我是splink的新手,需要查询特定的字段。事件看起来像这样:
[2022-08-27 10:49:54.909.196][0x0000219c][Info][GENERAL] Player{
PlayerName: popeye
Experience: 32
}
[2022-08-27 10:49:54.909.196][0x0000219c][Info][GENERAL] Player{
PlayerName: jack
Experience: 12
}
[2022-08-27 10:49:54.909.196][0x0000219c][Info][GENERAL] Player{
PlayerName: popeye
Experience: 32
}
[2022-08-27 10:49:54.909.196][0x0000219c][Info][GENERAL] Player{
playerName: popeye
experience: 32
}
如果任何唯一的PlayerName计数大于2,我想创建一个警报。例如,在这种情况下;popeye";。
我能够使用|stats count by playerName,提取字段和计数
你说你尝试了|stats count by playerName,但没有得到什么结果。我怀疑您一无所获,因为没有"playerName"字段。字段名称区分大小写。尝试
| stats count by PlayerName
| where count > 2
当然,这假定PlayerName字段已经被提取。