如何解决Splunk:按日志文件中的某些条目分组
我在Splunk中执行了以下查询:
source="/log/ABCD/cABCDXYZ/xyz.log" doSomeTasks|timechart partial=f span=1h count as "#XYZ doSomeTasks" |fillnull
此查询工作正常。现在,我想将此结果通过日志文件中的另一个条目进行分组。此项是taskType
。 taskType
可以是One
,Two
或Three
。 One
,Two
或Three
也是taskType
之后的条目。
我该怎么办?
解决方法
在您的timechart
中添加by
clause:
source="/log/ABCD/cABCDXYZ/xyz.log" doSomeTasks
| timechart partial=f span=1h count as "#XYZ doSomeTasks" by taskType
| fillnull