Я пишу дополнительный запрос, чтобы выяснить главные исключения, которые влияют на клиента. Таким образом, у меня есть 2 запроса, один из них - клиентские журналы, а другой сервер - журналы запросов. Объединенные оба они используют общее поле, это производственные журналы, поэтому я меняю их названия. Я пытаюсь найти топ 5 сбоев, которые влияют на клиента. ниже мой запрос.
index=pirs sourcetype=client-* env=* (type=Error error_level=fatal) error_level=fatal serviceName=FailedServiceEndpoint | table _time,serviceName,xab,endpoint,statusCode | join left=L right=R where L.xab = R.xab [search index=zirs sourcetype=server-* | rex mode=sed field=span_name "s#\..*$##" | search span_success = false spanName=FailedServiceEndpoint | table _time,spanName,xab] | chart count over L.serviceName
Я явно упомянул здесь имя службы. В последнем запросе не будет имени службы, потому что нам нужны топ-5 сбоев, которые влияют на клиента.
Этот запрос предоставляет мне имя службы и счетчик, мне также нужны другие столбцы, такие как имя конечной точки, httpStatusCode. Я не уверен, как это сделать, а также, если требуется какой-либо рефакторинг для дополнительного запроса?