首先让我说,我是非常非常非常新的splunk。我试图找到所有组成索引的 "主机",并得到一个唯一值的总计数。这样做的目的是为了在 "主机 "总数发生变化时发出警报,这样我就可以知道什么时候组成索引的东西停止工作了。
下面是我的查询,到目前为止,它给了我主机名和计数,但是我不知道如何得到 "计数 "的总和。
index=exchangesmtp | table host | dedup host | stats count by host | addtotals fieldname=count
earliest=-30m index=exchangesmtp