我有这些日志-
2020-01-09 06:20:03,965 - INFO - field1=1 field2=1554
field3=100 host=1
2020-01-09 06:25:03,965 - INFO - field1=2.43 field2=1999
field3=188 host=2
2020-01-09 06:30:03,965 - INFO - field1=3.43 field2=2300
field3=222 host 1
2020-01-09 06:30:03,965 - INFO - field1=4.43 field2=2200
field3=201 host 3
2020-01-09 06:30:03,965 - INFO - field1=4.43 field2=2500
field3=200 host 2
在splunk中,我需要添加一个分页表,该表将以“主机”作为第一列,而将相应的(“ field2” +“ field3”)作为第二列。
关于此操作的任何建议?
并不清楚您要完成的任务,但类似以下内容可能会引导您走上正确的道路
index = ... | eval col2 = field2+field3 | table host, col2
您可能需要eval col2 = field2.field3