我有一个杂音查询,每天都会返回应用程序流量。
AppID AppBindID ServerIP HostName AppServer tree DailyCount
17159 cn=id1 123.45.678.10 server1 serverA LDAP 3
17159 cn=id1 123.45.678.10 server1 serverA LDAP 7
17159 cn=id2 123.45.678.11 server1 serverA LDAP 3
我希望能够从第1-6列的数据中识别出重复项,然后将第7列的值相加以形成单个唯一行。
所需的输出:
AppID AppBindID ServerIP HostName AppServer tree DailyCount
17159 cn=id1 123.45.678.10 server1 serverA LDAP 10
17159 cn=id2 123.45.678.11 server1 serverA LDAP 3
您可以使用统计信息根据其他几个字段对一个字段求和。
index=... | stats sum(DailyCount) as DailyCount by AppId, AppBindID, ServerIP, Hostname, AppServer, tree