splunk - 根据时间表表中的行值按降序对 splunk 时间表表进行排序
问题描述
这是我的 splunk 查询
index=xxxxx "searchTerm")|rex "someterm(?<errortype>)" | timechart count by
errortype span ="1w" | addcoltotals labelfield=total | fillnullvalue=TOTAL|fileds - abc,def,total
我将一周内的错误总数添加到名为 TOTAL 的另一列中,如下表所示。这里 A...B... 是按字母顺序排列的错误名称,值是发生在该列上的错误总数该错误类型的日期
_time A.... A.... C.... D.... E....
2021-08-25 11 22 05 23 89
2021-08-26 15 45 45 13 39
2021-08-27 34 05 55 33 85
2021-08-28 56 08 65 53 09
2021-08-29 01 06 95 36 01
TOTAL 117 86 265 158 223
我希望这些按 TOTAL 行中的值按降序排列,例如
265 223 158 117 86
但我总是按错误类型的字母顺序得到这个,比如
A... A... B...
如何改进此查询以获得我想要的排序结果?
解决方案
为此,请转置结果,使 TOTAL 字段是一列而不是行。然后对 TOTAL 进行排序并将结果转回。这是一个随处运行的示例:
index=_internal
| timechart span="5m" count by component
| addcoltotals labelfield=_time label="TOTAL"
| transpose header_field="_time" 0
| sort - TOTAL
| transpose header_field="column" 0
| rename column as _time
推荐阅读
- spring-boot - 当监视调用 save 方法的 JPARepository 时返回 null
- php - 会话带有信息,但不刷新页面就不会显示
- javascript - 如何访问 carousel bootstrap4 活动幻灯片以初始化事件
- javascript - 在Angular 5 HTML中将变量添加到对象路径中
- r - R - 使用来自 R 对象的输入创建有效的 json
- phpstorm - 如何修复这个警告 'var' 在 phpStrom 中使用而不是 'let' 或 'const' JsLint?
- vb.net - 使用来自后台线程的文本文件数据填充和显示 winform
- c# - 在 Azure Functions 中编写 REST API 有什么意义?
- spring-boot - ElasticSearch 自定义分析器具有用于电子邮件的标记器“uax_url_email”
- javascript - 如何在googleapi中进行身份验证?