1

我在 Splunk 日志消息中具有以下格式:

LogService 产品id=1 价格=10.00 numberOfClients=4 利润=5.00

我需要创建一个查询来查找最后一天的所有记录并计算:

总和(价格 * 客户数量)/总和(利润),

如果结果不在 [0.2, 0.8] 范围内,则会触发警报,其中 sum 是所有记录消息的值的总和。

我尝试了几种方法,但没有奏效。请指教。

4

1 回答 1

2

以下搜索将创建计算并仅在结果低于 0.2 或高于 0.8 时返回结果

index=... 
|stats sum(price * numberOfClients) as A sum(profit) as B
|eval C=A/B
|where C<0.2 OR C>0.8
于 2017-01-21T09:32:55.970 回答