有一个联接查询,我需要使用OR和Stats进行优化,我是splunk的新手,我很困惑如何开始

时间:2018-10-01 03:48:35

标签: query-optimization splunk splunk-query

index="index1" sourcetype=sourcetype1 | join commonfield [ search <br>index="index2" sourcetype=sourcetype2 ] | sort _time | stats <br>last(index1field1) as state by index2field1, index1field2, index1field3 <br>| where index1field1 != "UP" | dedup index2field1 | stats count

我想在不使用统计信息或OR的情况下优化此查询,而没有人可以帮助我吗?

1 个答案:

答案 0 :(得分:0)

(index="index1" sourcetype=sourcetype1) OR (index="index2" sourcetype=sourcetype2)
| stats values(*) AS *, values(_*) as * by commonfield

这将是一个很好的起点。首先引入两组数据,然后合并来自两个源的所有字段,并根据commonfield

进行“合并”
相关问题
最新问题