我在Splunk日志消息中使用以下格式:
LogService产品ID = 1 price = 10.00 numberOfClients = 4 profit = 5.00
我需要创建一个查询,它将查找最后一天的所有记录并计算:
总和(价格* numberOfClients)/总和(利润),
如果结果不在[0.2,0.8]之内,将触发警报,其中sum是所有记录消息的值的总和。
我尝试了几种方法,但它没有用。请指教。
答案 0 :(得分:1)
以下搜索将创建计算,并且仅在结果低于0.2或高于0.8
时才返回结果index=...
|stats sum(price * numberOfClients) as A sum(profit) as B
|eval C=A/B
|where C<0.2 OR C>0.8