仪表板表:获取子查询的计数

问题描述 投票:1回答:1

几个小时我一直在努力。

我正在尝试构建一个具有以下内容的简单表:

  1. 包含id和日期的搜索结果
  2. 使用1中搜索的id计算子查询的计数

我有两个工作查询,可以单独实现我想要的,但是当我尝试使用连接时,我丢失了#2查询的数据。

查询#1:index = source =“”“”AND parentId = 1574 |字段childId,date - >返回333,查询#2:index = source =“”“”AND childId = 333 |图表计为childCount |字段childCount - >返回计数,例如4

当我尝试使用这样的东西加入这两个时,我失去了计数:

index=<redacted> source="<redacted" "<some query text>" AND 
    parentId=1574 
| fields childId, date
| join type=left childId [ 
    search index=<redacted> source="<redacted>" "<some query text>" AND 
    childId=333 | chart count as childCount | fields childCount
]
| table artifactId, childCount, date

我也试过外连接,追加等无济于事。计数也可以是0。

任何帮助,将不胜感激,

谢谢!

splunk splunk-query
1个回答
1
投票

第二次搜索的数据丢失,因为搜索没有返回join预期的'childId'字段。它仅返回fields命令中指定的'childCount'字段。试试fields childId childCount

© www.soinside.com 2019 - 2024. All rights reserved.