Ich habe zwei separate splunk Anfragen: 1. Frage: Gibt eindeutige Zählung Benutzer in den letzten 24 Stunden 2. Frage: Gibt Unique User zählen in den letzten 24 Stunden in geo = USzeigen die Ergebnisse von zwei splunk Abfragen in einer
Ich möchte ein Zeitdiagramm erstellen, das zeigt, ein Liniendiagramm mit% der Benutzer jeden Tag aus den USA.
Wie kann dies erreicht werden.
können Sie die beiden Join-Abfragen unter Verwendung:
|
So Ihre Abfrage wie folgt aussehen:
{firstQuery} as countUS| {secondQuery} as countTotal | eval perc=countUS/countTotal
Sie eine bedingte verwenden können
diejenigen von US zählenBeispielabfrage:
index=data | timechart dc(user) as dc_user, dc(eval(if(geo=US,user,NULL))) as us_user | eval perc_us=round(us_user/dc_user*100,2) | table _time, perc_us
Alternativ können Sie den SPL-Join-Befehl verwenden, aber das wäre weniger effizient, da es die Daten zweimal lesen und die Ergebnisse verbinden müsste.
Können Sie Ihre Daten anonymisieren und die Abfrage hier anzeigen? Es gibt viele Möglichkeiten, dies in Splunk zu tun, aber wir werden ein bisschen mehr brauchen, um weiterzumachen.
zum Beispiel
Query: index=myindex sourcetype=mySourcetype | stats count dc(ip) as userTotal | append [ index=myindex sourcetype=mySourcetype region=US | stats dc(ip) as USTotal]