如何制作包含按服务组织的两个事件的堆栈柱形图?

How do I make a stack column chart with two events organized by services?

基本上我需要制作一个柱形图,其中 x 轴上有不同的端点(服务,例如登录等),每个端点都有一个独特的列,上面有两种颜色,红色表示服务错误事件,绿色表示用于服务事件。

我可以用这样的搜索字符串得到一些东西: 我的搜索 EVENT="[SERVICES]" OR EVENT="[SERVICE_ERROR]" |按事件、端点统计的图表 虽然它的事件在 x 轴上(但显示了我需要的服务和服务错误),但端点在图表中堆叠的颜色不同。 然而,扭转这一点会导致仅显示服务事件,这超出了我的推理,因为服务错误出现在第一次搜索中。 以上只是我尝试过的。我也试过: 我的搜索 |字段端点“[SERVICE]”“[SERVICE_ERROR]” 根据此处关于堆叠图表的 splunk 文档: https://docs.splunk.com/Documentation/Splunk/7.1.1/Viz/ColumnBarCharts (页面底部的最后一个示例)。 我想确保我的解释是彻底的,但简而言之...... 我的目标是将所有端点显示在 x 轴上,并将不同服务事件和服务错误事件的计数作为实际图形数据作为一列,将两个事件分成两种颜色。 感谢您的任何帮助!!

我找到了答案并想与大家分享以防其他人觉得这有帮助:

首先,我使用字段提取器为错误创建了一个唯一字段。 “[SERVICE_ERROR]”想要 link 所有其他类似的事件,所以我不得不使用 "error_message" 来提取我的错误。

接下来我将其添加到我的搜索字符串中: ...... | stats count(eval(match(EVENT,[SERVICE]"))) AS service count(error) AS error BY endservice 这将计算一个 table,找到事件“[SERVICE]”和字段 "error" 的计数,并使用 "AS/as" 重命名它们。字段 "endservice" 是我用来获取更准确端点的字段提取。

最后,我转到图表的格式选项(靠近放大镜和右上角的三个点,看起来像画笔)并单击它。之后我选择了"stacked column"(中间那个)。

瞧!我有两种不同数据类型的堆叠图!我希望有一天这对其他人有所帮助。