sourcetype=my-job "Get Connection Details" | spath input=Message | search FileName=* | rename event.Values.Connections{}.ClientName as ThirdParty
此查询返回N条记录,但是一旦我在过滤器下面应用
| dedup FileName| table FileName, ThirdParty | fillnull value=N/A | sort ThirdParty desc
查询仅显示N-M条记录。
因此,它不会在结果中显示所有的第三方
答案 0 :(得分:0)
我能够通过减少日志文件大小来暂时解决问题。