在 splunk 中计数

Question

您可以通过 time_span 在 Splunk 中进行重复计算吗？ 我想统计一小时内卖出水果的次数。

我的代码：

|bucket _time span=1h |eventstats count as count_in_an_hour by fruit time |stats count as count_count by fruit |table fruit count count_count |sort count_count count

我可以运行用一些数据；但是因为我有大量的数据，所以需要很长时间并占用大量 space 导致“space 错误不足”。

我的样本数据集，

name    fruit   location time

mary    apple   east 5.10

ben pear    east 6.10

peter   pear    east 5.50

ben apple   north 7.10

ben mango   north 7.40

peter   mango   north 5.30

mary    orange  north 7.20

alice   pear    north 7.20

janet   pear    north 7.20

janet   mango   west 6.30

janet   mango   west 5.50

peter   mango   west 4.20

janet   pear    west 5.50

Answer 1

如果这是限制因素，您可以尝试让您的管理员增加磁盘 space 限制。

如果您的管理员启用了 search_process_memory_usage_threshold 设置，请要求提高阈值。

也许更好的选择是减少处理的结果数量。您可以通过几种方式做到这一点：

1. 使用更小的时间window

2. 尽早使用fields命令减少数据量 已处理

3. 使碱基搜索尽可能具体以减少搜索量 处理的数据

例如：

index=foo name=* fruit=* earliest=-24h
| fields _time name fruit
| bucket _time span=1h 
| eventstats count as count_in_an_hour by fruit time 
| stats count as count_count by fruit 
| sort count_count count_in_an_hour 
| table fruit count_in_an_hour count_count