如何解决Splunk条件有异数
我正在运行不同计数语法stats dc(src_ip) by
,它返回不同源IP的数量,但是我想创建一个条件语句(eval
?),它只应返回计数大于50的统计信息。
尝试了类似的方法,但没有任何乐趣。知道如何在条件计数必须大于X的情况下进行条件唯一计数吗?
stats dc(src_ip) | eval status=if(count>50)
=>不起作用
解决方法
stats
命令将始终返回结果(尽管有时它们为空)。但是,您可以抑制符合您条件的结果。
stats dc(src_ip) as ip_count
| where ip_count > 50
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。