我有一个类似的 splunk 查询
index=myIndex* source="source/path/of/logs/*.log" "Elephant"
"Elephant" .这就是我想要的 - 然而 ,其中一些结果重复 carId字段,我只希望 Splunk 向我显示唯一的搜索结果Splunk 的结果如下所示:
MyApiRequests {"carId":3454353435,"make":"toyota","year":"2015","model":"camry","value":25000.00}
carId那是独一无二的。我不想重复。因此,我预计 2,000 个结果的原始值会减少很多。任何人都可以帮助我制定我的 Splunk 查询来实现这一目标吗?
最佳答案
您可以使用 dedup
index=myIndex* source="source/path/of/logs/*.log" "Elephant" | dedup carId
关于logging - 根据结果字段/字符串值获取 Splunk Query 的不同结果(过滤结果),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/67424702/