在splunk中搜索并不总和()

时间:2016-01-14 16:37:52

标签: splunk

我在Splunk中进行了此搜索,它在图形中显示的字段value只是最大的而不是每个字段的总和。

host=users| JOIN type=inner id [ SEARCH host=bills | rename id_user AS id ] | stats sum(value) as value by document | sort - value | head 20

值的格式为2000.0

也许必须与sort - value一起 我是使用Splunk的新手

这是没有stats

的结果

enter image description here

1 个答案:

答案 0 :(得分:0)

为什么在sum和字段中使用相同的名称:    stats sum(value)作为文档的值|排序 - 价值 也许如果您更改sum字段的名称:     stats sum(value)by value1 by document | sort - value1