我有一个基本的 Splunk 查询,如下所示。我能够为相似事件和非相似事件字段的计数创建时间表。但是,现在我正在尝试为相似事件和非相似事件字段的百分比而不是计数创建时间表。
如何为similar_events和non_similar_events字段创建百分比时间表?如何编写 Splunk 查询?
我的基本查询:
index='xyz' sourcetype='abc' status='completed'
| timechart span=1hr count(eval(_raw like "similar")) as similar_events
count(eval(_raw like "non_similar")) as non_similar_events
| eval total_events = 'similar_events' + 'non_similar_events'
| eval similar_events_perc = ((similar_events/total_events)*100)."%"
我们必须添加计数变量才能得到总计,这样就很容易计算了。
在此处查找查询 -
index=windows source=service State="Running" | timechart span=1m count(eval(match(DisplayName,"Splunk"))) as similar_events count(eval(match(DisplayName,"SQL"))) as non_similar_events count as Total | eval similiar_events=((similar_events/Total)*100)."%"休息你可以做任何你喜欢的操作。
希望这有帮助。