раздельный запрос для объединения кода состояния за каждый час

Question

index=abc sourcetype=firststream-* env=* module=API type=Error error_level=fatal serviceName=MyService |bin _time span=1h | stats count by _time,serviceName,httpStatusCode

выводится для каждого httpStatuscode в этот час. Вместо этого я хочу объединить httpStatusCode для этого часа и отобразить в одном столбце.

Answer 1

Попробуйте это.

index=abc sourcetype=firststream-* env=* module=API type=Error error_level=fatal serviceName=MyService 
| bin _time span=1h 
| stats count values(httpStatusCode) as httpStatusCode by _time, serviceName
| table _time, serviceName, httpStatusCode