Splunk добавление двух значений для временной диаграммы

Question

У меня есть поиск SPLUNK, и я хочу добавить предыдущие значения для третьего графика.

<br/>
&lt;dashboard&gt;<br/>
  &lt;label&gt;Sum&lt;/label&gt;<br/>
  &lt;fieldset submitButton="false" autoRun="true"&gt;<br/>
    &lt;input type="time" token="time"&gt;<br/>
      &lt;label&gt;Time&lt;/label&gt;<br/>
      &lt;default&gt;<br/>
        &lt;earliest&gt;-1d@d&lt;/earliest&gt;<br/>
        &lt;latest&gt;-0d@d&lt;/latest&gt;<br/>
      &lt;/default&gt;<br/>
    &lt;/input&gt;<br/>
  &lt;/fieldset&gt;<br/>
  &lt;row&gt;<br/>
    &lt;panel&gt;<br/>
      &lt;title&gt;shipping&lt;/title&gt;<br/>
      &lt;chart&gt;<br/>
        &lt;search&gt;<br/>
          &lt;query&gt;<br/>
                        (source="/var/fedex/foo/logs/foo.log" )<br/>
                         (FOO ) AND 0000 <br/>
                         | timechart  span=1h count as "Value1"<br/>
                         | append  [ <br/>
                         search  <br/>source="/var/fedex/bar/logs/bar.log"
                          (BAR ) AND 0000  <br/>
                         | timechart  span=1h count as "Value2"<br/>
                         ]<br/>
                         | append  [ <br/>
                          timechart  span=1h  eval("Value1" + "Value2") as "Value3"<br/>
                                   ]<br/>
             &lt;/query&gt;<br/>
          &lt;earliest&gt;$time.earliest$&lt;/earliest&gt;<br/>
          &lt;latest&gt;$time.latest$&lt;/latest&gt;<br/>
        &lt;/search&gt;<br/>
        &lt;option name="charting.axisY.scale"&gt;log&lt;/option&gt;<br/>
        &lt;option name="charting.axisY2.abbreviation"&gt;auto&lt;/option&gt;<br/>
        &lt;option name="charting.chart"&gt;line&lt;/option&gt;<br/>
        &lt;option name="charting.axisY.minimumNumber"&gt;1000&lt;/option&gt;<br/>
        &lt;option name="charting.axisY.maximumNumber"&gt;10000000&lt;/option&gt;<br/>
      &lt;/chart&gt;<br/>
    &lt;/panel&gt;<br/>
  &lt;/row&gt;<br/>
<br/>
gives me an error <br/>
 "Error in 'timechart' command: The eval expression has no fields: 'Value1 + Value2'."
<br/>
<br/>
<br/>
I see to be running around in circles on this issue.  I am now getting suggestions to go back to my first approach.<br/>

                         | append  [ eval("Value1" + "Value2") as "Value3" <br/>
                          timechart  span=1h  "Value3"<br/>
                                   ]<br/>

see https://answers.splunk.com/answers/168646/timechart-wtih-eval-cant-recognize-fields.html<br/>

, который дал мне Ошибка в команде 'eval': функция 'eval' не поддерживается или не определена.

Answer 1

Попробуйте этот подход, а не append. Объедините все данные в одном поиске, затем используйте что-то вроде eventstats для суммирования (при сохранении существующих событий).

(source="/var/fedex/foo/logs/foo.log" (FOO) AND 0000) OR (source="/var/fedex/bar/logs/bar.log" (BAR ) AND 0000) | bucket _time span=1h | stats count by source, _time | | bucket _time span=1h | stats count by source, _time | eventstats sum(count) as Total by source