使用 splunk 按 table 计数 - 合并类似字段
Counting by table with splunk - consolidate like fields
我有以下 | stats count by HOST, USER, COMMAND | table HOST USER COMMAND count 它给了我一个我期望的列表,但我似乎无法弄清楚如何合并 HOST 和 USER 并且只计算有多少命令所以它是只有一排。
我很确定我应该以某种方式使用列表,但我的结果似乎仍然没有正确合并。有什么线索吗?
我正在这样尝试:
stats list(HOST) as HOST list(USER) as USER count(COMMAND) list(count) as count by COMMAND
试试这个:
| stats values(COMMAND) as COMMAND by HOST USER
我有以下 | stats count by HOST, USER, COMMAND | table HOST USER COMMAND count 它给了我一个我期望的列表,但我似乎无法弄清楚如何合并 HOST 和 USER 并且只计算有多少命令所以它是只有一排。
我很确定我应该以某种方式使用列表,但我的结果似乎仍然没有正确合并。有什么线索吗?
我正在这样尝试:
stats list(HOST) as HOST list(USER) as USER count(COMMAND) list(count) as count by COMMAND
试试这个:
| stats values(COMMAND) as COMMAND by HOST USER