是否可以制作动态Splunk仪表板？

Question

如果有人已经问过这个问题，请原谅我，但是由于我没有找到满意的答案，所以发布此查询。

我是Splunk的初学者。只是想知道我想做的事是否可行。

我正在尝试制作一个具有3个面板的Splunk仪表板。我想将一个面板的结果传递给另一个面板，以便在查询中使用它。 简而言之，我想查找一个事件的计数：首先是从年份开始的一个月（span = 1mon）。然后选择最高计数月，并明智地计算该月的计数日（span = 1d）。从本月开始，我想选择计数最高的日期，然后找到事件计数最高的小时（span = 1h）。 现在，我正在手动完成整个过程。

1. 使用最大事件数查找月-> max_month
2. 查找日期，事件计数从max_month-> max_day
开始
3. 查找活动，最大活动计数从max_day起

是否可以使用仪表板自动选择最大月份，日期和小时来自动执行此过程？

我尝试使用嵌套查询，但没有取得任何重大进展。

Answer 1

如果要将值从一个面板传递到另一个面板，则需要定义一个标记并将第一个面板的搜索结果设置为该标记。然后在第二个面板中使用该令牌。请参阅https://docs.splunk.com/Documentation/Splunk/7.2.0/Viz/ContextualDrilldown。他们有很好的例子。以下是

<dashboard>
  <row>
    <panel>
      <table>
        <title>Event counts by sourcetype</title>
        <search>
          <query>index=_internal | stats count by sourcetype</query>
        </search>
        <drilldown>
          <set token="show_panel">true</set>
          <set token="selected_value">$click.value$</set>
        </drilldown>
      </table>
    </panel>
    <panel depends="$show_panel$">
      <event>
        <title>Recent events for $selected_value$</title>
        <search>
          <query>index=_internal sourcetype=$selected_value$ </query>
          <earliest>$earliest$</earliest>
          <latest>$latest$</latest>
        </search>
        <option name="count">5</option>
      </event>
    </panel>
  </row>
</dashboard>

但是，最好使用查询来解决您的问题。为了提供进一步的帮助，您可以发布您尝试过的嵌套查询吗？