如何比较两个或多个字段值

时间:2018-01-30 20:05:50

标签: splunk splunk-query splunk-formula splunk-calculation splunk-sdk

我有这样的数据:

活动1: field_name = field_value,status =“process”,status_file =“file_name”

活动2: field_name = field_value,status =“send”,status_file =“file_name”

活动3: field_name = field_value,transfer_status =“transferred”,transfer_file =“file_name”

活动4: field_name = field_value,fatal_type1 =“reason1”,fatal_type1_file =“file_name”

活动5: field_name = field_value,fatal_type2 =“reason2”,fatal_type2_file =“file_name”

从上面所有的事件共同的值是file_name其余的不同。如果file_name与其他file_types匹配,它应该列出我想要的所有报告,如下所示

file_name,file_types,file_types_count

abfskjsfjskjjv,{process,send,transferred,reason2},4

hrhashlahsf,{process,reason1},2

fhkawuruhshfhuaf,{process,send,transferred},3

0 个答案:

没有答案