我有一个时间表,目前使用以下查询输出字段“SERVICE_TIME_TAKEN”在一段时间内每5分钟的平均值。
service=service1 | timechart span=5m avg(SERVICE_TIME_TAKEN) | fillnull
我想在同一时间图表上添加第二行,显示整体平均值。这将是一个单独的值,它在图表上绘制一条直线。
如果我进行单独的查询,我可以使用以下查询获得此单个值。
service=service1 | chart avg(SERVICE_TIME_TAKEN)
如何组合这两个查询以在单个时间图表上显示数据?
尝试以下操作但仅显示平均5分钟的线。
service=service1 | timechart span=5m avg(SERVICE_TIME_TAKEN) as service_time | eventstats avg(SERVICE_TIME_TAKEN) as overall_service_time | fillnull
此图像描绘了我在寻找的东西。 橙色线是平均5分钟,蓝线是整体平均值。
答案 0 :(得分:2)
您可以先使用eventstats来获取overall_service_time。这会将此字段添加到每个事件中。接下来使用时间表根据您想要的任何跨度以及overall_service_time获取平均值。
service=service1
| fillnull value=0
| eventstats avg(SERVICE_TIME_TAKEN) as overall_service_time
| timechart span=5m avg(SERVICE_TIME_TAKEN) as service_time, last(overall_service_time) as overall_service_time