Splunk 的计数总和
Sum of count with Splunk
首先让我说我对 splunk 非常非常新。我试图找到构成索引的所有 "host" 并获得唯一值的总数。这样做的目的是最终在总 "host" 发生变化时收到警报,这样我就可以知道什么时候组成和索引停止工作。
到目前为止,这是我的查询,它为我提供了主机名和计数,但是我无法弄清楚如何获得 "count"
的总和
index=exchangesmtp | table host | dedup host | stats count by host | addtotals fieldname=count
最早=-30m index=exchangesmtp |去重主机 | table 主持人 |统计数据
这正是我要找的。
也许下面的更直白
earliest=-30m index=exchangesmtp | stats dc(host) as count
stats dc(field) 为您提供该字段中值的不同计数,在您的情况下,是唯一主机的数量
首先让我说我对 splunk 非常非常新。我试图找到构成索引的所有 "host" 并获得唯一值的总数。这样做的目的是最终在总 "host" 发生变化时收到警报,这样我就可以知道什么时候组成和索引停止工作。
到目前为止,这是我的查询,它为我提供了主机名和计数,但是我无法弄清楚如何获得 "count"
的总和index=exchangesmtp | table host | dedup host | stats count by host | addtotals fieldname=count
最早=-30m index=exchangesmtp |去重主机 | table 主持人 |统计数据
这正是我要找的。
也许下面的更直白
earliest=-30m index=exchangesmtp | stats dc(host) as count
stats dc(field) 为您提供该字段中值的不同计数,在您的情况下,是唯一主机的数量