如何解决Splunk查询不会同时返回两列的值
下面的Splunk查询仅返回calc_string列,并为索引列返回空白,如果我删除ln4和ln5,它将返回索引。我如何使该查询返回两个列,请告知?
index =车辆* sourcetype = info_ssl splunk_server_group =全部 |统计值(xx)为XX值(yy)为YY
|评估calc_string = if(isnull(XX),YY,XX) |表索引calc_string
|排序索引
解决方法
使用stats命令,您将希望使用BY子句为BY子句字段中的每个不同值返回一行。
在您的示例中,使用| stats values(xx)
时,结果集仅由字段yy
的值组成,而没有索引
因此要包含索引,我们将在统计聚合中使用by子句(最后一行2)
index=vehicle* sourcetype=info_ssl splunk_server_group=ALL
| stats values(xx) as XX values(yy) as YY BY index
| eval calc_string=if(isnull(XX),YY,XX)
| table index calc_string
| sort index
如果这可以解决您的问题,请花一点时间接受答案。这可以通过单击答案旁边的复选标记将其从灰色切换为填充来完成!
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。