Splunk: вычисление хостов TopN, но добавление к этому TopN на основе пары ключ = значение

Question

Есть ли способ получить счетчик Top Hosts и добавить его к каждому счету хостов, используя значение из пары k / v в самом событии?

Пример:

<158>Mar 26 15:01:36 m500 admd SSO: write 35 bytes on fd(11) OK repeatCount=300 source =    tcp:514 sourcetype =    generic_single_line

Таким образом, при подсчете событий для этого хоста это будет 300.

Я новичок в Splunk, поэтому не очень хорошо знаю язык запросов. Я пытался

| metasearch index=* | eval Date=strftime(_time,"%Y-%m-%d") | chart count over host by Date

Но я не знаю, как добавить счет из этого к / в

Answer 1

Я нашел разделительную доску , подобную stackoverflow, и разместил там.Ради полноты я выложу решение здесь:

Дайте этому попытку (я настоятельно рекомендую заменить index=* на какой-то определенный запрос index / sourcetype / source)

index=* | eval Date=strftime(_time,"%Y-%m-%d") | stats count sum(repeatCount) as repeatCount by host Date | eval total=count + repeatCount | chart max(total) over host by date

Answer 2

Не очень понятно, о чем вы спрашиваете, у вас есть лучший пример?

Вы можете попробовать | chart sum(repeatCount) over host by Date

Или | chart values(repeatCount) over host by Date

Наша комбинация одного из тех, и рассчитывать, а затем дополнительный Eval для суммирования тех. Опять же, вопрос не ясен, но, возможно, они укажут вам правильное направление