Splunk 查询一个时间范围内条目总和的划分
Splunk query for division of sums of entries within a time frame
我在 Splunk 日志中有以下格式的消息:
LogService 产品 id=1 价格=10.00 numberOfClients=4 利润=5.00
我需要创建一个查询来查找最后一天的所有记录并计算:
sum(价格 * numberOfClients)/sum(利润),
如果结果不在 [0.2, 0.8] 范围内,将触发警报,其中 sum 是所有已记录消息的值的总和。
我尝试了几种方法,但都没有用。请指教
以下搜索将创建计算,并且仅当结果低于 0.2 或高于 0.8 时才会 return 结果
index=...
|stats sum(price * numberOfClients) as A sum(profit) as B
|eval C=A/B
|where C<0.2 OR C>0.8
我在 Splunk 日志中有以下格式的消息:
LogService 产品 id=1 价格=10.00 numberOfClients=4 利润=5.00
我需要创建一个查询来查找最后一天的所有记录并计算:
sum(价格 * numberOfClients)/sum(利润),
如果结果不在 [0.2, 0.8] 范围内,将触发警报,其中 sum 是所有已记录消息的值的总和。
我尝试了几种方法,但都没有用。请指教
以下搜索将创建计算,并且仅当结果低于 0.2 或高于 0.8 时才会 return 结果
index=...
|stats sum(price * numberOfClients) as A sum(profit) as B
|eval C=A/B
|where C<0.2 OR C>0.8