Splunk:使用spath和groupby对嵌套字段的tstat计数不返回结果

时间:2019-09-10 07:56:19

标签: splunk splunk-query

在splunk上,我有一个数据集,例如“ market-list”索引:

{ Resource: {
        Fruit: mango
        Type: sweet 
       } 
        Attribute: {
         color: yellow
          from: { 
            place: argentina
            continent: southamerica
          } 
       }
    actions: [{ export : yes }]
 }

我想使用以下tstat来计数与给定水果匹配的所有资源,并且还要对嵌套的多个字段进行分组。

我尝试过:

| tstats count | spath | rename "Resource.Fruit" as fruitname | search fruitname=mango where index=market-list groupby fruitname Attribute.from.place actions{}.export

期望符合以下条件:

| tstats count where "Resource.Fruit"=mango index=market-list groupby fruitname Attribute.from.place actions{}.export

但是,这不会返回任何结果。关于如何将spath与tstats结合使用的任何建议?我尝试查找,但无法获得我期望的解决方案。谢谢。

1 个答案:

答案 0 :(得分:0)

tstats命令仅适用于在索引时间提取的字段。由于spath会在搜索时提取字段,因此无法与tstats一起使用。

| tstats count | spath不起作用,因为tstats仅返回一个数字,spath对此无能为力。

相关问题
最新问题