我在S3存储桶中有一些音频文件。我想编写一个splunk查询来查找前500个音频文件,并按日期对其进行分类,并将其存储在文件夹中。我也想每天晚上做。我应该查询什么?
答案 0 :(得分:0)
您将执行以下操作。
index=audiofiles earliest=-1d@d | stats count by title
earliest=1d@d意味着您只想查看最后一天的日志价值。 stats命令通过title对每首歌曲的频率进行计数。我假设您的数据中有一个title字段。
您可能会选择将这样的搜索安排为每晚运行。如果您希望保存这些数据的结果,则可以使用collect命令将此数据写入摘要索引,或者使用outputcsv命令将该数据写入CSV