SPLUNK 多值图表
SPLUNK multi-value chart
我有 2 个值 restSevice 是调用哪个端点,status 是从该端点返回的代码。我想做一个时间表,以便 x 是时间,y 是状态值与调用的 restService 相结合的计数。即,如果我调用我的 restService receiving and/or location 那么返回的每个 status 都会有一行,因此 [=16= 也会有一行]、receiving 404、location 200 和 location 404。
您可以合并 restService 和 status 字段的值并将其分配给新字段:
| your_search
| eval service_status = restService + " " + status
| timechart count by service_status
我有 2 个值 restSevice 是调用哪个端点,status 是从该端点返回的代码。我想做一个时间表,以便 x 是时间,y 是状态值与调用的 restService 相结合的计数。即,如果我调用我的 restService receiving and/or location 那么返回的每个 status 都会有一行,因此 [=16= 也会有一行]、receiving 404、location 200 和 location 404。
您可以合并 restService 和 status 字段的值并将其分配给新字段:
| your_search
| eval service_status = restService + " " + status
| timechart count by service_status