SPLUNK多值图表

Question

我有2个值restSevice是调用哪个端点，而status是从那个端点返回的代码。我想做一个时间表，以便x是时间，y是状态值与restService相结合的计数。也就是说，如果我叫我的restService receiving和/或location，那么每个返回的status都会有一行，因此receiving 200会有一行， receiving 404，location 200和location 404。

Answer 1

您可以合并restService和status字段的值并将其分配给新字段：

| your_search
| eval service_status = restService + " " + status
| timechart count by service_status