Мне нужна небольшая помощь с запросом splunk, который я пытаюсь использовать.
Этот запрос отлично подходит для сбора необходимой мне информации:
index=prd_aws_billing (source="/*2017-12.csv") LinkedAccountId="1234567810" OR LinkedAccountId="123456789" ProductName="Amazon Elastic Compute Cloud" | stats sum(UnBlendedCost) AS Cost by ResourceId,UsageType,user_Name,user_Engagement
Однако я хотел бы это немного уточнить. Я хотел бы представить user_Engagement просто как Engagement, а user_Name как «Имя ресурса».
Я попытался использовать AS для изменения вывода, как я сделал, чтобы изменить UnBlendedCost просто на «Стоимость». Но когда я это делаю, мой запрос прерывается, и ничего не возвращается. Например, если я сделаю либо:
index=prd_aws_billing (source="/*2017-12.csv") LinkedAccountId="123456789" OR LinkedAccountId="1234567810" ProductName="Amazon Elastic Compute Cloud" | stats sum(UnBlendedCost) AS Cost by ResourceId AS “Resource Name”,UsageType,user_Name,user_Engagement AS “Engagement”
Or
index=prd_aws_billing (source="/*2017-12.csv") LinkedAccountId="123456789" OR LinkedAccountId="1234567819" ProductName="Amazon Elastic Compute Cloud" ResourceID AS “Resource Name” user_Engagement AS “Engagement” | stats sum(UnBlendedCost) AS Cost by ResourceId AS “Resource Name”,UsageType,user_Name,user_Engagement AS “Engagement”
Запрос умирает, и никакая информация не возвращается. Как я могу переформатировать элементы поиска, перечисленные после предложения «по»?
