#splunk #splunk-query
#splunk #разделенный запрос
Вопрос:
У меня есть следующее | stats count by HOST, USER, COMMAND | table HOST USER COMMAND count , и это дает мне список того, что я ожидаю, но я, похоже, не могу понять, как объединить ХОСТ и ПОЛЬЗОВАТЕЛЯ и просто подсчитать, сколько команд было, так что это всего лишь одна строка.
Я почти уверен, что должен каким-то образом использовать list, но мои результаты, похоже, все еще не консолидируются правильно. Есть подсказки?
Я пытаюсь так:
stats list(HOST) as HOST list(USER) as USER count(COMMAND) list(count) as count by COMMAND
Комментарии:
1. Пожалуйста, покажите нам макет желаемого результата, и мы постараемся его сопоставить.
Ответ №1:
Попробуйте это:
| stats values(COMMAND) as COMMAND by HOST USER