基于字段值的条形图

时间:2016-10-04 04:28:24

标签: splunk

应用程序正在使用以下事件格式生成性能日志文件:

  

datetime sessionid requeststid userid invocationTime类型   invocationContext

例如:

  

2016-07-22T23:12:50.223 000025b98d67ed Jqpmkt1_ZVMpfmwpPeCKQIs   ABCD1234 28 HTTP / mytool / samplecontext

我想为给定的invocationContext绘制条形图。条形图应具有条形高度和调用时间桶作为不同条形的命中数。例如:我想回答以下问题:

  • / mytool / samplecontext在过去4小时内的点击次数使得invocationTime在0-1000毫秒内。
  • / mytool / samplecontext在过去4小时内的点击数为1001-2000毫秒内的invocationTime。

等等。请建议如何实现这一目标。我曾尝试使用时间表,我可以根据特定字段获取图表,但我无法根据字段值将事件分组到不同的存储区中。

1 个答案:

答案 0 :(得分:1)

过去我有两种方法可以做到这一点

  1. Rangemap
    https://docs.splunk.com/Documentation/Splunk/6.5.0/SearchReference/Rangemap

  2. 舍入(我觉得它更好)
    搜索... | eval bin = round(invocationTime / 1000,0)|图表计数由bin invocationContext | makecontinuous bin

相关问题
最新问题