[解決済み] Splunk でユニークな検索を行う方法

質問内容

Splunk で一意の部分文字列に絞り込む検索をしようとしています。

今までの私のクエリの例は、次のようになります。

host=node-1 AND "userCache:"

というと、このようなものが返ってきます。

Time                Event
06/04/2021-blah     Cache miss: userCache:  tjohnson
                    host=node-1
06/04/2021-blah     Cache miss: userCache:  sbaca
                    host=node-1
06/04/2021-blah     Cache miss: userCache:  tjohnson
                    host=node-1

しかし、私がやりたいことは、userCacheの後に来るものに基づいて、1つのユニークな値だけを返すことです。

上記の例では、tjohnsonとsbacaの2つの結果だけが返されることになります。 結果にはすでにtjohnsonが含まれているので、追加のtjohnsonは取り除かれます。

何か提案はありますか？

ありがとうございました。

解決方法は？

それは dedup コマンドを使用すると、検索結果から重複を取り除くことができます。 しかし、まず、ユーザー名をフィールドに抽出する必要があります。 そのためには rex .

index=foo ```Always specify an index``` host=node-1 AND "userCache:"
| rex "userCache:\s*(?<user>\w+)"
| dedup user