我的用例是按天提供特定错误的计数(按特定模式搜索),并提供此类“错误”请求占请求总数(不包含错误模式的搜索总数)的百分比每天处理。无法为其形成适当的查询。基本查询是-
获取每天的总数:
index=my_index | bucket _time span=day | stats count by _time
每天获取错误信息:
index=my_index "Error-Search-Pattern" | bucket _time span=day | stats count by _time
如何合并两个计数并排显示并显示错误:总百分比?
谢谢。
答案 0 :(得分:0)
尝试一下
index=my_index
| eval error=if(match(_raw,".*Error-Search-Pattern.*"), 1, 0)
| bucket _time span=1d
| stats count as total, count(eval(error==1)) as errored by _time