在 splunk 中创造 table 趋势

Creating a table in splunk with trends

我想创建一个 table 像以下列:

服务器 - 事件计数 - 上一周期的事件计数

这是什么意思?

我必须对事件进行计数,这很简单。

base query | stats count as events by source 

现在我有一个 selector 让我 select 那个时期(经典的 splunk 时间 selector)。

我需要的是: 如果 select 或 "last week" 我需要在第一列中计算上周的事件,在第二列中计算前一周的事件

如果 select 或者是 "last mount" 我需要在第一列中计算最后一次安装的事件,在第二列中计算之前安装的事件

等...

我喜欢在不混淆 html、xml 或任何其他语言的情况下这样做。如果可能的话,我想要一个简单的 splunk 搜索。

非常感谢。

安德莉亚

这是部分解决方案,因为涉及更改变量以更改时间跨度。

BASE SEARCH earliest=-14d latest=now 
| eval when=if(_time>relative_time(now(), "-7d@d"), "Current_Week", "Prev_Week") 
| stats count as events by  source when 
| chart sum(events) by source, when 
| eval perc = (Current_Week-Prev_Week)/Prev_Week
| eval trend = case(perc < -0.3, "low", (perc >= -0.3 and perc <= 0.3 ), "madium", perc > 0.3, "high")
| table source, Current_Week, Prev_Week, perc, trend