我在S3存储桶中有一些音频文件。我想写一个splunk查询来查找前500个音频文件并按日期对它们进行分类并将它们存储在一个文件夹中。我也想每晚都这样做。我的查询应该是什么?
您可以执行以下操作。
index=audiofiles earliest=-1d@d | stats count by title
earliest=1d@d意味着你只想看看最后一天的原木价值。 stats命令用title计算每首歌的频率。我假设你的数据中有一个title字段。
您可能会选择安排这样的搜索,以便每晚运行。如果您希望保存此数据的结果,可以使用collect命令将此数据写入摘要索引,或使用outputcsv命令将其写入CSV