Question

у меня есть события ниже

event_a имеет time_a и MAS_A поля

event_b имеет time_b и MAS_B поля

event_ c имеет time_c и MAS_C поля

sourcetype="app" eventtype in (event_a,event_b,event_c) 
| stats avg(time_a) as "Avg Response Time" BY MAS_A 
| eval Avg Response Time=round('Avg Response Time',2)

Вывод, который я получаю из поиска выше, это два поля MAS_A и Avg Response Time

Я пытаюсь получить это для event_b и event_c, а также в том же SPL поиска и ожидаем окончательный вывод только с двумя полями MAS_A_B_C и Avg Response Time

Simon Duff · Answer 1 · 17 марта 2020

Это то, что вы после? Некоторые примеры событий могут помочь с вашим запросом.

sourcetype="app" eventtype in (event_a,event_b,event_c) 
| eval time_value=coalesce(time_a, time_b, time_c)
| eval MAS_value =coalesce(MAS_A,MAS_B,MAS_C)
| stats avg(time_value) as "Avg Response Time" BY MAS_value 
| eval Avg Response Time=round('Avg Response Time',2)

Splunk: статистика по нескольким событиям и ожидание одного комбинированного вывода

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Splunk: статистика по нескольким событиям и ожидание одного комбинированного вывода

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы