トレンド

Question

とのSplunkでテーブルを作成する私は、次の列のような表を作成したいと思います：

サーバー - イベントカウント - 私はそのことで、イベントカウントの最後の期間

何を意味するのですか？

私はイベントを数えなければなりません。これは簡単です。

base query | stats count as events by source 

私はピリオド（古典的なsplunk時間セレクタ）を選択できるセレクタを持っています。私は必要なもの

は以下の通りである。 セレクタは、私はその

前の週のイベントを最初の列の最後の週のイベントをカウントし、2番目の列にする必要があり、「先週」であればセレクタは、私はその

などの前にマウントのイベント最初の列の最後のマウントのイベントをカウントし、2番目の列にする必要があり、「最後のマウント」されている場合...

Idがやりたいですそれはhtml、xmlまたは他の言語で邪魔することなく。私は、可能であれば、平らなスプランク検索をしたいと思います。

ありがとうございます。

アンドレア

Answer 1

期間を変更するには、変数を変更する必要ので、これは部分的な解決策です。

BASE SEARCH earliest=-14d latest=now 
| eval when=if(_time>relative_time(now(), "-7d@d"), "Current_Week", "Prev_Week") 
| stats count as events by source when 
| chart sum(events) by source, when 
| eval perc = (Current_Week-Prev_Week)/Prev_Week 
| eval trend = case(perc < -0.3, "low", (perc >= -0.3 and perc <= 0.3), "madium", perc > 0.3, "high") 
| table source, Current_Week, Prev_Week, perc, trend