如何在 Splunk 中查找重复的日志事件

How to find duplicate log events in Splunk

我正在尝试查询我的 Splunk 日志以查找重复数据,但找不到正确的查询。

示例日志:

{"time":"2021-07-08 02:16:17.9232","level":"debug","message":"update","parameters":{"id":["1"], other params...}}
{"time":"2021-07-08 02:17:17.9232","level":"debug","message":"update","parameters":{"id":["1"], other params...}}

重复的日志事件将具有相同的 id 参数,但时间戳不同。

提取所需字段后,查找重复项就是计算该字段每个值的实例并显示计数大于 1 的实例。

index=foo
| spath
| stats count by "parameters.id"
| where count > 1