如果已经提出这个问题,我很抱歉,但我搜索无效。
在编写最终将用于使用sitimechart进行摘要索引的Splunk查询时,我有这样的查询:
index=app sourcetype=<removed> host=<removed> earliest=-10d
| eval Success_Count=if(scs=="True",1,0)
| eval Failure_Count=if(scs=="False",1,0)
| timechart span=1d sum(Success_Count) as SuccessCount sum(Failure_Count) as FailureCount count as TotalCount by host
结果如预期。但是,有些数据被意外索引了两次,所以我需要删除重复项。如果我正在进行常规搜索,我只需使用| dedup _raw删除相同的事件。但是,如果我运行以下查询,则返回零结果(无论我放在哪里| dedup _raw):
index=app sourcetype=<removed> host=<removed> earliest=-10d
| dedup _raw
| eval Success_Count=if(scs=="True",1,0)
| eval Failure_Count=if(scs=="False",1,0)
| timechart span=1d sum(Success_Count) as SuccessCount sum(Failure_Count) as FailureCount count as TotalCount by host
我做错了什么?我正在使用Splunk 4.3.2。
我还在Splunk&gt; Answers页面上发布了这个相同的问题。如果违反条款,我会删除。