标签: splunk
您好我有一个日志文件,其中有数千条记录,其中包含一个名为correlationId的字段....我正在尝试编写一个搜索查询,它将通过correlationId返回唯一记录的总计数。任何人都可以对如何制定查询提出一些想法。
答案 0 :(得分:1)
如果字段名称是correlationId,请尝试
index=<index>.. | stats dc(correlationId)
这将找到具有字段correlationId的唯一值的记录,并计算它们