splunk join 2搜索查询

Question

我正在编写一个splunk查询，以找出影响客户端的顶级异常。所以我有两个查询，一个是客户端日志，另一个是服务器日志查询。使用一个公共字段将它们连接在一起，这些是生产日志，所以我更改了它的名称。我正在尝试找出影响客户端的前5个故障。下面是我的问题。

index=pirs sourcetype=client-* env=* (type=Error error_level=fatal) error_level=fatal serviceName=FailedServiceEndpoint | table _time,serviceName,xab,endpoint,statusCode | join left=L right=R where L.xab = R.xab [search index=zirs sourcetype=server-*  | rex mode=sed field=span_name "s#\..*$##" | search span_success = false spanName=FailedServiceEndpoint |  table _time,spanName,xab] | chart count over L.serviceName

我在这里明确提到了一个服务名称，在最后的查询中不会有服务名称，因为我们需要影响客户端的前5个故障。

这个查询为我提供了服务名称和计数，我还需要其他列，如端点名称，httpStatusCode我不确定如何做到这一点，以及是否有任何重构需要为插入式查询？

Answer 1

这是join的一种奇怪的用法。我没有看到这种特定的语法文档，但显然它对您有效。

要获取更多字段，请使用stats而不是chart。

| stats count, values(endpointName) as endpointName, values(httpStatusCode) as httpStatusCode by serviceName