0

我正在尝试根据此搜索创建一个气泡图,如下图所示。

source="*wineventlog:security" sourcetype="*wineventlog:security" EventCode=4624 OR 4625 OR 4649 OR 4724 OR 4732 OR 4740| timechart span=1h count(EventCode) by EventCode

我尝试了不同的方法来创建类似于下面编辑过的气泡图图像,但到目前为止没有成功。我希望这里有人可以帮助我实现这一目标,如果可能的话?

我可以看到我可能需要在自己的列中获取事件代码,并且可能与计数相同......但是如何?

Splunk 搜索

气泡图

4

1 回答 1

0

你有两个问题。

首先,OR必须仍然使用字段名称进行比较 ( EventCode=4724 OR EventCode=4740...)。或者你可以使用EventCode IN("val1","val2"...)

其次,您可以简化count(EventCode)to count

尝试这个:

source="*wineventlog:security" sourcetype="*wineventlog:security" EventCode IN("4624","4625","4649","4724","4732","4740")
| timechart span=1h count by EventCode
于 2020-06-04T14:04:00.670 回答