问题描述
我在Splunk中执行了以下查询:
source="/log/ABCD/cABCDXYZ/xyz.log" doSoMetasks|timechart partial=f span=1h count as "#XYZ doSoMetasks" |fillnull
此查询工作正常。现在,我想将此结果通过日志文件中的另一个条目进行分组。此项是taskType。 taskType可以是One,Two或Three。 One,Two或Three也是taskType之后的条目。
我该怎么办?
解决方法
在您的timechart中添加by clause:
source="/log/ABCD/cABCDXYZ/xyz.log" doSomeTasks
| timechart partial=f span=1h count as "#XYZ doSomeTasks" by taskType
| fillnull