在Splunk中创建一个饼图,其中包含具有特定邮件大小的记录百分比

时间:2014-11-04 01:10:42

标签: logging charts functional-programming splunk

我希望创建一个饼图,其中显示在一个消息字节范围内收到的消息百分比。

鉴于splunk中的每条记录都有message_bytes属性,这是以字节为单位的消息大小,我希望找到跨越兆字节的消息百分比。

即如果我有100条消息:

  • 其中20个介于0 - 1024 * 1024 * 1024(0-1 MB)
    • 之间
  • 其中30个在2-3MB
    • 之间
  • 其中50个在6-7MB之间

我想输出一个饼图,相应地显示20%,30%和50%。

我的搜索目前是:

group="SOURCE" | eval size=message_bytes | bucket message_bytes span={some_span_size} | stats count(size) by message_bytes

但我的结果看起来无效

1 个答案:

答案 0 :(得分:0)

试试这个

group="SOURCE" 
| eval MB = messages_bytes/(1024*1024)
| eval size_bucket = case(MB<=1,"small",
                          MB>=2 and MB<=3,"medium",
                          MB>=6 and MB<=7,"large"
                          1==1,"Other")
| stats count by MB

但我怀疑这不是你想要的。试试这个

group="SOURCE" 
| eval MB = round(messages_bytes/(1024*1024),2)
| eval pie_group = ceiling(MB/2)
| stats count min(MB) as minMB max(MB) as maxMB by pie_group
| eval pie_group=tostring(minMB) + " to " + tostring(maxMB)
| table pie_group count

您可以根据需要更改pie_group计算。

相关问题
最新问题