如何在 Splunk 中显示计数内的计数结果

Question

我在显示计数中的计数时遇到问题。我似乎无法正确查询，或者找不到要使用的命令（我不是 Splunk 的专业人士）。我目前拥有的是以下内容：

index="applications_pas_p_g01550" 
| spath MessageTemplate | search MessageTemplate="Input Message: {Body}"
| eval propertiesBody = lower('Properties.Body')
| spath input="propertiesBody"
| spath input="propertiesBody" path="voormelden{}.internationaaladres{}.validatie.status.code" output=Validatiecode
| spath input="propertiesBody" path="voormelden{}.collodata{}.voormeldbroncd.code" output=VoormeldBronCode
| stats count by VoormeldBronCode
| appendpipe [stats sum(count) as aantalvalidaties by Validatiecode | eval Validatiecode="Totaal Validaties"]
| sort Validatiecode

我正在寻找的结果如下：

Validatiecode

可以是 1、2 或 4。

VoormeldBronCodes

有多个。

我想知道并在表格中呈现的是每个

VoormeldBronCode

Validatiecode

出现了多少次。所以类似：

VoormeldBronCode	验证码	数
22	1	123
22	2	89
22	4	456
40	1	894
40	2	485
40	4	245

Answer 1

stats

命令会丢弃除命令中提到的字段之外的所有字段，因此后续命令没有可使用的“Validatiecode”字段。你尝试过这样的事情吗？

index="applications_pas_p_g01550" 
| spath MessageTemplate | search MessageTemplate="Input Message: {Body}"
| eval propertiesBody = lower('Properties.Body')
| spath input="propertiesBody"
| spath input="propertiesBody" path="voormelden{}.internationaaladres{}.validatie.status.code" output=Validatiecode
| spath input="propertiesBody" path="voormelden{}.collodata{}.voormeldbroncd.code" output=VoormeldBronCode
| stats count by VoormeldBronCode Validatiecode

如何在 Splunk 中显示计数内的计数结果

问题描述投票：0回答：1

1个回答

最新问题

如何在 Splunk 中显示计数内的计数结果

问题描述 投票：0回答：1

1个回答

最新问题

问题描述投票：0回答：1