我希望看到有多少服务器随着时间的推移向splunk报告。这是一个类似于我试过的查询:
sourcetype=defined | dedup host | timechart count by pop
正在发生的事情是主持人在时间表之前得到dedup(显然),所以我并没有完全得到我正在寻找的结果。
如何在时间表中按时间片重复删除服务器列表?
如果有必要进一步澄清,请告诉我。
答案 0 :(得分:0)
看起来我正在寻找的选项是图表的distinct_count函数。这是返回我要查找的结果的最终查询:
sourcetype=defined | timechart dc(host) by pop