SourceType = A |表EventTime NumOutagesSourceType = B |表EventTime NumOutages
表EventTime NumOutages_A NumOutages_B
X轴将是小时时间,Y轴将是NumOutages,每种源类型为一行
我尝试了加入和其他一些示例,但是由于某些原因,它对我不起作用。
您的样本SPL无效。由于两个源类型具有相同的字段,因此不需要join。随时将avg更改为最能显示数据的功能(最大,最小等)。
sourcetype=A OR sourcetype=B | timechart span=1h avg(NumOutages) by sourcetype