我有2个源文件“ Ko *”和“ Res *”,Res *包含ORDID PLNUM MODEL。 (PLNUM包含Praefix + ORDID),而源类型Ko *包含字段PLNUM MATNR。 我想在第一步中为我的Splunk仪表板的选定ORDID选择那些与ModelID相同的每个Order都包含(100%)的物料。然后,获取所选ORDID的百分比,该所选订单中包含该模型的每个其他订单中的材料数量。
或者甚至更好地获得具有此百分比的许多订单的列表。
我只能这样解决:
index=* sourcetype="Ko*" $ordid$
[search index=* sourcetype="Ko*" [search index=* sourcetype="RES*" [search index=* sourcetype="RES*" $ordid$ |dedup MODEL |fields MODEL|format] | dedup ORDID| table ORDID |format]
|stats dc(ORDID) as anz by MATNR
|eval anzahlorders=[search index=* sourcetype="RES*" [search index=* sourcetype="RES*" $ordid$ |dedup MODEL |fields MODEL|format]| dedup ORDID| stats dc(ORDID) as amount| return $amount]
|eval percentage= (anz*100)/anzahlorders
|sort -percentage
|where percentage = 100
|head 100
|fields MATNR
|format]
|dedup MATNR
|stats count(MATNR) as prozentgleich by ORDID
|table prozentgleich
但是在这里,我只是将100个材料返回到“顶级搜索”,并且搜索得到的百分比是因为最大值为100。但这不是最佳选择。 更好的是,如果我可以将具有100%的百分比的材料返回到顶部搜索,而不是从中获取百分比。因为它可能比100多得多,甚至更少。
我想从此搜索中触发警报,也许你们可以告诉我该怎么做,我可以将搜索另存为通知(“如果百分比<100。”)。
如果您对此搜索有一些改进,谢谢。