询仅显示 N-M 条记录。
因此它没有在结果中显示所有第三方
我通过减小日志文件大小暂时解决了问题。