我一直在试验 Splunk,试图从 OSISoft PI 时间序列数据库中模拟一些基本功能。
我有两个数据点希望显示一段时间内的趋势,以便比较它们之间的波动,特别是电力网络 MW 模拟标签。
在 PI 中,这很容易做到,但是我很难弄清楚如何在 Splunk 中做到这一点。
给定字段中的字段值“SubstationA_T1_MW”和“SubstationA_T2_MW”,我该如何实现Tag?
涉及的字段是TimeStamp, Tag, Value, 和Status
编辑:
下面列出的示例输入和输出:
我怀疑你会对此最timechart感兴趣
以下内容可能会让您找到您正在寻找的东西:
index=ndx sourcetype=srctp Value=* TimeStamp=* %NStatus=* (Tag=SubstationA_T1_MW OR Tag=SubstationA_T2_MW) earliest=-2h
| eval _time=strptime(TimeStamp,"%m/%d/%Y %H:%M:%S.%N")
| timechart span=15m max(Value) as Value by Tag
timechart依赖于内部的隐藏_time字段(在 Unix 纪元时间) - 所以如果_time不匹配TimeStamp,你需要eval我添加的语句从你转换TimeStamp为 Unix 纪元时间_time(我假设在 mm/dd/ yyyy 格式)。
另外,参加免费的自学Splunk Fundamentals 1 课程
显示随时间变化的趋势由timechart命令完成。_time该命令要求在字段中以纪元形式表示时间。使用该strptime功能执行此操作。
当然,这假定数据已编入索引并已提取字段。
index=foo
| eval _time = strptime(TimeStamp, "%m/%d/%Y %H:%M:%S.%3N")
| timechart max(Value) by Tag