我们目前正在寻找一种方法,通过splunk查找给定事件类型的“唯一”请求数。 就像达到404的用户数量一样,但我不在乎用户是打了两次还是10次,我只想要那个有错误的用户数。 无论如何,用splunk做到了吗?
答案 0 :(得分:2)
不确定
假设您的源类型被称为“access_combined”并且您已定义状态和用户字段(由Splunk自动或由您通过字段提取明确定义),您的搜索可能如下所示:
sourcetype =“access_combined”status =“404”|重复数据删除用户|表用户
或者你也可以尝试这个,它使用了不同的计数操作:
sourcetype =“access_combined”status =“404”| stats dc(status)by user