#splunk
Вопрос:
Если у нас есть такие данные в журналах splunk —
DepId EmpName 100 Jon 100 Mike 100 Tony 200 Mary 200 Jim Есть ли способ отобразить записи только с одной строкой для повторяющихся идентификаторов.
Так,например, что-то вроде ниже»
DepId EmpName 100 Jon Mike Tony 200 Mary Jim. Комментарии:
1. по какой-то причине я не могу получить приведенные выше примеры данных,которые будут отображаться в табличной форме
Ответ №1:
Как только вы извлекли поля DepId и EmpName, их группировка выполняется с помощью stats команды.
| stats values(EmpName) as Names by DepId Дайте нам знать, если вам нужна помощь в извлечении полей. Возможно, именно поэтому в названии есть «Splunk rex»?
Комментарии:
1. Спасибо вам за ваш ответ. Я осведомлен об использовании статистики. Но когда я его использую ,ДепИд повторяется. Как я могу предотвратить отображение повторяющихся значений,в данном случае DepId?
2. Пожалуйста, не обращайте внимания. Я смог заставить его работать, внеся несколько изменений.
3. Спасибо, Ричг.