Splunk的一个表,我想创建一个类似如下的表:创建与发展趋势
服务器 - 事件计数 - 事件计数去年同期
什么才是我的意思是说?
我必须做一个事件计数,这是微不足道的。
base query | stats count as events by source
现在我有一个选择器,让我选择期间(经典splunk时间选择器)。
我需要的是以下几点: 如果选择为“上周”我需要之前的最后一周一周的活动,并在第二列的事件
在第一列数如果选择是“最后装配”我需要之前的最后一个安装支架的活动,并在第二列的事件
等在第一列数...
编号喜欢做的事不用搞乱html,xml或任何其他语言。如果可能的话,我想要一个普通的splunk搜索。
非常感谢。
安德烈
这是一个局部的解决方案,因为涉及到改变变量发生变化的时间跨度。
BASE SEARCH earliest=-14d latest=now
| eval when=if(_time>relative_time(now(), "[email protected]"), "Current_Week", "Prev_Week")
| stats count as events by source when
| chart sum(events) by source, when
| eval perc = (Current_Week-Prev_Week)/Prev_Week
| eval trend = case(perc < -0.3, "low", (perc >= -0.3 and perc <= 0.3), "madium", perc > 0.3, "high")
| table source, Current_Week, Prev_Week, perc, trend