Splunk条件不同计数_Splunk_Splunk Query

Splunk条件不同计数

Splunk条件不同计数,splunk,splunk-query,Splunk,Splunk Query,我正在运行一个独特的计数语法，stats dc（src_ip）by，它返回不同源ip的数量，但我想创建一个条件语句（eval？），它应该只在计数大于50时返回统计数据尝试过这样的事情，但没有乐趣。你知道如何在计数必须大于X的情况下进行条件独立计数吗 stats dc（src_ip）| eval status=if（count>50）=>不起作用stats命令将始终返回结果（尽管有时结果为空）。但是，可以抑制满足条件的结果 stats dc(src_ip) as ip_count | where

我正在运行一个独特的计数语法，

stats dc（src_ip）by

，它返回不同源ip的数量，但我想创建一个条件语句（

eval

？），它应该只在计数大于50时返回统计数据

尝试过这样的事情，但没有乐趣。你知道如何在计数必须大于X的情况下进行条件独立计数吗

stats dc（src_ip）| eval status=if（count>50）

=>不起作用

stats命令将始终返回结果（尽管有时结果为空）。但是，可以抑制满足条件的结果

stats dc(src_ip) as ip_count
| where ip_count > 50

我试过了，但没用。结果没有显示任何情况。不同的计数似乎有效，但当我应用“where”时，它不会显示过滤的结果。

ip\u计数

值是否大于50？如果没有，则不会显示结果。