Splunk的一個表,我想創建一個類似如下的表:創建與發展趨勢
服務器 - 事件計數 - 事件計數去年同期
什麼纔是我的意思是說?
我必須做一個事件計數,這是微不足道的。
base query | stats count as events by source
現在我有一個選擇器,讓我選擇期間(經典splunk時間選擇器)。
我需要的是以下幾點: 如果選擇爲「上週」我需要之前的最後一週一週的活動,並在第二列的事件
在第一列數如果選擇是「最後裝配」我需要之前的最後一個安裝支架的活動,並在第二列的事件
等在第一列數...
編號喜歡做的事不用搞亂html,xml或任何其他語言。如果可能的話,我想要一個普通的splunk搜索。
非常感謝。
安德烈
這是一個局部的解決方案,因爲涉及到改變變量發生變化的時間跨度。
BASE SEARCH earliest=-14d latest=now
| eval when=if(_time>relative_time(now(), "[email protected]"), "Current_Week", "Prev_Week")
| stats count as events by source when
| chart sum(events) by source, when
| eval perc = (Current_Week-Prev_Week)/Prev_Week
| eval trend = case(perc < -0.3, "low", (perc >= -0.3 and perc <= 0.3), "madium", perc > 0.3, "high")
| table source, Current_Week, Prev_Week, perc, trend