Splunk의 dedup

이름에서 짐작할 수 있지만 dedup은 최초 검색 결과 이후 중복을 제거해준다.

중복 제거라는 결과 때문에 동작 방식을 정확히 이해하지 못하면 집계 명령과 헷갈릴 수 있음. 다음은 두 필드가 쌍을 이루는 'process_name:Company' 기준의 집계 결과. 

집계 기준이 process_name에서 'process_name:Company'로 달라지면 당연히 집계 결과도 달라진다.

다음은 비슷하게 동작할거라 예상한 dedup 명령. process_name 기준으로 중복을 제거한 후, 남은 Company 정보를 최종 검색 결과에 추가하기 때문에 집계 명령과 차이를 보인다. 

집계 명령과 같은 결과를 가져오려면 집계 기준과 같은 중복 제거 기준을 줘야함.

관련 글

• Splunk의 fillnull
• Splunk의 eval과 rex
• Splunk의 makeresults