我有以下两个问题:
host="abc*" sourcetype="xyz" Request="some.jsp"
| stats count as "TotalCount" by Request
这给出了请求总数
和
host="abc*" sourcetype="xyz" Request="some.jsp"
| where TimeTaken < 6000
| stats count as "ReqLT6Sec" by Request
这给出了响应时间少于6秒的请求数。
我的要求是通过运行单个查询来获得这两个结果。我尝试将查询附加如下:
host="abc*" sourcetype="xyz" Request="some.jsp"
| stats count as "TotalCount" by Request
| append
[search host="abc*" sourcetype="xyz" Request="some.jsp"
| where TimeTaken < 6000
| stats count as "ReqLT6Sec" by Request]
这对于上面的简单请求就像单个jsp一样,但是如果我使用通配符进行请求并且数据很大,则“ReqLT6Sec”的计数与通过运行单个查询运行获得的结果不匹配。感谢任何帮助,以更简单的方式。
感谢。
答案 0 :(得分:1)
您可以合并这两个搜索。
host="abc*" sourcetype="xyz" Request="some.jsp"
| stats count as "TotalCount" count(eval(TimeTaken < 6000)) as ReqLT6Sec by Request