让我们在Splunk上说,我有一张桌子上的字段是“月份”,“年份”,“'计数'”。我希望月份对应于每年的最大数量。因此,结果表每年只能有一个月。
我已经尝试过使用stats和chart max函数,但我无法弄清楚如何使用它们来获取我想要的内容,或者它是否可以使用{{1}}和{{1}} max函数。甚至可能。
有没有办法用Splunk来实现这个目标?
答案 0 :(得分:0)
我最终使用了streamstats命令。
给定一个包含字段month,year和count的表格,
<some search>
| streamstats max(count) as mc by year
| sort +year, -count
| streamstats first(mc) as mc
| where count = mc
基本上,我在streamstats的每个max中使用month到year,将每个条目的运行最大值存储为新列。然后,我对它进行排序,以便最大的最大计数位于每年组的顶部,这样我就可以选择第一个作为最大条目。
答案 1 :(得分:0)
我也有同样的要求。 我有字段'loadtime','application'和'username'字段的日志数据。 首先,我想计算所有应用程序的加载时间的最大值。然后,创建一个表/图表,其中应包含具有应用程序名称和最大加载时间的每个应用程序的单行。对于每个应用程序计算的最大加载时间,表还应具有用户字段的值。 以下是我用于实现上述内容的splunk查询:
search_string|streamstats max(loadtime) as max_time by application|sort +application -loadTime|streamstats first(max_time) as max_time by application|where loadtime=max_time|table application,max_time,username