0

我正在尝试对所有主机进行搜索,但我很难找出正确的方法。我正在寻找的简化版本是:

index=os sourcetype=df host=system323 mount=/var | streamstats range(storage_used) as storage_growth window=2

但最终我希望它搜索所有主机上的所有挂载点,然后将其发送到图表或报告。

我尝试了几种不同的方法,但都没有给我预期的结果。我觉得我在子搜索方面走在了正确的道路上,因为它感觉就像一个 for 循环,但它没有产生预期的结果

index=os sourcetype=df [search index=os sourcetype=df [search index=os sourcetype=df earliest=-1d@d latest=now() | stats values(host) AS host] earliest=-1d@d latest=now() | stats values(mount) AS mount] | streamstats range(storage_used) as storage_growth window=2

我如何在第一次搜索时构建一个包含所有主机和挂载点的报告?

4

1 回答 1

0

比子搜索简单得多。只需在您的流统计中使用 by 子句:

index=os sourcetype=df 
| eval mountpoint=host+":"+mount 
| streamstats range(storage_used) as storage_growth by mountpoint window=2 
| table _time,mountpoint,storage_growth
于 2015-03-24T21:06:57.970 回答