Question

Я пишу запрос Splunk для получения кодов ошибок, которые содержат определенный токен идентификатора, а затем использую команду top, чтобы отсортировать их по вхождению. Но сейчас я пытаюсь вывести вывод команды top в лексикографическом порядке.

Я попытался прочитать некоторую документацию по SPL Splunk, и мне не удалось найти команду или параметр, позволяющий мне это сделать.

message=SplunkLogging::* | top limit=0 userQuery

Например, если у вас есть следующие значения: A - 2, B - 5, C - 1, D - 2, я бы хотел, чтобы результаты были упорядочены следующим образом: B - 5, A - 2, D - 2 , С - 1.

RichG · Answer 1 · 11 июля 2019

Обычный способ сделать это - создать временное поле, содержащее значения для сортировки.Как то так:

message=SplunkLogging::* 
| top limit=0 userQuery 
| rex field=userQuery "- (?<sorter>\d+)" 
| sort - sorter 
| fields - sorter

Есть ли способ отсортировать вывод команды top лексикографически в пределах страты подсчета

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Есть ли способ отсортировать вывод команды top лексикографически в пределах страты подсчета

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы