我正在运行以下查询以从包含自定义标记的多个日志文件中获取计数。问题是我无法得到总共2个查询的总和。
Query 1: tags:ppr AND tags:api AND loglevel:ERROR
Result: 203445
Query 2: tags:ppr AND tags:api NOT response:200&302
Result: 234456677
问题是我希望结果是两个查询的总和,但我尝试了(query1)OR(Query2)和不同的组合,但结果是query1或查询2而不是两者。
答案 0 :(得分:0)
首先,尝试通过括号化每个查询并将其与AND分开来创建子查询,例如(query1) AND (query2)。如果这不能提供您想要的结果,您可以尝试另一种解决方案,它可以获得所需的最终结果(尽管可能不是您想象的那样)......
启用这两个查询后,创建一个新的(或修改现有的)'直方图'面板。保留所有默认设置,但在设置的底部,Queries部分 - 从下拉菜单中选择selected,然后突出显示您在上面创建的两个单独查询。这将在一个面板上合并两个查询的结果。此方法将简单地将一个查询的结果堆叠到另一个查询的结果上。如果将鼠标悬停在顶部堆叠查询结果上,您将获得该时间段的运行总计。