Splunk:计算 TopN 主机,但根据键 = 值对添加到 TopN
Splunk: Calculate TopN hosts but add to that TopN based on a key=value pair
有没有办法获取顶级主机计数并使用来自事件本身的 k/v 对的值添加到每个主机计数?
示例:
<158>Mar 26 15:01:36 m500 admd SSO: write 35 bytes on fd(11) OK repeatCount=300 source = tcp:514 sourcetype = generic_single_line
所以这会出现在该主机的事件计数中 300。
我是 Splunk 的新手,所以对查询语言不是很熟悉。我试过了
| metasearch index=* | eval Date=strftime(_time,"%Y-%m-%d") | chart count over host by Date
但我不知道如何从 k/v
中添加计数
你问的不是很清楚,你有更好的例子吗?
你可以试试
| chart sum(repeatCount) over host by Date
或者
| chart values(repeatCount) over host by Date
我们将其中一个和计数相结合,然后再对它们求和。同样,问题还不清楚,但也许这些会为您指明正确的方向
我发现了一个像 Whosebug 的 splunk board 并在那里 posted。为了完整起见,我将 post 解决方案放在这里:
Give this a try (I would strongly suggest to replace index=* with some specific index/sourcetype/source query)
index=* | eval Date=strftime(_time,"%Y-%m-%d") | stats count sum(repeatCount) as repeatCount by host Date | eval total=count + repeatCount | chart max(total) over host by date
有没有办法获取顶级主机计数并使用来自事件本身的 k/v 对的值添加到每个主机计数?
示例:
<158>Mar 26 15:01:36 m500 admd SSO: write 35 bytes on fd(11) OK repeatCount=300 source = tcp:514 sourcetype = generic_single_line
所以这会出现在该主机的事件计数中 300。
我是 Splunk 的新手,所以对查询语言不是很熟悉。我试过了
| metasearch index=* | eval Date=strftime(_time,"%Y-%m-%d") | chart count over host by Date
但我不知道如何从 k/v
中添加计数你问的不是很清楚,你有更好的例子吗?
你可以试试
| chart sum(repeatCount) over host by Date
或者
| chart values(repeatCount) over host by Date
我们将其中一个和计数相结合,然后再对它们求和。同样,问题还不清楚,但也许这些会为您指明正确的方向
我发现了一个像 Whosebug 的 splunk board 并在那里 posted。为了完整起见,我将 post 解决方案放在这里:
Give this a try (I would strongly suggest to replace
index=*with some specific index/sourcetype/source query)
index=* | eval Date=strftime(_time,"%Y-%m-%d") | stats count sum(repeatCount) as repeatCount by host Date | eval total=count + repeatCount | chart max(total) over host by date