[解決済み] Splunk で複数のフィールドでイベントをグループ化する

質問

こんにちは、私はsplunkで次のような形式のいくつかのイベントを持っています。

所在地 : 何らかの値(複数のイベントで同じ値が存在する可能性があります)

依頼者 : ある値（同じ値が複数のイベントに存在することがあります。）

トランザクション番号 何らかの値(イベントごとにユニーク)

取引時間 ：何らかの値（イベントごとにユニークな値）

このフォームの中にテーブルを作りたい

基本的に、各拠点は複数のクライアントを持つことができ、各クライアントは異なるトランザクションを持つことができます。トランザクション番号とトランザクション時刻は一意であり、1対1の対応付けがなされている。

私はこのクエリをsplunk-で使用しています。

| stats list(TransactionNumber) list(TransactionTime) by Location Client（ロケーションクライアントによる統計リスト（トランザクション番号）リスト（トランザクション時間））。

場所とクライアントのユニークな組み合わせを取得していますが、特定の場所に対してユニークなクライアントをリストアップしたいのですが、どうすればよいでしょうか？

これは、私が取得しているものです。

同じことを実現するには、クエリをどのように修正すればよいのでしょうか。

どのように解決するのですか？

以下は、_internal インデックスを使用した完全な例です。

index=_internal

| stats list(log_level) list(component) by sourcetype source

| streamstats count as sno by sourcetype 
| eval sourcetype=if(sno=1,sourcetype,"") 
| fields - sno

あなたのユースケースには、次のようにすればいいと思います。

| stats list(TransactionNumber) list(TransactionTime) by Location Client
| streamstats count as sno by Location 
| eval Location=if(sno=1,Location,"") 
| fields - sno

これで問題が解決した場合は、しばらく時間をおいてから、その回答を受け入れてください。これは、回答の横にあるチェックマークをクリックして、グレーアウトから入力に切り替えることで行えます。

乾杯