如何計算Splunk中的結果並將其放入表中？

Question

我試圖在Splunk中創建一個表，其中包含幾個已提取的字段以及在爲Splunk提供搜索字符串時返回的總數條目數。我遇到的問題是，當我使用stats命令獲取返回結果的計數並將其傳送到表時，它只是將所有字段留空，但顯示返回結果的計數值。如果沒有計數邏輯，表格會顯示我之後的所有值。下面是我的示例查詢：

index=test "Failed to find file" 
| table host, sourceUser, sourceApp, source 
| rename host as "Server", sourceUser as "User", sourceApp as "Application", source as "Log" 

這裏有例子的結果（兩線CSV，因爲我不能發佈，PIC）：

服務器，用戶，應用程序，登錄

MYSERVER1， joesmith，RadomApp，C：\ Users \ Joe \ Log.txt

這將返回我要求的所有字段。如果我添加的統計信息命令（如下所示），它返回一個表中的所有列，但其具有的數據是「錯誤計數」列中的僅一個：

index=test "Failed to find file" 
| stats count as error 
| table host, sourceUser, sourceApp, source, error 
| rename host as "Server", sourceUser as "User", sourceApp as "Application", source as "Log", error as "Error Count" 

實施例的結果：

服務器，用戶，應用程序日誌，的ErrorCount

,,,, 1

什麼去這是最好的方法你知道嗎？

Answer 1

我認識的人與解決方案來了，我需要改變「統計信息」線，使得最終的查詢看起來是這樣的：

index=test "Failed to find file" 
| stats count as error by host, sourceUser, sourceApp, source 
| table host, sourceUser, sourceApp, source, error 
| rename host as "Server", sourceUser as "User", sourceApp as "Application", source as "Log", error as "Error Count"