eine Tabelle in splunk Erstellen mit Trends

Question

Ich mag würde eine Tabelle wie die folgenden Spalten erstellen:

Server - Ereigniszähler - Ereigniszähler letzte Periode

was damit ich meine?

Ich muss durch die Ereignisse zählen, und das ist trivial.

base query | stats count as events by source 

Jetzt habe ich einen Selektor, mit dem ich die Periode (die klassische Splunk Zeit Selektor) wählen kann.

ich brauche, was ist die folgende: wenn der Selektor „letzte Woche“ i die Ereignisse der letzten Woche in der ersten Spalte zählen muß und in der zweiten Spalte der Ereignisse der Woche vor, dass

wenn der Selektor „liest mount“ i in der ersten Spalte zählen muß die Ereignisse der letzten Fassung und in der zweiten Spalte der Ereignisse der Halterung vor diesen

etc ...

Id gerne tun das ohne mit HTML, XML oder irgendeiner anderen Sprache zu verwirren. Ich möchte, wenn möglich, eine einfache Splunk-Suche.

Vielen Dank.

Andrea

Answer 1

Dies ist eine Teillösung, weil beinhaltet Variablen Ändern der Zeitspanne zu ändern.

BASE SEARCH earliest=-14d latest=now 
| eval when=if(_time>relative_time(now(), "-7d@d"), "Current_Week", "Prev_Week") 
| stats count as events by source when 
| chart sum(events) by source, when 
| eval perc = (Current_Week-Prev_Week)/Prev_Week 
| eval trend = case(perc < -0.3, "low", (perc >= -0.3 and perc <= 0.3), "madium", perc > 0.3, "high") 
| table source, Current_Week, Prev_Week, perc, trend