文字列 "サーバーへのステータスの送信"(クエリインデックス= * "サーバーへのステータスの送信")と一致するsplunk結果を検索したいとします。そして、あなたは次の結果を得ます。サーバーへのステータスを送信する各IDの文字列に一致する最後のログのSplunkの方法
このクエリを変更して、各ジョブIDに対してこの文字列に一致する最後の結果を得るにはどうすればよいですか?このデータセットでそのクエリの結果は、サーバへのステータスを送信する
ファーストだろう、あなたが本当にすべてのインデックスで検索したいのでなければ、index = *を実行することは良い考えではないことを教えてください。私は特定のインデックス名を使用することをお勧めします。
あなたの質問にお答えします。 これはdedupコマンドです。 sortby引数を使用して、降順で時間をソートします。
あなたのSPLは、次のようになります。index=myindex | dedup 1 jobid sortby -time
(またはあなたが本当にすべてのインデックスを検索したい場合:index=* | dedup 1 jobid sortby -time)を
私のサンプルデータだった:
"time","message","jobid"
"2016-10-26 13:00:00","Sending Status to Server","jobId=1"
"2016-10-26 12:00:00","Sending Status to Server","jobId=1"
"2016-10-26 11:00:00","Sending Status to Server","jobId=0"
"2016-10-26 10:00:00","Sending Status to Server","jobId=0"
そして、私の検索結果だった