Как сделать график значений рекса в Splunk, где отображаются все точки данных

Question

В своих журналах я печатаю "total_time:1.2334" (например). Я могу получить значения времени с помощью Splunk с помощью rex: | rex "total_time:(?<time>.*)" |

Я хочу отображать каждое итоговое время на графике времени (в виде линии или гистограммы). Тем не менее, когда я пытаюсь что-то вроде | timechart values(time) он показывает только несколько моих точек данных (например, на диаграмме показаны только 3 столбца, в то время как имеется 16 событий).

Кто-нибудь знает, как лучше всего отобразить total_time со временем по оси Y и вхождениями по оси X? Благодарю.

Answer 1

Функция values() отображает уникальные настройки поля 'time', что означает, что вы увидите менее 16 столбцов, если одно и то же значение total_time появится более одного раза. Попробуйте использовать | timechart count by time.