如何从时间图表中创建Splunk气泡图?

问题描述 投票:0回答:1

我试图根据这个搜索创建一个气泡图,也可以在下面的图片中看到。

source="*wineventlog:security" sourcetype="*wineventlog:security" EventCode=4624 OR 4625 OR 4649 OR 4724 OR 4732 OR 4740| timechart span=1h count(EventCode) by EventCode

我已经尝试了不同的方法来创建类似于下面编辑过的气泡图,但至今没有成功。我希望这里有人能帮助我实现这个目标,如果可能的话?

我可以看到,我可能需要把事件代码放在一个自己的列中,也可能需要把计数也放在一个列中......但如何实现呢?

Splunk search

Bubblechart

splunk splunk-query splunk-calculation splunk-formula
1个回答
0
投票

你有两个问题。

第一, OR 必须仍然使用字段名进行比较(EventCode=4724 OR EventCode=4740...). 或者您可以使用 EventCode IN("val1","val2"...)

其次,你可以简化 count(EventCode)count.

试试这个

source="*wineventlog:security" sourcetype="*wineventlog:security" EventCode IN("4624","4625","4649","4724","4732","4740")
| timechart span=1h count by EventCode
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.