例如,我在日志中打印出"total_time:1.2334"。
我可以使用rex:| rex "total_time:(?<time>.*)" |
我想在时间表上显示每个total_time(以折线图或条形图显示)。但是,当我尝试类似
| timechart values(time)仅显示我的一些数据点(例如,图表中仅显示3列,而有16个事件)。
有人在Y轴上的时间和X轴上的出现次数上如何最好地显示total_time?谢谢。
答案 0 :(得分:0)
values()函数显示“时间”字段的唯一设置,这意味着,如果相同的total_time值出现多次,则您将看到少于16列。尝试使用| timechart count by time。