我正在尝试生成一个搜索,它会扫描“mylogs”并仅隔离出现在多个LOCATION中的ID。我正在接近以下搜索:
mylogs |统计数据按ID |其中count> 1 |表ID,LOCATION
这会隔离出现多次的ID,但不会列出这些ID的LOCATIONS。
我探索了直流;使用图表与表格,尝试评估计数,计算AS newfield,但都无济于事。认为这不是火箭科学。
任何?
答案 0 :(得分:1)
以下应该这样做。
mylogs
| stats count, values(LOCATION) as LOCATION by ID
| where count > 1
| mvexpand LOCATION
| table ID, LOCATION
当您使用stats count by id时,您将丢失除count和id之外的所有其他字段。无论何时使用统计数据,始终包括显示或进一步处理所需的所有字段。因此,values(LOCATION)用于收集ID所见的所有位置。然而,这将创建一个多值字段,这就是我使用mvexpand分割ID的每个位置的原因。