如何圖表與在Splunk的

名稱/結果對多面返回事件搜索

source="new_relic_insights://NRInsightsAPI_rc_ShopFront_Top10Transactions" 
| search * 
| head 1

這將返回一個單一的事件，它的面內我有一個名：XYZ和results.sum：123

的總和對應於名稱，我需要圖表這些條形圖上。

這裏是什麼是返回一個例子：

alt text

Raw格式： alt text

這是我迄今所做的嘗試圖表，但因爲有多個值在一行中，它不起作用。此外，該「總時間」值不隨其相應的結果一字排開，例如58245.xxx應該是旁邊的「WebTransaction/MVC/ProductController的/分類」，但它不是，我再次想這是因爲他們都被傾倒成一排。

alt text

最後，我試着去重複/表來得到我需要的東西和results.sum線向上與每個名字，但是又試圖繪製這組名字的所有值之一，因爲他們是在一排。

alt text

來源

2017-08-10 Thomas Hughes

我解決了它自己，然後轉換我的成績總我這是我所需要的「總和」的百分比！

source="new_relic_insights://NRInsightsAPI_rc_ShopFront_Top10Transactions" 
| search * 
| head 1 
| rename facets{}.name as name, facets{}.results{}.sum as sum 
| table name sum 
| eval name_sum = mvzip(name, sum) 
| mvexpand name_sum 
| dedup name_sum 
| makemv delim="," name_sum 
| eval new_name = mvindex(name_sum, 0) 
| eval new_sum = mvindex(name_sum, 1) 
| fields new_name, new_sum 
| eventstats sum(new_sum) as total 
| eval percent=round(new_sum/total*100,2) 
| fields - total, new_sum

來源

2017-08-10 18:27:52

幹得好！除了第2行，你有'搜索*'..這是多餘的，讓您的搜尋「更貴」乾淨的搜索。你也應該考慮在第5行取出table命令，並用'統計值（名稱）AS名字值（總數）AS sum'更換 – skoelpin

如果你想使他們每個人都有自己的行分裂的價值觀，你應該使用mvexpand

它會是這個樣子

... | mvexpand FIELD_NAME

來源

2017-08-11 01:31:42 skoelpin

如何圖表與在Splunk的

回答

相關問題