Splunk:按多个字段计数给出错误的结果 [已关闭]

Splunk: Count by multiple fields gives wrong result [closed]

提问人:Elias Strehle 提问时间:10/11/2023 更新时间:10/11/2023 访问量:35

问:

想改进这个问题吗?通过编辑这篇文章添加详细信息并澄清问题。

27天前关闭。

改进此问题

我想编写一个Splunk查询,它执行以下操作:

  • 按 4 个字段对消息进行分组:first_namelast_name城市国家/地区
  • 对于每个组,获取消息计数以及最早和最晚的birth_date

我想出了什么:

<get all messages> | stats count, earliest(birth_date), latest(birth_date) by first_name, last_name, city, country

但计数未按预期工作。 当我使用一条消息对测试数据运行此操作时,计数为 8,但应该是 1。 查询有什么问题?

splunk splunk-query

评论

2赞 RichG 10/11/2023
您能否分享更多有关和/或发布示例数据的信息,以便我们查看正在计数的内容并尝试重现问题?<get all messages>
0赞 RichG 10/11/2023
如果每个元组都有一个条目,则应该只有一个birth_date值,因此不需要最早/最新。
0赞 Elias Strehle 10/16/2023
当我试图创建一个可重现的示例时,我发现这是由我的搜索索引中的错误引起的,即在零件中。结束这个问题。<get all messages>
0赞 warren 10/17/2023
为什么一个给定的人会有不止一个“birth_date”?
0赞 Elias Strehle 10/18/2023
@warren 实际数据具有不同的字段。我同意我的例子没有多大意义。

答: 暂无答案

上一个:用于从日志数据中提取字段的 Splunk 查询

下一个:如何在不导入的情况下显示 gpg 密钥详细信息?