0
У меня есть этот поиск в Splunk, а поле value оно отображается на графике, это просто самое большое, а не сумма каждого из них.Искать в splunk не sum()
host=users| JOIN type=inner id [ SEARCH host=bills | rename id_user AS id ] | stats sum(value) as value by document | sort - value | head 20
значение имеет этот формат 2000.0
Может быть, он должен быть с sort - value Я новичок с использованием Splunk
Это результат без stats
Не могли бы вы включить некоторые события, которые отображаются, если вы запускаете только поиск с внутренним соединением и подзапросом без команды статистики? –
Сделано! он показывает то же самое, что и статистика не использовалась. –
Я не уверен, что происходит, поскольку я не знаю, что происходит в событиях. Если вы удалите соединение, можете ли вы суммировать стоимость по документу? Это поможет определить, вызвана ли проблема подключением/подзапросом или нет. Кроме того, какие соответствующие поля поступают из какого индекса? –