按匹配的搜索短语划分的 Splunk 细分结果
Splunk breakdown results by matched search phrase
我正在搜索几个不同的搜索词,我想要按匹配词分组的统计信息:
"PhraseA" "PhraseB" "PhraseC" | timechart count by <which Phrase matched>
应该用什么代替 <which Phrase matched>?我将使用结果构建堆积条形图。
尝试使用 eval 和 case 创建类别字段,并在您的图表中使用它:
index=whatever_index "PhraseA" "PhraseB" "PhraseC"
| eval matched_phrase=case(searchmatch("PhraseA"), "PhraseA", searchmatch("PhraseB"), "PhraseB", searchmatch("PhraseC"), "PhraseC")
| timechart count by matched_phrase
Splunk documentation 中有更多关于这些函数的有用信息
我正在搜索几个不同的搜索词,我想要按匹配词分组的统计信息:
"PhraseA" "PhraseB" "PhraseC" | timechart count by <which Phrase matched>
应该用什么代替 <which Phrase matched>?我将使用结果构建堆积条形图。
尝试使用 eval 和 case 创建类别字段,并在您的图表中使用它:
index=whatever_index "PhraseA" "PhraseB" "PhraseC"
| eval matched_phrase=case(searchmatch("PhraseA"), "PhraseA", searchmatch("PhraseB"), "PhraseB", searchmatch("PhraseC"), "PhraseC")
| timechart count by matched_phrase
Splunk documentation 中有更多关于这些函数的有用信息