我正在尝试向我的仪表板添加一个下拉列表,该下拉列表将允许用户选择要计数的字段。 以下是我的询问:
index='splunk_demo' source='demo.zip'
| fields Name, Model.New, Model.Old, Price|table Name, Model.New, Model.Old, Price
| chart count(Name) by Model.New
我想将
Model.NewModel.OldModel.NewModel.Old我希望现有查询末尾的
chart count查询1:
index='splunk_demo' source='demo.zip'
| fields Name, Model.New, Model.Old, Price
|table Name, Model.New, Model.Old, Price
| chart count(Name) by Model.New
查询2:
index='splunk_demo' source='demo.zip'
| fields Name, Model.New, Model.Old, Price
|table Name, Model.New, Model.Old, Price
| chart count(Name) by Model.Old
我不确定应该使用什么令牌,一旦获得令牌,我需要如何以及在何处使用它才能使我的
count我尝试添加下拉菜单并单击“编辑”选项进入并添加标签,但我不知道如何将令牌添加到我的查询中以及在哪里使用它
最简单的方法是在下拉列表中创建一个列表,其中条目值是字段名称(即
Model.OldModel.New调用该代币的名称,例如,
modelchoice然后在仪表板上进行一次搜索,如下所示:
index='splunk_demo' source='demo.zip'
| fields Name, Model.New, Model.Old, Price
| chart count(Name) by $modelchoice$
Splunk 在遇到令牌时会直接进行替换,无论该令牌的值是什么。
因此,如果令牌的值是字段名称,它将替换为