Я пытаюсь найти соответствующую документацию Splunk о следующем, но это кажется довольно трудным.Что мне нужно сделать, так это концептуально просто: я хочу узнать количество определенных событий за два дня подряд и вычесть их (просто вычесть числа).Например, мне нужно узнать количество успешных вызовов POST (HTTP 200) на определенный веб-сайт («somewebsite / myaction»), c1, которые произошли 2 дня назад:
search sourcetype = myproject:prod somewebsite post myaction 200
earliest=-2d@d latest=-1d@d | stats count as c1
Также ясделайте то же самое, чтобы выяснить тот же тип событий вчерашнего дня, назовем его c2:
search sourcetype = myproject:prod somewebsite post myaction 200
earliest=-1d@d latest=-0d@d | stats count as c2
Теперь все, что мне нужно сделать, это выяснить c1 - c2 и вызвать событие , если это значение выше определенного порога.Я пытаюсь что-то вроде этого, но это не показывает мне 't':
| set diff [search sourcetype = myproject:prod somewebsite post
myaction 200 earliest=-2d@d latest=-1d@d | stats count as c1] [search
sourcetype = myproject:prod somewebsite post myaction 200
earliest=-1d@d latest=-0d@d | stats count as c2] | eval t=(c1-c2)
Спасибо,
Привет,
Сорин
PS
Я очень близко подхожу к следующему:
sourcetype=myproject:prod somewebsite post checkout 200 earliest=-2d@d latest=-1d@d
| stats count as C1 | appendcols [search sourcetype = myproject:prod somewebsite
post checkout 200 earliest=-1d@d latest=-0d@d | stats count as C2] | eval t=(C1
- C2)
Теперь все, что мне нужно сделать, это выразить в предупреждении, что я хочу, чтобы оно сработало, когда t выше порога(например, t> 100).Как я могу это сделать?