如何制作具有单独查询中的特定计数的 splunk 饼图?

问题描述 投票:0回答:1

基本上我有 4 个这样的疑问:

index=index source="source" "Exception 1"

index=index source="source" "Exception 2"

index=index source="source" "Exception 3"

index=index source="source" "Exception 4"

它们的格式不完全一样,所以我不能简单地使用正则表达式来提取。但我将每个查询作为单独的查询,并将 

| stats count as Total
附加到每个查询的末尾以获取总数。有没有一种简单的方法可以将所有 4 个内容合并到一个饼图或任何图表中以进行可视化?

我尝试过使用多重搜索和其他工具,但不确定我是否做错了或者它们是否不起作用。我是否只需要优化日志以使其变得更容易?

splunk splunk-dashboard
1个回答
0
投票

只有单个查询可以作为可视化的来源,因此需要将四个查询合并为一个。也不需要单独的 

stats
命令,但它确实必须为正确的饼图生成两个字段。

index=index source="source" ("Exception 1" OR "Exception 2" OR "Exception 3" OR "Exception 4")
| eval Exception=if(searchmatch("Exception 1", 1, 
                 if(searchmatch("Exception 2", 2, 
                 if(searchmatch("Exception 3", 3, 4)))
| stats count as Total by Exception
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.