Question

我想知道查询计数的计数。查询是

sourcetype="cargo_dc_shipping_log" OR sourcetype="cargo_dc_deliver_log" | stats count by X_REQUEST_ID | sort - count

enter image description here

所以你可以看到有多个行的值为3.

提前致谢

Answer 1

在这个特殊情况下，您的目标是获取此 X_REQUEST_ID 字段的计数摘要，对吗？

让我们初步查询：

sourcetype =“cargo_dc_shipping_log”OR sourcetype =“cargo_dc_deliver_log”|统计数据按X_REQUEST_ID |计算排序 - 计数

我们在这里缺少的是如何聚合您的聚合。然后，我们可以排序：

sourcetype =“cargo_dc_shipping_log”OR sourcetype =“cargo_dc_deliver_log”|统计信息按X_REQUEST_ID |计为req_count统计数据按req_count |计算排序 - 计数

如果有效，请告诉我。

Answer 2

您可以在原始查询的末尾输入另一个stats count命令，如下所示：

sourcetype="cargo_dc_shipping_log" OR sourcetype="cargo_dc_deliver_log" | stats count by X_REQUEST_ID | stats count

这会给你一个结果，其计数字段等于搜索结果的数量。

Answer 3

简单只需将您的搜索管理到统计数据。

...your search query|stats count