基本上我需要制作一个柱形图,其中包含沿x轴的不同端点(服务,如登录等),每个端点都有一个堆叠有两种颜色的唯一列,红色表示服务错误事件,绿色表示服务事件
我可以使用这样的搜索字符串获取内容: 我的搜索EVENT =" [服务]"或者事件=" [SERVICE_ERROR]" |图表由EVENT,ENDPOINT计算 虽然它在x轴上的事件(但显示我需要的服务和服务错误),端点在图表中堆叠的颜色不同。 然而,逆转这种情况会导致仅出现服务事件,这超出了我的推理,因为服务错误出现在第一次搜索中。 以上就是我试过的东西。我也尝试过: 我的搜索|字段ENDPOINT" [SERVICE]" " [SERVICE_ERROR]" 根据堆积图表上的splunk文档: https://docs.splunk.com/Documentation/Splunk/7.1.1/Viz/ColumnBarCharts (最后一个例子在页面底部)。 我想确保我的解释彻底,但简而言之...... 我的目标是让所有端点显示在x轴上,并将不同服务事件和服务错误事件的计数作为实际图形数据,因为一列将两个事件分成两种颜色。 感谢您的任何帮助!!
答案 0 :(得分:0)
我找到了答案,并希望与他人分享,以防其他人觉得有帮助:
首先,我使用字段提取器为错误创建了一个唯一字段。 “ [SERVICE_ERROR]”想链接到所有与此类似的事件,因此我不得不使用“ error_message”提取错误。
接下来,我将其添加到搜索字符串中: ....... | stats count(eval(match(EVENT,“ [SERVICE]”))))AS服务计数(错误)AS错误(按最终服务) 这将计算一个表,该表查找事件“ [SERVICE]”和字段“ error”的计数,并使用“ AS / as”将其重命名。 “ endservice”字段是我用来获取更准确的端点的字段提取。
最后,我转到图表的格式选项(在放大镜附近和右上角的三个点,它看起来像画笔),然后单击它。之后,我选择了“堆叠的列”(中间的列)。
瞧!我有两种不同数据类型的堆叠图!我希望有一天能对其他人有所帮助。