在 splunk 中创造 table 趋势
Creating a table in splunk with trends
我想创建一个 table 像以下列:
服务器 - 事件计数 - 上一周期的事件计数
这是什么意思?
我必须对事件进行计数,这很简单。
base query | stats count as events by source
现在我有一个 selector 让我 select 那个时期(经典的 splunk 时间 selector)。
我需要的是:
如果 select 或 "last week" 我需要在第一列中计算上周的事件,在第二列中计算前一周的事件
如果 select 或者是 "last mount" 我需要在第一列中计算最后一次安装的事件,在第二列中计算之前安装的事件
等...
我喜欢在不混淆 html、xml 或任何其他语言的情况下这样做。如果可能的话,我想要一个简单的 splunk 搜索。
非常感谢。
安德莉亚
这是部分解决方案,因为涉及更改变量以更改时间跨度。
BASE SEARCH earliest=-14d latest=now
| eval when=if(_time>relative_time(now(), "-7d@d"), "Current_Week", "Prev_Week")
| stats count as events by source when
| chart sum(events) by source, when
| eval perc = (Current_Week-Prev_Week)/Prev_Week
| eval trend = case(perc < -0.3, "low", (perc >= -0.3 and perc <= 0.3 ), "madium", perc > 0.3, "high")
| table source, Current_Week, Prev_Week, perc, trend
我想创建一个 table 像以下列:
服务器 - 事件计数 - 上一周期的事件计数
这是什么意思?
我必须对事件进行计数,这很简单。
base query | stats count as events by source
现在我有一个 selector 让我 select 那个时期(经典的 splunk 时间 selector)。
我需要的是: 如果 select 或 "last week" 我需要在第一列中计算上周的事件,在第二列中计算前一周的事件
如果 select 或者是 "last mount" 我需要在第一列中计算最后一次安装的事件,在第二列中计算之前安装的事件
等...
我喜欢在不混淆 html、xml 或任何其他语言的情况下这样做。如果可能的话,我想要一个简单的 splunk 搜索。
非常感谢。
安德莉亚
这是部分解决方案,因为涉及更改变量以更改时间跨度。
BASE SEARCH earliest=-14d latest=now
| eval when=if(_time>relative_time(now(), "-7d@d"), "Current_Week", "Prev_Week")
| stats count as events by source when
| chart sum(events) by source, when
| eval perc = (Current_Week-Prev_Week)/Prev_Week
| eval trend = case(perc < -0.3, "low", (perc >= -0.3 and perc <= 0.3 ), "madium", perc > 0.3, "high")
| table source, Current_Week, Prev_Week, perc, trend