splunk - Splunk:来自多个事件的统计数据并期望一个组合输出
问题描述
我有以下事件
event_a 有time_a和MAS_A字段
event_b 有time_b和MAS_B字段
event_c 有time_c和MAS_C字段
sourcetype="app" eventtype in (event_a,event_b,event_c)
| stats avg(time_a) as "Avg Response Time" BY MAS_A
| eval Avg Response Time=round('Avg Response Time',2)
我从上面的搜索得到的输出是两个字段MAS_A和Avg Response Time
我正在尝试在相同的搜索 SPL 中获取此信息,并期望最终输出仅包含两个
event_b字段和event_cMAS_A_B_CAvg Response Time
解决方案
这就是你所追求的吗?一些示例事件可能对您的查询有所帮助。
sourcetype="app" eventtype in (event_a,event_b,event_c)
| eval time_value=coalesce(time_a, time_b, time_c)
| eval MAS_value =coalesce(MAS_A,MAS_B,MAS_C)
| stats avg(time_value) as "Avg Response Time" BY MAS_value
| eval Avg Response Time=round('Avg Response Time',2)
推荐阅读
- python - Tkinter:框架不会扩展以使用 grid() 填充根小部件内的剩余空间
- java - 如何使用 Spring WebClient 作为文件下载 passthru
- html - Bootstrap Carousel 一次显示所有图像(HTML)
- django - drf-spectacular 使用错误的 AutoSchema 生成 Swagger
- javascript - 升级到 Firebase JS 8.0.0:尝试导入错误:“app”未从“firebase/app”导出(导入为“firebase”)
- excel - 如何防止“@”被添加到我想要的 .Formula 值中?
- ftp - PhpStorm 远程 FTP “未找到文件”
- java - Hibernate Error - 子句引用了两个不同的 from-clause 元素
- python - 如何让 Flask 网页(路由)在另一个网页(路由)上在后台运行
- gpu - tensorflow.js 在浏览器窗口不可见时暂停工作