我有"版本";以及";索引";变量
"版本";包含值,如:150160170…
"索引";包含以下值:1,2,3,4,5
基本上,我想知道是否有这种情况的实现:
最大(索引((按版本(
以下6个事件的含义:
150、5
140、1
1140、2
130、1
130、2
330、3
我只得到这3个:
150、5
140、2
130、3
因为它对每个版本的只有最高的索引
谢谢!
无法从Splunk文档实现此功能:
聚合
max([by=<grp>])
调用max(by=<grp>)时,它为<grp>指定的一个或多个属性的每个值返回一个最大值。例如,如果输入流包含名为datacenter的属性的5个不同值,则max(by='datacenter')输出5个最大值。
您可以使用stats命令来查找每个版本的最大索引值。
| stats max(Index) by Version
基本上我想知道是否有这种条件的实现:
max(索引((按版本(
您想要的似乎正是如何用stats:调用max
index=ndx sourcetype=srctp Version=* datacenter=*
| stats max(Version) by datacenter
这不是你想要的吗?
谢谢大家!最终,诀窍是";eventstats";,因为我想要每个事件的最高索引