我有一个简单的图表,该图表按每分钟的请求数显示了底部5个服务器。我希望添加一条计算出的阈值覆盖线,该线是所有服务器上的平均请求数减去一个标准差。我一直在搜索数小时,但找不到任何东西。
当前搜索查询:
sourcetype = x source = y host =“ server *” ENTERING |时间图useother = f span = 1m由主机计算,WHERE计数在bottom5
我本质上想要类似以下的内容(当然不起作用):
sourcetype = x source = y host =“ server *” ENTERING |时间图useother = f span = 1m按主机计数WHERE计数在bottom5 |评估 阈值=(avg(countByHost)-stdev(countByHost))
答案 0 :(得分:0)
尝试一下
sourcetype = x source = y host =“ server *” ENTERING | timechart useother = f span = 1m作为avgByHost的avg(count),作为stdevByHost的stdev(count),按主机计数,在bottom5中计数| eval阈值= avgByHost-stdevByHost |字段-阈值,计数