简单条形图仪表板的 Splunk 查询
Splunk query for simple bar chart dashboard
我正在使用 Splunk DB Connect 从 snowflake 获取数据到 Splunk。这只是用于演示目的的 4 行数据。以下是 Splunk 数据 ( SELECT * FROM example_database. table)
EMP_ID EMP_NAME EMP_SALARY
1 John 3000
2 Greg 3200
3 Peter 1200
4 Mark 2000
我想在 Splunk 中创建一个简单的条形仪表板,它分别在 x 轴和 y 轴上显示 emp_name 和 emp_salary。我在 Slplunk 搜索和报告中使用以下查询
source="check" "EMP_NAME" "EMP_SALARY" | top EMP_SALARY
但它向我展示了同等高度的酒吧(应该是不同的高度,因为薪水不同)。有什么建议我在查询中做错了吗?感谢您的帮助:)
top 命令看到四个薪水,每个人都有一个收入,所以他们每个人都是 25%。这就是图表平坦的原因,但这没关系,因为 top 不是这里需要的。当您想要查找一个字段或一组字段的最常见值时,请使用 top。请注意 top 也会丢弃字段,因此请谨慎使用。对于绘图,请尝试使用 chart 命令。
| makeresults
| eval _raw="EMP_ID EMP_NAME EMP_SALARY
1 John 3000
2 Greg 3200
3 Peter 1200
4 Mark 2000"
| multikv forceheader=1
| chart max(EMP_SALARY) as EMP_SALARY over EMP_NAME
我正在使用 Splunk DB Connect 从 snowflake 获取数据到 Splunk。这只是用于演示目的的 4 行数据。以下是 Splunk 数据 ( SELECT * FROM example_database. table)
EMP_ID EMP_NAME EMP_SALARY
1 John 3000
2 Greg 3200
3 Peter 1200
4 Mark 2000
我想在 Splunk 中创建一个简单的条形仪表板,它分别在 x 轴和 y 轴上显示 emp_name 和 emp_salary。我在 Slplunk 搜索和报告中使用以下查询
source="check" "EMP_NAME" "EMP_SALARY" | top EMP_SALARY
但它向我展示了同等高度的酒吧(应该是不同的高度,因为薪水不同)。有什么建议我在查询中做错了吗?感谢您的帮助:)
top 命令看到四个薪水,每个人都有一个收入,所以他们每个人都是 25%。这就是图表平坦的原因,但这没关系,因为 top 不是这里需要的。当您想要查找一个字段或一组字段的最常见值时,请使用 top。请注意 top 也会丢弃字段,因此请谨慎使用。对于绘图,请尝试使用 chart 命令。
| makeresults
| eval _raw="EMP_ID EMP_NAME EMP_SALARY
1 John 3000
2 Greg 3200
3 Peter 1200
4 Mark 2000"
| multikv forceheader=1
| chart max(EMP_SALARY) as EMP_SALARY over EMP_NAME