Как накапливать счетчики из разных поисков в одной (круговой) диаграмме?

Question

У меня есть 5 различных поисков, которые я делаю в Splunk, где я получаю подсчет количества результатов этого поискового запроса.

Я просматривал эту ветку здесь:

https://answers.splunk.com/answers/757081/pie-chart-with-count-from-different-search-criteri.html

, но это не совсем у меня работает, я не уверен на 100%, если это то, что я хочу.

Все мои поисковые запросы выглядят примерно так:

index = A variable = "foo" message = "Created *" |количество статистики

index = A variable = "foo" message = "Deleted *" |stats count

В идеале я хочу назначить каждому запросу ключевое слово - например, созданный, удаленный и т. д., а затем сделать круговую диаграмму на основе количества.

Answer 1

Следующего должно быть достаточно.

index=A variable="foo" message="Created*" OR message="Deleted*" OR message="<repeat this for any other message types you want>" | stats count by message

Если вы можете предоставить еще несколько примеров событий, которые вы пытаетесь наметить, могут быть альтернативные подходы, которые могут работать для вас.

Эта версия извлекает ключевую часть сообщения (Создано, Удалено и т. Д.) В поле с именем mtype, и вы можете выполнить stats для этого поля.

index=A variable="foo" message="Created*" OR message="Deleted*" OR message="<repeat this for any other message types you want>" | rex field=message "(?<mtype>Created|Deleteted|...)" | stats count by mtype