Splunk:如何将两个搜索合二为一 timechart/graph?
Splunk: How to get two searches in one timechart/graph?
我必须查询如下所示:
source="/log/ABCD/cABCDXYZ/xyz.log" doSomeTasks| timechart partial=f span=1h count as "#XYZ doSomeTasks" | fillnull
source="/log/ABCD/cABCDXYZ/xyz.log" doOtherTasks| timechart partial=f span=1h count as "#XYZ doOtherTasks" | fillnull
我现在想在一张图中得到这两个搜索(我不想将每次搜索得到的数字相加到一个值)。
我看到可以使用 appendcols 但是我尝试使用这个命令没有成功。
我试过了,但没用:
source="/log/ABCD/cABCDXYZ/xyz.log" doSomeTasks|timechart partial=f span=1h count as "#XYZ doSomeTasks" appendcols [doOtherTasks| timechart partial=f span=1h count as "#XYZ doOtherTasks" | fillnull]
感谢 PM 77-1,问题已解决。
此命令有效:
source="/log/ABCD/cABCDXYZ/xyz.log" doSomeTasks|timechart partial=f span=1h count as "#XYZ doSomeTasks" | appendcols[search source="/log/ABCD/cABCDXYZ/xyz.log" doOtherTasks| timechart partial=f span=1h count as "#XYZ doOtherTasks" | fillnull]
注意:如果第二个搜索命令与第一个搜索命令的来源相同,则不必在第二个搜索命令中提及来源。
我必须查询如下所示:
source="/log/ABCD/cABCDXYZ/xyz.log" doSomeTasks| timechart partial=f span=1h count as "#XYZ doSomeTasks" | fillnull
source="/log/ABCD/cABCDXYZ/xyz.log" doOtherTasks| timechart partial=f span=1h count as "#XYZ doOtherTasks" | fillnull
我现在想在一张图中得到这两个搜索(我不想将每次搜索得到的数字相加到一个值)。
我看到可以使用 appendcols 但是我尝试使用这个命令没有成功。
我试过了,但没用:
source="/log/ABCD/cABCDXYZ/xyz.log" doSomeTasks|timechart partial=f span=1h count as "#XYZ doSomeTasks" appendcols [doOtherTasks| timechart partial=f span=1h count as "#XYZ doOtherTasks" | fillnull]
感谢 PM 77-1,问题已解决。
此命令有效:
source="/log/ABCD/cABCDXYZ/xyz.log" doSomeTasks|timechart partial=f span=1h count as "#XYZ doSomeTasks" | appendcols[search source="/log/ABCD/cABCDXYZ/xyz.log" doOtherTasks| timechart partial=f span=1h count as "#XYZ doOtherTasks" | fillnull]
注意:如果第二个搜索命令与第一个搜索命令的来源相同,则不必在第二个搜索命令中提及来源。