https://community.splunk.com/t5/Splunk-Search/Group-events-based-on-content-of-field/m-p/621033#M215872 <P>I have the following table of activities:<BR /><BR /></P> <TABLE border="1" width="100%"> <TBODY> <TR> <TD width="33.333333333333336%">Internal</TD> <TD width="33.333333333333336%">External</TD> <TD width="33.333333333333336%">Direction</TD> </TR> <TR> <TD width="33.333333333333336%">1.1.1.1</TD> <TD width="33.333333333333336%">2.2.2.2</TD> <TD width="33.333333333333336%">Outbound</TD> </TR> <TR> <TD width="33.333333333333336%">3.3.3.3</TD> <TD width="33.333333333333336%">4.4.4.4</TD> <TD width="33.333333333333336%">Inbound</TD> </TR> <TR> <TD width="33.333333333333336%">5.5.5.5</TD> <TD width="33.333333333333336%">4.4.4.4</TD> <TD width="33.333333333333336%">Inbound</TD> </TR> <TR> <TD width="33.333333333333336%">1.1.1.1</TD> <TD width="33.333333333333336%">8.8.8.8</TD> <TD width="33.333333333333336%">Outbound</TD> </TR> </TBODY> </TABLE> <P>&nbsp;</P> <P>I want to group them by either Internal OR External, based on what is in the Direction field, if its Outbound I want to group by Internal , if its Inbound I want to group by External, and get the count.<BR />I would like to get the following table as a result:<BR /><BR /></P> <TABLE border="1" width="100%"> <TBODY> <TR> <TD width="33.333333333333336%" height="25px">Internal</TD> <TD width="33.333333333333336%" height="25px">External</TD> <TD width="16.666666666666668%" height="25px">Count</TD> <TD width="8.333333333333334%">Grouped by</TD> <TD width="8.333333333333334%">Direction</TD> </TR> <TR> <TD width="33.333333333333336%" height="25px">1.1.1.1</TD> <TD width="33.333333333333336%" height="25px">2.2.2.2<BR />8.8.8.8</TD> <TD width="16.666666666666668%" height="25px">2</TD> <TD width="8.333333333333334%">1.1.1.1</TD> <TD width="8.333333333333334%">Outbound</TD> </TR> <TR> <TD width="33.333333333333336%" height="25px">3.3.3.3<BR />5.5.5.5</TD> <TD width="33.333333333333336%" height="25px">4.4.4.4</TD> <TD width="16.666666666666668%" height="25px">2</TD> <TD width="8.333333333333334%">4.4.4.4</TD> <TD width="8.333333333333334%">Inbound</TD> </TR> </TBODY> </TABLE> <P><BR />Thanks.</P> Wed, 16 Nov 2022 15:04:37 GMT KMoryson 2022-11-16T15:04:37Z https://community.splunk.com/t5/Splunk-Search/Group-events-based-on-content-of-field/m-p/621033#M215872 <P>I have the following table of activities:<BR /><BR /></P> <TABLE border="1" width="100%"> <TBODY> <TR> <TD width="33.333333333333336%">Internal</TD> <TD width="33.333333333333336%">External</TD> <TD width="33.333333333333336%">Direction</TD> </TR> <TR> <TD width="33.333333333333336%">1.1.1.1</TD> <TD width="33.333333333333336%">2.2.2.2</TD> <TD width="33.333333333333336%">Outbound</TD> </TR> <TR> <TD width="33.333333333333336%">3.3.3.3</TD> <TD width="33.333333333333336%">4.4.4.4</TD> <TD width="33.333333333333336%">Inbound</TD> </TR> <TR> <TD width="33.333333333333336%">5.5.5.5</TD> <TD width="33.333333333333336%">4.4.4.4</TD> <TD width="33.333333333333336%">Inbound</TD> </TR> <TR> <TD width="33.333333333333336%">1.1.1.1</TD> <TD width="33.333333333333336%">8.8.8.8</TD> <TD width="33.333333333333336%">Outbound</TD> </TR> </TBODY> </TABLE> <P>&nbsp;</P> <P>I want to group them by either Internal OR External, based on what is in the Direction field, if its Outbound I want to group by Internal , if its Inbound I want to group by External, and get the count.<BR />I would like to get the following table as a result:<BR /><BR /></P> <TABLE border="1" width="100%"> <TBODY> <TR> <TD width="33.333333333333336%" height="25px">Internal</TD> <TD width="33.333333333333336%" height="25px">External</TD> <TD width="16.666666666666668%" height="25px">Count</TD> <TD width="8.333333333333334%">Grouped by</TD> <TD width="8.333333333333334%">Direction</TD> </TR> <TR> <TD width="33.333333333333336%" height="25px">1.1.1.1</TD> <TD width="33.333333333333336%" height="25px">2.2.2.2<BR />8.8.8.8</TD> <TD width="16.666666666666668%" height="25px">2</TD> <TD width="8.333333333333334%">1.1.1.1</TD> <TD width="8.333333333333334%">Outbound</TD> </TR> <TR> <TD width="33.333333333333336%" height="25px">3.3.3.3<BR />5.5.5.5</TD> <TD width="33.333333333333336%" height="25px">4.4.4.4</TD> <TD width="16.666666666666668%" height="25px">2</TD> <TD width="8.333333333333334%">4.4.4.4</TD> <TD width="8.333333333333334%">Inbound</TD> </TR> </TBODY> </TABLE> <P><BR />Thanks.</P> Wed, 16 Nov 2022 15:04:37 GMT https://community.splunk.com/t5/Splunk-Search/Group-events-based-on-content-of-field/m-p/621033#M215872 KMoryson 2022-11-16T15:04:37Z https://community.splunk.com/t5/Splunk-Search/Group-events-based-on-content-of-field/m-p/621034#M215873 <P>Try something like this</P><LI-CODE lang="markup">| eventstats values(Internal) as internals by External | eventstats values(External) as externals by Internal | eval groupby=if(Direction="Outbound",Internal,External) | stats values(internals) as internals values(externals) as externals values(Direction) as Direction by groupby | eval count=max(mvcount(internals), mvcount(externals))</LI-CODE> Wed, 16 Nov 2022 10:07:59 GMT https://community.splunk.com/t5/Splunk-Search/Group-events-based-on-content-of-field/m-p/621034#M215873 ITWhisperer 2022-11-16T10:07:59Z https://community.splunk.com/t5/Splunk-Search/Group-events-based-on-content-of-field/m-p/621036#M215874 <P>So effectively you want to group by src_ip<BR /><BR /></P><LI-CODE lang="markup">...your existing query... | eval src_ip = if(Direction="Outbound",Internal,External) | stats values(Internal) as Internal values(External) as External count values(Direction) as Direction by src_ip</LI-CODE> Wed, 16 Nov 2022 10:44:07 GMT https://community.splunk.com/t5/Splunk-Search/Group-events-based-on-content-of-field/m-p/621036#M215874 FrankVl 2022-11-16T10:44:07Z