我想先声明一下我是 Splunk 的菜鸟,所以请多多包涵。
我正在尝试制作一个仪表板,显示每个组织/团队的待命情况。它列出了他们的姓名、联系信息、他们随叫随到的开始时间以及他们随叫随到的结束时间。
它应该是什么样子的例子: (选择组织:abc)
| 组织 | 团队 | 用户名 | OnCallStart | OnCallEnd |
|---|---|---|---|---|
| abc | aa-团队 | 鲍勃2 | 2023-05-01T08:00:00-7:00 | 2023-05-02T08:00:00-7:00 |
问题是(除了我目前无法弄清楚如何列出他们各自的团队)它看起来更像这样:(忽略完全相同的日期,只是给出格式的想法)
| 组织 | 团队 | 用户名 | OnCallStart | OnCallEnd |
|---|---|---|---|---|
| abc | 鲍勃2 | 2023-05-01T08:00:00-7:00 | 2023-05-02T08:00:00-7:00 | |
| 123 | 2023-05-01T08:00:00-7:00 | 2023-05-01T08:00:00-7:00 | ||
| 2023-05-01T08:00:00-7:00 | 2023-05-01T08:00:00-7:00 | |||
| 2023-05-01T08:00:00-7:00 | 2023-05-01T08:00:00-7:00 | |||
| 2023-05-01T08:00:00-7:00 | 2023-05-01T08:00:00-7:00 | |||
| 2023-05-01T08:00:00-7:00 | 2023-05-01T08:00:00-7:00 | |||
| 2023-05-01T08:00:00-7:00 | 2023-05-02T08:00:00-7:00 | |||
| 2023-05-01T08:00:00-7:00 | 2023-05-01T08:00:00-7:00 | |||
| 2023-05-01T08:00:00-7:00 | 2023-05-01T08:00:00-7:00 | |||
| 2023-05-01T08:00:00-7:00 | 2023-05-01T08:00:00-7:00 | |||
| 2023-05-01T08:00:00-7:00 | 2023-05-01T08:00:00-7:00 |
我有一个带有提交按钮的多选选项,这样我就可以按组织过滤,但是,例如,如果我按“abc”组织过滤,它会显示 bob2 但同时列出“abc”和“123”组织。
当用户是多个组织的一部分时,如何控制显示的组织? 我怎样才能将列出的 oncallstart 和 oncallend 时间的数量限制在与它匹配的特定组织相关的一行中?
我试着看看我是否可以使用类似 |头 1 但这似乎不是我想要的基于此:https://docs.splunk.com/Documentation/SCS/current/SearchReference/HeadCommandOverview#How_the_head_command_works
我不知道在哪里可以找到 props.conf 来使用像 TRUNCATE 这样的东西,甚至不确定在这种情况下是否应该使用它。 https://community.splunk.com/t5/Getting-Data-In/Size-limit-for-an-event/m-p/16410
我考虑过使用 1 之类的东西来限制源代码,但这只是限制它每页显示一个用户,仍然列出多个组织(尽管对特定组织进行过滤)和多个开始和结束时间。
会是某种查询参数吗? https://docs.splunk.com/Documentation/DashApp/0.9.0/DashApp/dsOpt