Вы бы сделали что-то вроде следующего.
index=audiofiles earliest=-1d@d | stats count by title
earliest=1d@d означает, что вы хотите просмотреть только журналы за последний день. Команда stats считает частоту каждой песни на title. Я предполагаю, что в ваших данных есть поле title.
Вы, вероятно, захотите запланировать поиск, подобный этому, для запуска каждую ночь. Если вы хотите сохранить результаты этих данных, вы должны записать эти данные в сводный индекс с помощью команды collect или записать их в CSV с помощью команды outputcsv
.