Question

我正在进行以下搜索：

source="new_relic_insights://NRInsightsAPI_rc_ShopFront_Top10Transactions"
| search *
| head 1

这会返回一个事件，在其方面我有一个名字：xyz和results.sum：123

总和对应于名称，我需要在条形图上绘制这些图表。

以下是返回内容的示例：

alt text

原始格式： alt text

这是我到目前为止尝试绘制它的方法，但因为一行中有多个值，所以它不起作用。此外，“总时间”值没有与其相应的结果对齐，例如58245.xxx应该在“WebTransaction / MVC / ProductController / Category”旁边，但它不是，我再次假设这是因为它们全部被转储分成一排。

alt text

最后，我尝试使用重复数据删除/表格来获取我需要的内容，并且每个名称都与results.sum对齐，但是再次尝试将此组的所有值组合为一个，因为它们位于一行中。

alt text

Answer 1

我自己解决了这个问题，然后将结果转换为我的总和的百分比＆＃34;这就是我所需要的！

source="new_relic_insights://NRInsightsAPI_rc_ShopFront_Top10Transactions"
| search *
| head 1
| rename facets{}.name as name, facets{}.results{}.sum as sum
| table name sum
| eval name_sum = mvzip(name, sum)
| mvexpand name_sum
| dedup name_sum
| makemv delim="," name_sum
| eval new_name = mvindex(name_sum, 0)
| eval new_sum = mvindex(name_sum, 1)
| fields new_name, new_sum
| eventstats sum(new_sum) as total
| eval percent=round(new_sum/total*100,2)
| fields - total, new_sum

Answer 2

如果要拆分值以使每个值都有自己的行，则应使用mvexpand

它看起来像这样

... | mvexpand FIELD_NAME

如何绘制返回具有Splunk中具有名称/结果对的多个构面的事件的搜索

2 个答案: