问题描述
下面的Splunk查询仅返回calc_string列,并为索引列返回空白,如果我删除ln4和ln5,它将返回索引。我如何使该查询返回两个列,请告知?
index =车辆* sourcetype = info_ssl splunk_server_group =全部 |统计值(xx)为XX值(yy)为YY
|评估calc_string = if(isnull(XX),YY,XX) |表索引calc_string
|排序索引
解决方法
使用stats命令,您将希望使用BY子句为BY子句字段中的每个不同值返回一行。
在您的示例中,使用| stats values(xx)时,结果集仅由字段yy的值组成,而没有索引
因此要包含索引,我们将在统计聚合中使用by子句(最后一行2)
index=vehicle* sourcetype=info_ssl splunk_server_group=ALL
| stats values(xx) as XX values(yy) as YY BY index
| eval calc_string=if(isnull(XX),YY,XX)
| table index calc_string
| sort index
如果这可以解决您的问题,请花一点时间接受答案。这可以通过单击答案旁边的复选标记将其从灰色切换为填充来完成!