0

我有一个事件列表,内容如下

event1: _time=123 Tag="X" Value="12.2"
event2: _time=123 Tag="Y" Value="55.2"
event3: _time=123 Tag="Z" Value="3.2"
event4: _time=234 Tag="X" Value="12.4"
event5: _time=234 Tag="Y" Value="55.0"
event6: _time=234 Tag="Z" Value="2.8"

这些值是坐标(X,Y,Z),我想在 3d 散点图中可视化。不幸的是,我在一个事件中拥有每个坐标。

我如何合并这些事件以在之后创建一个表

(wanted command) | table _time X Y Z

???

4

1 回答 1

1 
| eval {Tag}=Value
| stats values(X) AS X, values(Y) AS Y, values(Z) AS Z by _time`

{Tag}=Value创建一个具有相关值的新字段X(或Y或),然后将它们合并为一个事件。Zstats

完整的例子,

| makeresults count=6
| streamstats count AS i

| eval Value=random()%10
| eval _time=if(i>3,_time,_time+10)
| eval Tag=case(i%3==0,"X", i%3=1,"Y", i%3=2,"Z")
| fields - i

| eval {Tag}=Value
| stats values(X) AS X, values(Y) AS Y, values(Z) AS Z by _time
于 2018-10-10T02:59:47.603 回答