我正在尝试使用CW Insights查看VPC流日志,并对如何使用sum()stats函数感到困惑,并且该文档非常简单。在下面的示例中,我限制了字段并仅过滤到端口22的流量-正常工作。
但是,我想对每个interfaceId的字节求和,下面的查询什么也不返回。阅读文档后,我没有找到语法说明,并且感谢您的帮助。
fields @timestamp,srcAddr,dstAddr,srcPort,dstPort,bytes, interfaceId
| filter dstPort = 22
| sum(bytes) by interfaceId
答案 0 :(得分:4)
sum(),avg(),count(),min()和max()在它们前面需要stats查询命令。
尝试一下:
fields @timestamp,srcAddr,dstAddr,srcPort,dstPort,bytes, interfaceId
| filter dstPort = 22
| stats sum(bytes) by interfaceId