我在Splunk中进行了此搜索,它在图形中显示的字段value
只是最大的而不是每个字段的总和。
host=users| JOIN type=inner id [ SEARCH host=bills | rename id_user AS id ] | stats sum(value) as value by document | sort - value | head 20
值的格式为2000.0
也许必须与sort - value
一起
我是使用Splunk的新手
这是没有stats
答案 0 :(得分:0)
为什么在sum和字段中使用相同的名称: stats sum(value)作为文档的值|排序 - 价值 也许如果您更改sum字段的名称: stats sum(value)by value1 by document | sort - value1