如何在 Splunk 中生成具有多个数据系列的可视化
How Can I Generate A Visualisation with Multiple Data Series In Splunk
我一直在试验 Splunk,试图从 OSISoft PI 时间序列数据库中模拟一些基本功能。
我有两个数据点,我希望显示随时间变化的趋势,以便比较它们之间的波动,特别是电力网络 MW 模拟标签。
在 PI 中这很容易做到,但我很难弄清楚如何在 Splunk 中做到这一点。
如果 Tag 字段中的字段值为“SubstationA_T1_MW”和“SubstationA_T2_MW”,我该如何实现?
涉及的字段有TimeStamp、Tag、Value、Status
编辑:
示例输入和输出如下:
我想您对此timechart最感兴趣
以下内容可能会让您找到您要找的东西:
index=ndx sourcetype=srctp Value=* TimeStamp=* %NStatus=* (Tag=SubstationA_T1_MW OR Tag=SubstationA_T2_MW) earliest=-2h
| eval _time=strptime(TimeStamp,"%m/%d/%Y %H:%M:%S.%N")
| timechart span=15m max(Value) as Value by Tag
timechart 依赖于内部隐藏的 _time 字段(在 Unix 纪元时间) - 所以如果 _time 不匹配 TimeStamp,你需要我添加到 convert 的 eval 语句从 TimeStamp 到 _time 的 Unix 纪元时间(我假设是 mm/dd/yyyy 格式)。
另外,去自由自定进度Splunk Fundamentals 1 class
显示随时间变化的趋势是通过 timechart 命令完成的。该命令要求时间在 _time 字段中以纪元形式表示。使用 strptime 函数执行此操作。
当然,这假定数据已经被索引并且字段已经被提取。
index=foo
| eval _time = strptime(TimeStamp, "%m/%d/%Y %H:%M:%S.%3N")
| timechart max(Value) by Tag
我一直在试验 Splunk,试图从 OSISoft PI 时间序列数据库中模拟一些基本功能。
我有两个数据点,我希望显示随时间变化的趋势,以便比较它们之间的波动,特别是电力网络 MW 模拟标签。
在 PI 中这很容易做到,但我很难弄清楚如何在 Splunk 中做到这一点。
如果 Tag 字段中的字段值为“SubstationA_T1_MW”和“SubstationA_T2_MW”,我该如何实现?
涉及的字段有TimeStamp、Tag、Value、Status
编辑:
示例输入和输出如下:
我想您对此timechart最感兴趣
以下内容可能会让您找到您要找的东西:
index=ndx sourcetype=srctp Value=* TimeStamp=* %NStatus=* (Tag=SubstationA_T1_MW OR Tag=SubstationA_T2_MW) earliest=-2h
| eval _time=strptime(TimeStamp,"%m/%d/%Y %H:%M:%S.%N")
| timechart span=15m max(Value) as Value by Tag
timechart 依赖于内部隐藏的 _time 字段(在 Unix 纪元时间) - 所以如果 _time 不匹配 TimeStamp,你需要我添加到 convert 的 eval 语句从 TimeStamp 到 _time 的 Unix 纪元时间(我假设是 mm/dd/yyyy 格式)。
另外,去自由自定进度Splunk Fundamentals 1 class
显示随时间变化的趋势是通过 timechart 命令完成的。该命令要求时间在 _time 字段中以纪元形式表示。使用 strptime 函数执行此操作。
当然,这假定数据已经被索引并且字段已经被提取。
index=foo
| eval _time = strptime(TimeStamp, "%m/%d/%Y %H:%M:%S.%3N")
| timechart max(Value) by Tag