带有簇的聚集条形图"标准化"所以异常值很明显

时间:2016-07-07 19:27:50

标签: data-visualization splunk

假设我有一个聚类条形图,我想在每个聚类中找到异常值......这更容易用一个例子来解释,所以这里是:

enter image description here

这里我们有错误代码的计数(X轴:代码,Y轴:计数),而集群就是记录了这些错误的单个机器。您可以看到1001在所有这些计算机上都记录了一堆,897没有那么多。对于每个错误代码集群,我想找到特定机器的异常值(高)与其他机器的异常值。

这是我用眼睛很容易识别的模式......但是记录了这么多错误1001 s的事实,与所有其他错误代码相对应,用线性Y轴绘制,意味着差异897176中的内容很小。

所以:有没有办法实现"规范化"每个群集,以便对于计数较小的群集,他们的计数被膨胀/扩展以占据更多的Y轴?

1 个答案:

答案 0 :(得分:0)

您可以尝试首先在所有主机上建立平均错误计数,然后绘制差异

search ...
| stats count by host error
| eventstats avg(count) as error_avg by error
| eval diff = (count-error_avg)/error_avg*100
| chart max(diff) as diff by host error

从那里你可以过滤diff在某个百分比之外的地方

相关问题
最新问题