下面的Splunk查询只返回calc_string列,并为index列返回空白,如果我删除ln4和ln5,它将返回index。如何进行此查询以同时返回两列请给出建议??
index=车辆*sourcetype=info_sslsplunk_server_group=全部|stats value(xx(as xx value(yy(as yy
|eval calc_string=if(isnull(xx(,yy,xx(|表索引calc_string
|排序索引
使用stats命令,您将希望使用BY子句为BY子句字段中的每个不同值返回一行。
在使用| stats values(xx)的示例中,结果集仅由字段yy的值组成,而不包含索引
因此,为了包含索引,我们将使用带有统计数据聚合的by子句(最后的第2行(
index=vehicle* sourcetype=info_ssl splunk_server_group=ALL
| stats values(xx) as XX values(yy) as YY BY index
| eval calc_string=if(isnull(XX), YY, XX)
| table index calc_string
| sort index
如果这解决了你的问题,花点时间接受答案。这可以通过点击答案旁边的复选标记来完成,将其从灰色切换为填写