所以我有3次搜索。
我对3行日志感兴趣(每行是一个文档,msg是一个字段)
S1 : msg = Sending to ELK
S2 : msg = ELK failure - rejected
S3 : msg = ELK failure due to us
搜索1是尝试,搜索2和3是失败,我需要图表显示:
Y轴上的 (CountS1-(CountS2+CountS3))/(CountS1/100)和X轴上的日志日期
我知道如何在X轴上使用日志的日期,但对于Y轴,我只能执行1次搜索的计数,平均值,总和等事项。
有什么想法吗?
感谢。
答案 0 :(得分:0)
是的,最好的解决方案是转到脚本字段并创建所需的字段。
你可以这样做,例如:
(doc ['CountS1']。value - (doc ['CountS2']。value + doc ['CountS3] .value))/(doc ['CountS1']。value / 100)
有了这个你有一个新的字段,你只能参考你给新字段的名称。例如,您将此字段命名为Example1,然后在您的可视化选项中将显示新字段。